亚洲欧美精品沙发,日韩在线精品视频,亚洲Av每日更新在线观看,亚洲国产另类一区在线5

<pre id="hdphd"></pre>

  • <div id="hdphd"><small id="hdphd"></small></div>
      學習啦 > 學習電腦 > 網(wǎng)絡(luò)知識 > 路由器 > 路由器設(shè)置 > FAST迅捷 > fast路由器攻擊防護

      fast路由器攻擊防護

      時間: 權(quán)威724 分享

      fast路由器攻擊防護

        深圳市友佳聯(lián)科技有限公司是一家擁有完整自主研發(fā)、制造、營銷體系的高新技術(shù)企業(yè)。創(chuàng)建了知名網(wǎng)絡(luò)與通信品牌fast迅捷,那么你知道fast路由器攻擊防護的設(shè)置方法嗎?下面是學習啦小編整理的一些關(guān)于fast路由器攻擊防護的相關(guān)資料,供你參考。

        fast路由器攻擊防護的設(shè)置方法:

        在開啟攻擊防護時,必須開啟路由器“防火墻總開關(guān)”,選中對應的“開啟攻擊防護”:

        在菜單中的“安全設(shè)置”->“攻擊防護”中,可以看到路由器針對各種網(wǎng)絡(luò)攻擊的防護及設(shè)置;

        其中分別針對各種常見的網(wǎng)絡(luò)攻擊進行防護:正確設(shè)置各種防護的閾值,可以有效的對各種攻擊進行防護。請根據(jù)您的網(wǎng)絡(luò)環(huán)境進行相應的設(shè)置,一般可以使用路由器默認的值,或者可以自己進行設(shè)置。在設(shè)置的時候,閾值不要設(shè)置過小,會導致攔截過高,有可能把網(wǎng)絡(luò)中正常的數(shù)據(jù)包誤認為非法的數(shù)據(jù)包,使您的網(wǎng)絡(luò)不能正常使用;閾值也不要設(shè)置過大,這樣會起不到攻擊防護的效果。

        在區(qū)域的設(shè)置中,可以選擇LAN和WAN,若選擇LAN表示對來自局域網(wǎng)的數(shù)據(jù)包進行監(jiān)控;而選擇WAN表示對來自外網(wǎng)的數(shù)據(jù)包進行監(jiān)控。

        1、掃描類的攻擊防護主要有三類:IP掃描,端口掃描,IP欺騙。

        其中WAN區(qū)域沒有IP欺騙設(shè)置。掃描一般都是發(fā)起攻擊的第一個步驟,攻擊者可以利用IP掃描和端口掃描來獲取目標網(wǎng)絡(luò)的主機信息和目標主機的端口開放情況,然后對某主機或者某主機的某端口發(fā)起攻擊,對掃描進行預先的判斷并保護可以有效的防止攻擊。我司企業(yè)級路由器對掃描類攻擊的判斷依據(jù)是:設(shè)置一個時間閾值(微秒級),若在規(guī)定的時間間隔內(nèi)某種數(shù)據(jù)包的數(shù)量超過了10個,即認定為進行了一次掃描,在接下來的兩秒時間里拒絕來自同一源的這種掃描數(shù)據(jù)包。閾值的設(shè)置一般建議盡可能的大,最大值為一秒,也就是1000000微妙,一般推薦0.5-1秒之間設(shè)置。(閾值越大,防火墻對掃描越“敏感”)

        下面為路由器沒有開啟攻擊防護下,使用端口掃描工具進行掃描的結(jié)果:

        開啟了路由器的“攻擊防護”:

        此時進行端口掃描的結(jié)果為:

        通過抓包分析,路由器檢測到了有端口掃描攻擊,進行了相應的攻擊防護,掃描工具沒有接收到前端計算機返回的信息,所以在端口掃描的時候,無法完成端口掃描。此時。路由器發(fā)送了一個系統(tǒng)日志給日志服務器,檢測到有攻擊的存在。

        在開啟了防火墻的攻擊防護后,掃描軟件掃描不正確。但路由器每次的掃描判斷允許十個掃描數(shù)據(jù)包通過,因此有可能目的計算機開放的端口剛好在被允許的十個數(shù)據(jù)包之中,也能被掃描到,但這種幾率是微乎其微的。

