2024年1月4日发(作者:)
企业级路由器应用(一)—连接数限制应用举例
SOHO级路由器无此功能。
路由器里的“连接数”主要是指并发连接数,它是路由器能够同时处理的点对点连接的数目。那么,连接数究竟个什么概念呢?它的大小对用户的日常使用产生什么影响呢?
要了解连接数,首先需要明白一个概念,那就是“会话”。这个“会话”可不是我们平时的谈话,但是可以用平谈话来理解,两个人在谈话时,你一句,我一句,一问一答,我们把它称为一次对话,或者叫会话。同样,在我们工作时,每一次完整的数据交换过程,我们都可以把它叫做一个“会话”。说到这里,可能有人会说:这个是在电脑操作,跟路由器有什么关系呢?事实并不是这样的,我们使用路由器的目的是共享上网,电脑说出去的话都需要路由转发出去,对方电脑的回话也需要路由器转发回来,那么,如果是多台电脑的话,路由器如何知道哪句话是谁说的个例子:张三、李四、王五说话,您都知道哪句话是张三说的,哪句话是李四说的;那是因为您记住了他们说的话器如果要分辨的话,同样也要记住。在路由器内部维护着一张连接数表,是用来存放连接数信息,动态占用一些内CPU。这张表的大小是固定的,如果某个时候,这张表被填满了;那么,再有数据要出去的话,路由器没有办法转发以这么说:“路由器的连接数是有上限的,如果其中的一部分电脑就用完了连接数,那么,其余的电脑就没法上网下面以图例来说明连接数条目问题,测试结果在2M的ADSL线路上得出:
(1)打开的时候,连接数可以达到80左右;这个连接数维持的时间很短,一分钟之内可以老化掉。因此,不必担心这个会影响网速。那么,为什么会一下有这么多连接数呢?这主要是象sina这些门户网站,有多务器,而且网页页面有很多图片、动画等,而网页浏览的时候需要先把这些元素下载到本地电脑的临时文件夹里,来,才会导致一瞬间产生这么多连接数。如图1所示:
图1 连接新浪首页发起的连接数
(2)开启迅雷下载,占用连接数不是很多;当下载热门电影、游戏的时候,连接数会稳定在80左右;这80个连会一直存在,直到迅雷下载完成。强调一下,这个数值是在2M ADSL线路上测试的。如图2所示:
图2 使用迅雷下载时发起的连接数
(3)开启BT(使用Bitcomet)下载,会占用大量连接数。下载的初始化阶段,连接数可能达到2000多,等待载以后,连接数会下降;这些条目也是一直存在,直到下载完成。如图3所示,是速度在时候,所发起的连接数。这里说明一点:连接数和速度大小没有必然的联系大,连接数不一定多;反过来,连接数多,速度也不一定大。但是,连接数多的话,速度变大的可能性比较高。
图3 使用BitComet下载
其他的P2P软件,原理也是差不多的。
上面通过几个简单的例子来说明下什么是连接数,那么在路由器上设置这个功能有什么好处呢?有两个目的:1、可以防止P2P类软件过分占用连接资源而导致的网速慢和掉线问题,同时也能间接的避免P2P软件占用太多的(如果想要有效分配内网带宽的话请使用IP QOS功能);
2、可以避免一些攻击甚至病毒发起大量连接占用完路由器资源或带宽而导致的掉线问题。
因此在复杂的网络环境下,我们建议启用连接数限制,最大连接数建议设置为200或者300。 如何进行设置?司路由器的管理界面,在左侧的菜单中,可以看到“连接数限制”,进行连接数的设置和查看。
在“连接数限制”中,点击“添加新条目”对计算机进行连接数限制。
在“局域网IP地址”栏中填入IP地址,可以是一个IP地址段,或一个IP地址,然后填入最大连接数,保存即可。条目添加成功后,可以看到,已经对192.168.1.100的计算机限制了最大连接数为200,并且该条目处于“启用态。若该对该条目进行编辑、删除,请点击对应的按钮就可以进行相应的操作了。
获得荣誉|下载中心|诚聘英才|电信站|网通站技术支持热线:400-8863-400
