路由器安全对于网吧来讲是非常重要的,如何真正的做好网吧中的网络安全呢?这里就给大家讲解设置宽带路由网关,让网吧更加的安全。在网络中常见的病毒有冲击波,震荡波,还有蠕虫病毒等。对付这些病毒,HiPER的主要策略是先防再查后杀。
在HiPER宽带路由网关中,设置有强大的防火墙功能,独特的包过滤路由技术可以实现按照包的MAC地址、IP地址、协议、端口甚至内容等进行过滤,特别是支持多个站点、关键字和URL过滤。对于类似冲击波这样的常见病毒,HiPER宽带路由网关中设置好了相应的防火墙策略,用户只需在配置好的策略库中直接引用即可。当然,这样只能防住来自网络的病毒,用户如果用存储工具如优盘等使得主机感染病毒,就要通过HiPER的WEB管理界面来查看了。在WebUI上网监控页面,查询当前全部上网记录,可以看到感染冲击波病毒的主机发出的大量NAT会话,特征如下:协议为TCP,外网端口为135/139/445/1025/4444/5554/9996等; 会话中该主机有上传包,下载包往往很小或者为0。查到以后,需要做的就是把该主机从内网断开,然后在安全网关上配置相应的策略,关闭病毒向外发包的端口。
冲击波只是强大的蠕虫病毒家族中比较典型的一个,而其他的病毒如SQL蠕虫病毒,以及一些由此而发展出来的变种病毒,同样会给网络带来巨大的灾难。虽然各种病毒形式各不相同,但是原理相差不大,针对他们的共同特点,通过端口扫描,来感染传播。HiPER的防火墙策略可以应用在任何一个接口上,防止端口扫描 ,判别蠕虫病毒的攻击。
防攻击
相对于上面的蠕虫病毒感染传播带来的损失,网吧黑客人为的主动攻击更让人头疼,如伪造源地址的DDOS攻击,ARP攻击等。对于这些攻击,HiPER宽带路由网关可以通过应用在接口的防火墙策略禁止端口扫描,防止DDOS攻击,和ARP欺骗。
对于内网出现的伪造源地址的DDOS攻击,可以通过HiPER宽带路由网关的监控界面轻易的检查出来。所谓的伪造源地址攻击就是黑客机器向受害主机发送大量伪造源地址的报文,占用安全网关的NAT会话资源,最终将安全网关的NAT会话表占满,导致局域网内所有人无法上网。具体表现在Web界面的NAT状态中,可以看到“IP地址”一栏里面有很多不属于该内网IP网段的用户。在用户统计信息中,可以看到安全网关接收到某用户发送的海量的数据包,但是安全网关发向该用户的数据包很小,依此判断该用户可能在做伪造源地址攻击。解决办法就是将该主机从内网断开,然后在HiPER宽带路由网关中配置策略只允许内网的网段连接安全网关,让安全网关主动拒绝伪造的源地址发出的TCP连接。
所谓ARP攻击就是内网某台主机伪装成网关,欺骗内网其他主机将所有发往网关的信息发到这台主机上。但是由于此台主机的数据处理转发能力远远低于网关,所以就会导致大量信息堵塞,网速越来越慢,甚至造成网络瘫痪,这样做的目的就是为了截取用户的信息,盗取诸如网络游戏帐号,QQ密码等用户信息。当局域网内某台主机运行ARP欺骗的木马程序时,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。
这个消息代表了用户的MAC地址发生了变化,在ARP欺骗木马开始运行的时候,局域网所有主机的MAC地址更新为病毒主机的MAC地址。既然我们已经知道了使用ARP欺骗木马的主机的MAC地址,那么我们就可以使用NBTSCAN工具来快速查找它。NBTSCAN可以取到PC的真实IP地址和MAC地址,如果有“传奇木马”在做怪,可以找到装有木马的PC的IP和MAC地址。当然,如果用HiPER对内网的用户实施IP/MAC绑定的话,用户就不能随便改变自己的MAC地址,也就可以避免ARP攻击这样的事情了。对于ARP攻击还可以有另一种解决方法,就是设置路由器定时向内网主机发送ARP广播,也就是告诉各主机真正的网关在哪里。这样就可以避免别的主机冒充网关。HiPER允许设置ARP广播的频率,同时不允许让别人冒充自己。
防BT
网吧还有一种用户行为会影响到其他人的上网,那就是BT下载,如果内网有用户使用BT下载的话,就会占尽几乎所有内网带宽,导致网络瘫痪,具体表现为网页打不开或者打开很慢,聊天的消息发不出去,游戏出现卡的现象。对于这种行为,在HiPER宽带路由网关中主要可以利用带宽控制功能。HiPER的带宽控制使用了灵活的CBT(基于信用的流量控制)算法。CBT算法主要实现内部网络公平带宽的分配,抑制BT、电驴等P2P下载的超常流量。CBT算法采用社会工程学原理,对网络内部的各个主机给予带宽信用,一旦某些主机的流量超过信用太多,采取惩罚措施,降低这些主机的带宽。
对于BT下载的预防主要是利用CBT为网内用户限定最高带宽,这样就能限制了用户BT下载,占用别人带宽的问题。当然,基于社会工程学原理信用机制的CBT算法对于限制BT等P2P工具的下载的管理更具人性化。在内网使用BT下载的用户的信用会随着占用带宽的突然增加而急剧下降,随着信用的下降,该用户可使用的带宽会减少,这样的机制更具有弹性。二者结合使用效果更佳。另外,HiPER也可以通过WEB界面的配置实现一键封常见的P2P软件使用,如禁止BitComet,比特精灵,电驴,电骡,禁止迅雷搜索资源。
