巧用ACL功能,遠(yuǎn)離病毒攻擊
現(xiàn)在的網(wǎng)絡(luò)病毒可謂隨處可見,它們的攻擊力之強(qiáng)、破壞力之大,足以讓任何人對它敬而遠(yuǎn)之。不過,任何一種網(wǎng)絡(luò)病毒都是借助網(wǎng)絡(luò)通道進(jìn)行傳輸、擴(kuò)散的,它的數(shù)據(jù)報文也是按照TCP/IP協(xié)議標(biāo)準(zhǔn)進(jìn)行通信傳輸?shù)模虼嗣恳粋€病毒數(shù)據(jù)包都包含目的IP地址、源IP地址,同時包含目的傳輸端口、源傳輸端口,類型相同的網(wǎng)絡(luò)病毒所使用的目的傳輸端口一般都是相同的,比方說震蕩波病毒全部使用445端口、沖擊波病毒全部使用135端口等;如果我們想辦法在路由器的后臺管理界面中對這些病毒通信端口進(jìn)行適當(dāng)?shù)南拗疲敲磥碜訧nternet網(wǎng)絡(luò)的一些病毒就不會通過路由器,進(jìn)入到單位局域網(wǎng)網(wǎng)絡(luò)了,如此一來局域網(wǎng)中的所有工作站包括路由器設(shè)備遭受到病毒攻擊的可能性就大大降低了。
要讓路由器遠(yuǎn)離病毒攻擊,我們可以巧妙地利用路由器設(shè)備自帶的ACL功能,來對特定網(wǎng)絡(luò)端口的數(shù)據(jù)網(wǎng)絡(luò)報文進(jìn)行限制,我們既可以對局域網(wǎng)內(nèi)部通信接口的數(shù)據(jù)報文進(jìn)行過濾,也可以對外部通信接口的數(shù)據(jù)報文進(jìn)行過濾,這么一來就能確保網(wǎng)絡(luò)病毒的數(shù)據(jù)報文不會消耗路由器設(shè)備的系統(tǒng)資源,同時也不會消耗有限的網(wǎng)絡(luò)帶寬資源,那樣的話路由器設(shè)備出現(xiàn)掉線的機(jī)率就會大大降低。
限制NAT鏈接,謹(jǐn)防資源耗盡
一般來說,單位局域網(wǎng)中包含的工作站數(shù)量少則幾十臺,多則幾百臺,而本地ISP服務(wù)商由于手頭的IP地址資源本就非常有限,他們通常只會給單位局域網(wǎng)分配一到兩個公網(wǎng)IP地址,這么少的IP地址顯然是不夠分配的,那么我們?nèi)绾卫眠@一到兩個公網(wǎng)IP地址讓局域網(wǎng)中的所有工作站都能接入到Internet網(wǎng)絡(luò)中呢?其實(shí)很簡單,我們只要善于使用路由器設(shè)備的NAT功能就可以了。當(dāng)局域網(wǎng)中的內(nèi)部工作站要訪問Internet網(wǎng)絡(luò)中的資源時,我們可以在路由器設(shè)備的后臺管理界面創(chuàng)建一個對應(yīng)列表,這個列表中包含的信息有內(nèi)部工作站的IP地址、外部目標(biāo)網(wǎng)站IP地址、內(nèi)部網(wǎng)絡(luò)通信端口、外部網(wǎng)站的通信端口等,局域網(wǎng)用戶每一次的網(wǎng)絡(luò)訪問操作都會自動在路由器設(shè)備的后臺創(chuàng)建對應(yīng)關(guān)系列表,要是列表中的網(wǎng)絡(luò)鏈接記錄有數(shù)據(jù)在傳輸,那么這些列表記錄將會一直存儲在路由器設(shè)備中,一旦某個網(wǎng)絡(luò)鏈接項(xiàng)目沒有數(shù)據(jù)在傳輸時,那么要不了多長時間該鏈接記錄就會自動消失。
倘若局域網(wǎng)中的某臺工作站不幸感染了某種特殊網(wǎng)絡(luò)病毒,該病毒可能在短暫的時間內(nèi),向路由器設(shè)備同時連續(xù)發(fā)出成千上萬個針對不同目標(biāo)工作站的網(wǎng)絡(luò)鏈接請求,如此一來路由器設(shè)備就必須騰出適當(dāng)?shù)南到y(tǒng)資源來為這些成千上萬個鏈接請求創(chuàng)建對應(yīng)列表。而路由器設(shè)備本身能夠支持的NAT網(wǎng)絡(luò)鏈接數(shù)量是十分有限的,要是這些鏈接資源全部被網(wǎng)絡(luò)病毒給占用的話,那么局域網(wǎng)中的其他用戶再嘗試通過路由器設(shè)備訪問外部網(wǎng)絡(luò)時,路由器設(shè)備就無法騰出有效的NAT鏈接資源給其他工作站了,那么其他工作站自然就會發(fā)生無法訪問網(wǎng)絡(luò)的故障,這種上網(wǎng)掉線故障事實(shí)上就是由于網(wǎng)絡(luò)病毒耗盡NAT資源引起的。