企业级路由器应用(二)—IP QoS功能应用举例
这篇文档就TP-LINK企业级路由器的IP QoS功能的详细设置过程。
首先简单介绍一下企业级路由器IP QOS功能与SOHO级路由器IP带宽控制不同之处。
下面两个图中上图是SOHO级路由器R460IP带宽控制的设置界面,下图是R4299G的QOS规则设置界面:
比较上面的两个设置界面可以看到企业级路由器IP QOS功能与SOHO级路由器IP带宽控制不同之处:
1) 设置带宽控制规则时,SOHO级路由器只能选择“保障最小带宽”和“限制最大带宽”二者中的一个,也就能设置上限或者下限,不可以同时对二者进行限制。相反的企业级路由器在设置的时候既可设置最小带宽,又可设带宽的值。
2) 当一条规则的IP地址是一个地址段时,SOHO级路由器是此地址段内的所有电脑共享填写在“带宽大小”值。而企业级路由器则可以选择“独立带宽”和“共享带宽”。独立带宽是此地址段内每一台电脑分配最大和最小的值,当我们要设置的内网电脑数目比较多时,利用独立带宽可以方便快捷的设置QOS规则;共享带宽是此地址段内脑共享所分配最大和最小的带宽值。可以理解为SOHO级路由器只有共享带宽模式
点击“QoS 设置”界面如下图:
上图中红线勾勒部分的信息重要性就不强调了,下面有“上行总带宽”和“下行总带宽”两项参数,点击页面助”按钮可以看到下图信息:
可以将“上行总带宽”和“下行总带宽”理解为用户申请的宽带线路的实际上下行带宽,上面是10M光纤接入的
值。需要注意的是,普通的ADSL接入方式,上带宽会远远小于下行带宽的值,往往我们申请宽带是的ADSL2M6M这些值指的都仅仅是下行总带宽,上行总带宽要向运行商咨询具体数值。
注意:如果是多WAN口路由器,此处填写数值因为各个WAN口上下行带宽之和。
如上图,在这里强调的是:必须先开启这里的开关“开启QoS”并填入线路实际的上下行带宽,然后才能在IP面继续配置,否则会提示错误。
下面来具体添加QOS规则,点击QOS 规则出现如下界面:
举例添加如下新条目,如下图:
相关参数解释如下:
1) “地址段”——包含了从.100到.190总共100个IP地址。
另:这里的地址段允许输入和路由器LAN口IP地址不在同一网段的IP地址,意味着用户内网如果采用三层交换设划了不同子网的方案下,我们的路由器也可以支持对不同网段IP的带宽限制。
2) “模式”——独立带宽,顾名思义下面的“最大带宽”“最小带宽”是针对这段IP地址里面的每一个IP而言果模式选择了“共享带宽”也就是这段IP共享下面的参数。
3) “上行/下行”——我们都知道网络上传输的数据流是有方向的,比如BT下载,可以从Internet上的服务器下据,自身也作为服务器上传数据,我司路由器IP QoS就是根据这种“有方向性的数据流”来分别进行限制。
4) 这里有100个IP地址,每个IP地址保障的最小带宽是100K,总数是100*100K=10000K。也就是所有IP地址最宽的和不能超过QOS设置中的上行总带宽和下行总带宽。如果这里超过10000K就会报错。
路由器非常准确的对上/下行数据流分开来进行了限制。就上图填写的参数,假设配置了192.168.1.100这个IP地址主机正在进行BT下载,那么这台主机的数据流量会比较大,这台主机的数据流分两部分:一部分是它从别的服务器下据,一部分是它上传数据给别的主机。路由器的IP QoS将会对这台192.168.1.100的主机下载和上传两个方向的数据流分别进行规定限制。
按照上面填写的参数,192.168.1.100主机在上行方向(上传数据)的数据流量最小保证100Kbps、最大不超过500Kbps的带宽,下行方向(下载数据)的数据流量最小保证100Kbps、最大不超过500Kbps的带宽。这里上行数行数据的可用带宽是以线路实际上/下行带宽作为参考的。
