設置寬帶路由網關 徹底解除網吧安全隱患
路由器安全對于網吧來講是非常重要的,如何真正的做好網吧中的網絡安全呢?這里就給大家講解設置寬帶路由網關,讓網吧更加的安全。在網絡中常見的病毒有沖擊波,震蕩波,還有蠕蟲病毒等。對付這些病毒,HiPER的主要策略是先防再查后殺。
在HiPER寬帶路由網關中,設置有強大的防火墻功能,獨特的包過濾路由技術可以實現按照包的MAC地址、IP地址、協議、端口甚至內容等進行過濾,特別是支持多個站點、關鍵字和URL過濾。對于類似沖擊波這樣的常見病毒,HiPER寬帶路由網關中設置好了相應的防火墻策略,用戶只需在配置好的策略庫中直接引用即可。當然,這樣只能防住來自網絡的病毒,用戶如果用存儲工具如優盤等使得主機感染病毒,就要通過HiPER的WEB管理界面來查看了。在WebUI上網監控頁面,查詢當前全部上網記錄,可以看到感染沖擊波病毒的主機發出的大量NAT會話,特征如下:協議為TCP,外網端口為135/139/445/1025/4444/5554/9996等; 會話中該主機有上傳包,下載包往往很小或者為0。查到以后,需要做的就是把該主機從內網斷開,然后在安全網關上配置相應的策略,關閉病毒向外發包的端口。
沖擊波只是強大的蠕蟲病毒家族中比較典型的一個,而其他的病毒如SQL蠕蟲病毒,以及一些由此而發展出來的變種病毒,同樣會給網絡帶來巨大的災難。雖然各種病毒形式各不相同,但是原理相差不大,針對他們的共同特點,通過端口掃描,來感染傳播。HiPER的防火墻策略可以應用在任何一個接口上,防止端口掃描 ,判別蠕蟲病毒的攻擊。
防攻擊
相對于上面的蠕蟲病毒感染傳播帶來的損失,網吧黑客人為的主動攻擊更讓人頭疼,如偽造源地址的DDOS攻擊,ARP攻擊等。對于這些攻擊,HiPER寬帶路由網關可以通過應用在接口的防火墻策略禁止端口掃描,防止DDOS攻擊,和ARP欺騙。
對于內網出現的偽造源地址的DDOS攻擊,可以通過HiPER寬帶路由網關的監控界面輕易的檢查出來。所謂的偽造源地址攻擊就是黑客機器向受害主機發送大量偽造源地址的報文,占用安全網關的NAT會話資源,最終將安全網關的NAT會話表占滿,導致局域網內所有人無法上網。具體表現在Web界面的NAT狀態中,可以看到“IP地址”一欄里面有很多不屬于該內網IP網段的用戶。在用戶統計信息中,可以看到安全網關接收到某用戶發送的海量的數據包,但是安全網關發向該用戶的數據包很小,依此判斷該用戶可能在做偽造源地址攻擊。解決辦法就是將該主機從內網斷開,然后在HiPER寬帶路由網關中配置策略只允許內網的網段連接安全網關,讓安全網關主動拒絕偽造的源地址發出的TCP連接。
所謂ARP攻擊就是內網某臺主機偽裝成網關,欺騙內網其他主機將所有發往網關的信息發到這臺主機上。但是由于此臺主機的數據處理轉發能力遠遠低于網關,所以就會導致大量信息堵塞,網速越來越慢,甚至造成網絡癱瘓,這樣做的目的就是為了截取用戶的信息,盜取諸如網絡游戲帳號,QQ密碼等用戶信息。當局域網內某臺主機運行ARP欺騙的木馬程序時,其他用戶原來直接通過路由器上網現在轉由通過病毒主機上網,切換的時候用戶會斷一次線。當ARP欺騙的木馬程序停止運行時,用戶會恢復從路由器上網,切換過程中用戶會再斷一次線。
這個消息代表了用戶的MAC地址發生了變化,在ARP欺騙木馬開始運行的時候,局域網所有主機的MAC地址更新為病毒主機的MAC地址。既然我們已經知道了使用ARP欺騙木馬的主機的MAC地址,那么我們就可以使用NBTSCAN工具來快速查找它。NBTSCAN可以取到PC的真實IP地址和MAC地址,如果有“傳奇木馬”在做怪,可以找到裝有木馬的PC的IP和MAC地址。當然,如果用HiPER對內網的用戶實施IP/MAC綁定的話,用戶就不能隨便改變自己的MAC地址,也就可以避免ARP攻擊這樣的事情了。對于ARP攻擊還可以有另一種解決方法,就是設置路由器定時向內網主機發送ARP廣播,也就是告訴各主機真正的網關在哪里。這樣就可以避免別的主機冒充網關。HiPER允許設置ARP廣播的頻率,同時不允許讓別人冒充自己。
防BT
網吧還有一種用戶行為會影響到其他人的上網,那就是BT下載,如果內網有用戶使用BT下載的話,就會占盡幾乎所有內網帶寬,導致網絡癱瘓,具體表現為網頁打不開或者打開很慢,聊天的消息發不出去,游戲出現卡的現象。對于這種行為,在HiPER寬帶路由網關中主要可以利用帶寬控制功能。HiPER的帶寬控制使用了靈活的CBT(基于信用的流量控制)算法。CBT算法主要實現內部網絡公平帶寬的分配,抑制BT、電驢等P2P下載的超常流量。CBT算法采用社會工程學原理,對網絡內部的各個主機給予帶寬信用,一旦某些主機的流量超過信用太多,采取懲罰措施,降低這些主機的帶寬。
對于BT下載的預防主要是利用CBT為網內用戶限定最高帶寬,這樣就能限制了用戶BT下載,占用別人帶寬的問題。當然,基于社會工程學原理信用機制的CBT算法對于限制BT等P2P工具的下載的管理更具人性化。在內網使用BT下載的用戶的信用會隨著占用帶寬的突然增加而急劇下降,隨著信用的下降,該用戶可使用的帶寬會減少,這樣的機制更具有彈性。二者結合使用效果更佳。另外,HiPER也可以通過WEB界面的配置實現一鍵封常見的P2P軟件使用,如禁止BitComet,比特精靈,電驢,電騾,禁止迅雷搜索資源。