為了避免由NAT資源耗盡引起的路由器掉線故障,我們可以進(jìn)入到路由器設(shè)備的后臺管理界面,將其中的NAT網(wǎng)絡(luò)鏈接數(shù)量設(shè)置到最大數(shù)值(當(dāng)然這需要路由器設(shè)備在自身性能方面能夠承受),如果路由器設(shè)備自身性能有限的話,我們必須對NAT網(wǎng)絡(luò)鏈接數(shù)量進(jìn)行適當(dāng)限制,采取的限制措施既可以針對局域網(wǎng)中的所有工作站,也可以只針對其中的某一臺工作站。當(dāng)然,要是我們從路由器設(shè)備的后臺管理界面中,看到來自內(nèi)網(wǎng)某臺工作站的NAT網(wǎng)絡(luò)鏈接數(shù)量比較多時,我們不妨嘗試斷開那臺內(nèi)網(wǎng)工作站,然后再進(jìn)行網(wǎng)絡(luò)訪問測試,看看路由器設(shè)備是否還會繼續(xù)發(fā)生頻繁掉線故障,要是掉線故障現(xiàn)象立即就消失了的話,那就說明那臺內(nèi)網(wǎng)工作站感染了病毒,此時我們只要對那臺特定的內(nèi)網(wǎng)工作站執(zhí)行病毒查殺操作就可以了。
預(yù)防ping攻擊,避免系統(tǒng)拖跨
為了測試某個網(wǎng)站的連通性,相信多數(shù)朋友都會使用Ping命令,來對目標(biāo)網(wǎng)站執(zhí)行Ping測試操作,而目標(biāo)網(wǎng)站接受到工作站的Ping連接請求后,往往需要騰出一定的系統(tǒng)資源來應(yīng)答這個請求;同樣地,如果目標(biāo)網(wǎng)站同時接收到大量的Ping測試請求,那么目標(biāo)工作站就需要耗費(fèi)更多的系統(tǒng)資源進(jìn)行應(yīng)答,而在此刻如果有用戶在嘗試訪問該目標(biāo)網(wǎng)站時,那么該網(wǎng)站系統(tǒng)可能就騰不出系統(tǒng)資源進(jìn)行及時應(yīng)答這個用戶的上網(wǎng)請求了,所以該用戶也就會遇到上網(wǎng)掉線故障了。
而網(wǎng)絡(luò)病毒或黑客在對目標(biāo)網(wǎng)絡(luò)或設(shè)備發(fā)動攻擊之前,往往要對目標(biāo)網(wǎng)絡(luò)中的各個工作站地址進(jìn)行依次Ping掃描,如果某個網(wǎng)絡(luò)設(shè)備或工作站進(jìn)行了應(yīng)答,那說明該網(wǎng)絡(luò)設(shè)備或主機(jī)是可以攻擊的,于是病毒或木馬就會對目標(biāo)主機(jī)發(fā)動Ping攻擊,直到把目標(biāo)主機(jī)系統(tǒng)拖跨為止。
為了避免路由器設(shè)備遭受ping攻擊,從而導(dǎo)致路由器無法正常處理上網(wǎng)請求,我們可以對路由器設(shè)備的WAN端口進(jìn)行設(shè)置,啟用防Ping功能,以便阻止來自外部網(wǎng)絡(luò)的數(shù)據(jù)包對路由器執(zhí)行ping攻擊,這么一來路由器設(shè)備日后對所有來自外部網(wǎng)絡(luò)的ping數(shù)據(jù)請求都作棄權(quán)處理,那樣的話路由器設(shè)備不但不會暴露自己,而且還能預(yù)防ping攻擊,從而保證路由器設(shè)備能夠安全、穩(wěn)定地工作。
合適分配帶寬,有效限制速度
我們知道,現(xiàn)在的局域網(wǎng)出口帶寬多數(shù)都是2MB或10MB標(biāo)準(zhǔn),每一臺工作站所能享受到的帶寬資源平均為100KB左右,在這種上網(wǎng)環(huán)境中,要是有幾臺工作站同時進(jìn)行BT下載,那么局域網(wǎng)中有限的出口帶寬資源很快就會被揮霍一空,那么其他人再嘗試上網(wǎng)時,就會明顯感覺到網(wǎng)絡(luò)訪問速度緩慢,甚至?xí)l繁發(fā)生掉線故障。
為了讓路由器設(shè)備遠(yuǎn)離由帶寬沒有限制引起的掉線現(xiàn)象,我們可以進(jìn)入到路由器設(shè)備的后臺管理界面,對所有工作站的出口帶寬速度進(jìn)行合適限制,以避免某幾臺工作站過度消耗局域網(wǎng)的有限帶寬資源。當(dāng)然,我們也可以在局域網(wǎng)工作站中,對信息上傳速度和信息下載速度進(jìn)行限制,確保網(wǎng)絡(luò)帶寬資源不會被非法使用。