那么QOS规则到底是怎么工作的呢?是不是我设置了最小保障100K的带宽,这100K就永远“预留”给我,无多么繁忙别的主机也不可能用到这100K的带宽呢?很明显这样是很不合理的,会造成对带宽的巨大浪费。我公司路由用优先级的方法分配带宽资源的。如果现在192.168.1.100 —192.168.1.149这50台主机都在进行网络活动,而线路的下行带宽是有限的10Mbps
,可能发生带宽争用,按照我们上面设置的参数路由器优先给每一个IP地址分配最小100K的带宽,也就是说在第一轮的资源分配中,带宽占用未达到100K的主机在使用带宽时就会优先处理,待所有需求不到100K的主机分配到了自己需要的值,所有需求大于100K的主机分配到了100K的值之后,那么此时50台主机总共使用到5000Kbps的带宽资源,这条线路总的下行带宽资源10000Kbps还余留超过5000Kbps的带宽 ,这5000Kbps的剩余资源就会被仍然需求带宽的主机竞争使用。在此期间每台电脑又有最大带宽的限制,当主机占用的带宽达到最大带宽将退出竞争。
举例如下:
如上图红色标注,现在假设线路的下行带宽是10Mbps ,配置了192.168.1.10和192.168.1.11这两台主机的“下行宽”最小都是100Kbps ,最大却不同分别是1000Kbps和2000Kbps ,那么带宽在分配的时候:
路由器先保证两台主机的“下行带宽”最小可以使用到100Kbps 。
最小带宽保证后,两台主机进一步还有下行带宽的需求,那么超过100Kbps的流量后,路由器采用“轮询”方式始增大两台主机占用的有效带宽,当192.168.1.10这台主机的下行数据流占用的带宽达到最大1000Kbps的时候,路由不会载转发超过1000Kbps带宽的数据包。但是192.168.1.11这台主机在争用带宽的时候,数据流达到1000Kbps后机仍然需要更大的带宽,路由器会一直增大它占用的有效下行带宽至2000Kbps后,将不再继续转发超过这个带宽范据包。
剩余的下行7Mbps的带宽资源将闲置,不会分配给.10和.11 ,除非将其最大可用“下行带宽”改为更大,否则不能使用剩余带宽。
配置IP QoS的时候,“模式”选择为“共享带宽”,则是地址段内包含的所有IP地址共享设置的上下行最大最小宽。
上面我们用了较长篇幅来描述企业级路由器新增的IP QoS功能的使用,是不是看似很复杂?不过即使您看的不是的话也没有关系,您只需要按照下面的步骤来设置您的网络即可:
1、将内网的电脑的IP手工指定,并且是连续的,如192.168.1.2~192.168.1.100,这样方便后面的设置;
2、在IP QOS设置开关处设置您的线路的带宽,分别设置线路的上行带宽和下行带宽,如10M的光纤线路需要10000;然后开启QOS总开关;
3、进入IP QOS规则设置页面,添加新条目,设置:
模式选择为“独立”;
4、IP地址段如192.168.1.2~192.168.1.100;
5、上行最小带宽:线路真实上行带宽/内网电脑数,在此例中为10000/99=101;最大带宽的设置关系不大,推荐置800或1000或2000;
6、下行最小带宽:线路真实下行带宽/内网电脑数,在此例中为10000/99=101;最大带宽的设置关系不大,推荐置800或1000或2000;
7、保存,设置完成
获得荣誉|下载中心|诚聘英才|电信站|网通站技术支持热线:400-8863-400
路由器防火墙应用举例—(5)如何限制内网使用MSN
MSN登录时使用的端口号有80或1863,可见通过端口号来过滤的可能性不高,因为如果禁止80端口通过,则局域内的电脑也将无法正常浏览网页。
我们下面讨论既让局域网电脑可以浏览网页又不让使用MSN的方法。