        日志服務器上記錄顯示有端口掃描攻擊:

        日志中很清晰的記錄了內(nèi)網(wǎng)電腦192.168.1.100有端口掃描的行為。

        2、DoS類的攻擊主要有:ICMP Flood、UDP Flood、SYN Flood、Land Attack、WinNuke。

        拒絕服務(DoS--Denial of Service)攻擊的目的是用極其大量的虛擬信息流耗盡目標主機的資源,目標主機被迫全力處理虛假信息流,從而影響對正常信息流的處理。如果攻擊來自多個源地址,則稱為分布式拒絕服務DDoS。

        我司企業(yè)級路由器對DoS類攻擊的判斷依據(jù)為:設(shè)置一個閾值(單位為每秒數(shù)據(jù)包個數(shù)PPS=Packet Per Second),如果在規(guī)定的時間間隔內(nèi)(1秒),某種數(shù)據(jù)包超過了設(shè)置的閾值,即認定為發(fā)生了一次洪泛攻擊,那么在接下來2秒的時間內(nèi),忽略掉下來自相同攻擊源的這一類型數(shù)據(jù)包。

        這里“DoS類攻擊防護”閾值設(shè)置與上面“掃描攻擊”閾值剛好相反,值越小越“敏感”,但一般也不能太小,正常的應用不能影響,我們可以根據(jù)自己的環(huán)境在實際的應用中動態(tài)調(diào)整。

        下面為一個ICMP的例子,在路由器沒有開啟攻擊防護的情況下,ping前端的計算機:

        使用發(fā)包工具,對前端的計算機進行1000pps的ping操作,通過抓包可以看到,前端的計算機都有回應。

        而開啟了路由器攻擊防護的ICMP Flood攻擊防護,設(shè)置閾值為100pps。

        此時進行抓包分析:

        路由器檢測到了有ICMP Flood攻擊存在,發(fā)送了一個日志給日志服務器,在以后的ping請求中,都沒有得到回應。有效地防止了ICMP Flood攻擊。

        日志服務器中,也可以查看到相應的攻擊信息:

        3、可疑包類防護包括五類:大的ICMP包(大于1024字節(jié))、沒有Flag的TCP包、同時設(shè)置SYN和FIN的TCP包、僅設(shè)置 FIN 而沒有設(shè)置ACK的TCP包、未知協(xié)議。

        4、含有IP選項的包防護:在 Internet Protocol 協(xié)議(RFC 791)中,指定了一組選項以提供特殊路由控制、診斷工具和安全性。它是在 IP 包頭中的目的地址之后。協(xié)議認為這些選項“ 對最常用的通信是不必要的”。在實際使用中,它們也很少出現(xiàn)在 IP 包頭中。這些選項經(jīng)常被用于某些惡意用途。

        IP選項包括:

        選中一項IP選項的復選框,則檢查;清除選項的選擇,則取消檢查。

        一般情況下上面兩部分的數(shù)據(jù)包是不會出現(xiàn)的,屬于非正常的包,可能是病毒或者攻擊者的試探,路由器在設(shè)置了相應的攻擊防護的話會將對應的數(shù)據(jù)包丟棄。

        本文主要介紹了我司企業(yè)級路由器的攻擊防護的處理機制以及效果,通過舉了幾個例子進行詳細地描述。例子中使用的參數(shù)只為測試使用,并不一定符合實際的使用環(huán)境,在具體的使用過程中,還需要根據(jù)您的實際網(wǎng)絡(luò)使用環(huán)境進行調(diào)試,找到一個合理的閾值,才能有效的保護您的網(wǎng)絡(luò)。

        看過文章“fast路由器攻擊防護”的人還看了:

        1.FAST迅捷路由器設(shè)置教程

        2.FAST路由器復位常見問題之管理篇

        3.FAST迅捷路由器設(shè)置方法

        4.詳解FAST無線路由器安全設(shè)置

        5.迅捷路由器之系統(tǒng)日志排除PPPOE撥號故障

        6.迅捷路由器之臺式機無線網(wǎng)卡設(shè)置方法

        7.迅捷(FAST)路由器獲取IP地址的方法

        8.FAST無線路由器設(shè)置

        9.迅捷FW300R開啟UPnP功能

        10.fast的用法

      590252