这里的方法是利用路由器的“域名过滤”功能,把MSN登录时需要解析的MSN服务器的域名都过滤掉,这样,脑将无法获得MSN服务器的IP地址,因而无法成功登录。
实现方法:
首先开启域名过滤功能,开启域名过滤时,必须要开启防火墙总开关:
然后通过在路由器里对如下MSN相关服务器的域名进行过滤,即可达到禁止MSN的目的。
当再次登录的时候,就会提示“无法登录MSN messenger,可能是服务或Internet出了问题,请确保您连接到了Internet上”的登陆失败信息。
以上结果在MSN messenger 7.5
、MSN messenger 7.0英文版和MSN 2008 Bulid 8.5上测试通过。
获得荣誉|下载中心|诚聘英才|电信站|网通站技术支持热线:400-8863-400
路由器防火墙应用举例—(4)如何限制内网使用QQ
QQ客户端登录的时候使用的外网端口号有UDP端口8000、TCP端口80和443三个端口,一般来说不建议直接把80端口屏蔽掉,除非您不想浏览网页。所以我们的处理方法是将路由器的域名过滤和IP过滤这两个功能结合起来使用在下面的介绍中,使用的QQ版本是QQ2008贺岁版。
1.设置域名过滤:
通过对QQ连接信息的查看,目前QQ登录时使用到了的服务器的域名信息如下:
UDP服务器:
TCP服务器:
在路由器上设置域名过滤,禁止对这些服务器的域名解析:
1)开启域名过滤
的域名请求 2)过滤对t
如果设置了域名过滤后已经能成功禁止QQ登陆,就不需要再设置IP地址过滤了,否则需要继续设置IP地址过滤2.设置IP地址过滤:
首先必须找到需要过滤哪些IP地址,我们通过下面的方法得到需要过滤的登陆服务器的IP地址:
当QQ登陆成功后,进入QQ设置:
点击“登陆设置”,查看“高级选项”中的“当前登录信息”,这里显示的IP地址就是我们要过滤的IP地址。然后我们就开始设置IP地址过滤:
1)开启IP地址过滤
注意这里选择的缺省过滤规则是:凡是不符合已设IP地址过滤规则的数据包,允许通过本路由器。
由于QQ登陆时可能会重定向IP地址,所以我们在找到一个登陆IP地址后,最好就直接将这个IP地址段过滤掉:
设置完成后,再次尝试登陆QQ,通过上面的方式继续寻找能登陆的服务器的IP地址,将可登陆IP所在的地址段加进来过滤掉,循环这个过程直到QQ不能登陆为止。
这里我们过滤了下面这些IP地址段后,QQ就不能登录了:
通过上面设置域名过滤和IP地址过滤后,QQ登陆就能被限制了。但是应注意到,在设置IP地址过滤的时候,我的是IP地址段,因此会把一些正常的不是QQ服务器的IP地址也过滤掉了。如果发生了“需要连接的目的IP地址也被这种情况,可以简单的把我们上面限制的地址段拆分成多个段,不包括我们需要访问的IP地址就可以了。
获得荣誉|下载中心|诚聘英才|电信站|网通站技术支持热线:400-8863-400
企业级路由器应用(三)—ARP欺骗防护功能的使用
在局域网中,通信前必须通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)。ARP协议对网络安全具要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,对网络的正常传输和安全都是一个很严峻的考验。
目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”些软件中,有些是人为手工操作来破坏网络的,有些是作为病毒或者木马出现,使用者可能根本不知道它的存在,加扩大了ARP攻击的杀伤力。
从影响网络连接通畅的方式来看,ARP欺骗有两种攻击可能,一种是对路由器ARP表的欺骗;另一种是对内网ARP表的欺骗,当然也可能两种攻击同时进行。不管怎么样,欺骗发送后,电脑和路由器之间发送的数据可能就被送误的MAC地址上,从表面上来看,就是“上不了网”,“访问不了路由器”,“路由器死机了”,因为一重启路由器ARP表会重建,如果ARP攻击不是一直存在,就会表现为网络正常,所以网吧业主会更加确定是路由器“死机”了会想到其他原因。为此,宽带路由器背了不少“黑锅”,但实际上应该ARP协议本身的问题。我们来看看如何来防止欺骗。
上面也已经说了,欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种,我们的防护当然也是两个方面的,首先在器上进行设置,来防止路由器的ARP表被恶意的ARP数据包更改;其次,我们也会在电脑上进行一下设置,来防止ARP表受恶意更改。两个方面的设置都是必须的,不然,如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑脑被欺骗后就不会把数据包发送到路由器上,而是发送到一个错误的地方,当然无法上网和访问路由器了。
我司路由器上主要的IP与MAC地址绑定的方式有两种,普通绑定与强制绑定。SOHO级路由器上主要进行的是普定,企业级的路由器上有普通绑定,也有强制绑定。
普通绑定是在路由器上记录了局域网内计算机MAC地址对应的IP地址,建立了一个对应关系,不会受到ARP欺致无法正常通讯。对于没有进行IP与MAC地址绑定的计算机就可能受到ARP攻击。SOHO级路由器普通绑定只是设个IP与MAC的对应关系,若计算机更改了其IP地址,路由器仍然能进行ARP映射表自动学习,扫描到计算机新的对应系,该计算机仍能与路由器进行通讯;而企业级路由器在普通绑定之后IP和MAC地址就是一一对应的关系了,若计改了其IP地址,路由器会认为其IP地址错误,从而不能与路由器进行通信。
强制绑定:是指关闭路由器的学习IP与MAC地址能力,手动在路由器中添加计算机IP与MAC地址。所以在设置了绑定后,新接入路由器的计算机,若没有添加IP与MAC地址对应关系,该计算机是不能与路由器进行通讯的。或者路下的计算机更改了其IP地址,导致与路由器上记录的IP与MAC对应关系不一致,也无法进行通讯。
下面就以TL-4299G为例对企业级级路由器上的普通绑定和强制绑定的设置,进行详细地介绍,以及如何设置来ARP欺骗。
一、设置前准备
当使用了防止ARP欺骗功能(IP和MAC绑定功能)后,最好是不要使用动态IP,因为电脑可能获取到和IP与MAC条目不同的IP,这时候可能会无法上网,通过下面的步骤来避免这一情况发生吧。
1)把路由器的DHCP功能关闭:打开路由器管理界面,“DHCP服务器”->“DHCP服务”,把状态由默认用”更改为“不启用”,保存并重启路由器。
2)给电脑手工指定IP地址、网关、DNS服务器地址,如果您不是很清楚当地的DNS地址,可以咨询您的网络服商。
二、设置路由器防止ARP欺骗
打开路由器的管理界面,在左侧的菜单中可以看到:
“IP与MAC绑定”的功能,这个功能除了可以实现IP和MAC绑定外,还可以实现防止ARP欺骗功能。
打开“静态ARP绑定设置”窗口如下:
注意,默认情况下ARP绑定功能是关闭,请选中启用后,点击保存来启用。
在添加IP与MAC地址绑定的时候,可以手工进行条目的添加,也可以通过“ARP映射表”查看IP与MAC地址的系,通过导入后,进行绑定。
1、手工进行添加,单击“增加单个条目”。
填入电脑的MAC地址与对应的IP地址,然后保存,就实现了IP与MAC地址绑定。
2、通过“ARP映射表”,导入条目,进行绑定。
打开“ARP映射表”窗口如下:
这是路由器动态学习到的ARP表,可以看到状态这一栏显示为“未绑定”。如果确认这一个动态学习的表错误,也就是说当时不存在arp欺骗的情况下,把条目导入,并且保存为静态表,这样路由器重启后这些条目都存在,实现绑定的效果。
若存在许多计算机,可以点击“全部导入”,自动导入所有计算机的IP与MAC信息。
导入成功以后,即已完成IP与MAC绑定的设置。如下:
可以看到状态中已经为已绑定,这时候,路由器已经具备了防止ARP欺骗的功能,上面的示范中只有一个条目您的电脑多,操作过程也是类似的。有些条目如果没有添加,也可以下次补充上去。除了这种利用动态学习到的ARP导入外,也可以使用手工添加的方式,只要知道电脑的MAC地址,手工添加相应条目就可。
在“ARP映射表”中可以看到,此计算机的IP地址与MAC地址已经绑定,在路由器重启以后,该条目仍然生效
三、设置电脑防止ARP欺骗
路由器已经设置了防止ARP欺骗功能,接下来我们就来设置电脑的防止ARP欺骗了。微软的操作系统中都带有一命令行程序,我们可以在windows的命令行界面来进行配置。
Windows XP系统的设置方法:
点击“开始”,选择“运行”,输入“cmd”,打开windows的命令行提示符如下:
通过“arp
–s
路由器IP+路由器MAC”这一条命令来实现对路由器的ARP条目的静态绑定,如:arp
–s 192.1600-0a-eb-d5-60-80;可以看到在arp -a 命令的输出中,已经有了我们刚才添加的条目,Type类型为static表示是静态的。至此,我们也已经设置了电脑的静态ARP条目,这样电脑发送到路由器的数据包就不会发送到错误的地方去了怎么知道路由器的MAC地址是多少呢?可以打开路由器的管理界面,进入“网络参数”->“LAN口设置”:
LAN口的MAC地址就是电脑的网关的MAC地址。
细心的人可能已经发现了,如果使用上面的方法,电脑每次在重启后都需要输入上面的命令来实现防止ARP欺没有更简单的方法自动来完成,不用手工输入呢?有!
我们可以新建一个批处理文件如static_,注意后缀名为bat。编辑它,在里面加入我们刚才的命令:
保存就可以了,以后可以通过双击它来执行这条命令,还可以把它放置到系统的启动目录下来实现启动时自己打开电脑“开始”->“程序”,双击“启动”打开启动的文件夹目录,把刚才建立的static_复制到里面去
好了,以后电脑每次启动时就会自己执行arp
–s命令了,在以后使用网络的时候,不再受到ARP攻击的干扰。Windows Vista和Windows 7系统的设置方法:
1、管理员身份运行命令提示符。
2、命令:netsh -c i i show in 查看网络连接准确名称。如:本地连接、无线网络连接。
3、执行绑定:netsh -c i i add neighbors "网络连接名称" "IP地址" "MAC地址"。
4、绑定完成,电脑重启静态ARP不失效,不用像XP一样建批处理文件。
如图所示:
获得荣誉|下载中心|诚聘英才|电信站|网通站技术支持热线:400-8863-400
企业级路由器应用(四)—攻击防护的使用
在网络使用的过程中,往往会遇到各种各样的网络攻击,如:扫描类的攻击,DoS攻击等。
我司企业级路有器内置了目前常见的网络攻击防护措施,支持内/外部攻击防范,提供扫描类攻击、DoS类攻击包和含有IP选项的包等攻击保护,能侦测及阻挡IP 地址欺骗、源路由攻击、IP/端口扫描、DoS等网络攻击,有效防止Nimda攻击等。(路由器只是对于网络中常见的攻击进行防护,对于网络的操作进行监控,而病毒,木马等这些处层的应用,我司路由器并不是杀毒软件,并不是我在路由器上设置了防火墙或攻击防护等,您的计算机就不会中病毒在开启攻击防护时,必须开启路由器“防火墙总开关”,选中对应的“开启攻击防护”:
在菜单中的“安全设置”->“攻击防护”中,可以看到路由器针对各种网络攻击的防护及设置;
其中分别针对各种常见的网络攻击进行防护:正确设置各种防护的阈值,可以有效的对各种攻击进行防护。请的网络环境进行相应的设置,一般可以使用路由器默认的值,或者可以自己进行设置。在设置的时候,阈值不要设小,会导致拦截过高,有可能把网络中正常的数据包误认为非法的数据包,使您的网络不能正常使用;阈值也不要大,这样会起不到攻击防护的效果。
在区域的设置中,可以选择LAN和WAN,若选择LAN表示对来自局域网的数据包进行监控;而选择WAN表示对
网的数据包进行监控。
1、扫描类的攻击防护主要有三类:IP扫描,端口扫描,IP欺骗。
其中WAN区域没有IP欺骗设置。扫描一般都是发起攻击的第一个步骤,攻击者可以利用IP扫描和端口扫描来获网络的主机信息和目标主机的端口开放情况,然后对某主机或者某主机的某端口发起攻击,对扫描进行预先的判断可以有效的防止攻击。我司企业级路由器对扫描类攻击的判断依据是:设置一个时间阈值(微秒级),若在规定的隔内某种数据包的数量超过了10个,即认定为进行了一次扫描,在接下来的两秒时间里拒绝来自同一源的这种扫描包。阈值的设置一般建议尽可能的大,最大值为一秒,也就是1000000微妙,一般推荐0.5-1秒之间设置。(阈值防火墙对扫描越“敏感”)
下面为路由器没有开启攻击防护下,使用端口扫描工具进行扫描的结果:
开启了路由器的“攻击防护”:
此时进行端口扫描的结果为:
通过抓包分析,路由器检测到了有端口扫描攻击,进行了相应的攻击防护,扫描工具没有接收到前端计算机返回息,所以在端口扫描的时候,无法完成端口扫描。此时。路由器发送了一个系统日志给日志服务器,检测到有攻击在。
在开启了防火墙的攻击防护后,扫描软件扫描不正确。但路由器每次的扫描判断允许十个扫描数据包通过,因此能目的计算机开放的端口刚好在被允许的十个数据包之中,也能被扫描到,但这种几率是微乎其微的。
日志服务器上记录显示有端口扫描攻击:
关于日志服务器的使用,请参考《日志服务器的安装与使用》,日志中很清晰的记录了内网电脑192.168.1.100扫描的行为。
2、DoS类的攻击主要有:ICMP Flood、UDP Flood、SYN Flood、Land Attack、WinNuke。
拒绝服务(DoS--Denial of Service)攻击的目的是用极其大量的虚拟信息流耗尽目标主机的资源,目标主机被迫处理虚假信息流,从而影响对正常信息流的处理。如果攻击来自多个源地址,则称为分布式拒绝服务DDoS。
我司企业级路由器对DoS类攻击的判断依据为:设置一个阈值(单位为每秒数据包个数PPS=Packet Per Secon如果在规定的时间间隔内(1秒),某种数据包超过了设置的阈值,即认定为发生了一次洪泛攻击,那么在接下来2间内,忽略掉下来自相同攻击源的这一类型数据包。
这里“DoS类攻击防护”阈值设置与上面“扫描攻击”阈值刚好相反,值越小越“敏感”,但一般也不能太小的应用不能影响,我们可以根据自己的环境在实际的应用中动态调整。
下面为一个ICMP的例子,在路由器没有开启攻击防护的情况下,ping前端的计算机:
使用发包工具,对前端的计算机进行1000pps的ping操作,通过抓包可以看到,前端的计算机都有回应。
而开启了路由器攻击防护的ICMP Flood攻击防护,设置阈值为100pps。
此时进行抓包分析:
路由器检测到了有ICMP Flood攻击存在,发送了一个日志给日志服务器,在以后的ping请求中,都没有得到回效地防止了ICMP Flood攻击。
日志服务器中,也可以查看到相应的攻击信息:
3、可疑包类防护包括五类:大的ICMP包(大于1024字节)、没有Flag的TCP包、同时设置SYN和FIN的TCP设置
FIN
而没有设置ACK的TCP包、未知协议。
4、含有IP选项的包防护:在
Internet Protocol
协议(RFC 791)中,指定了一组选项以提供特殊路由控制、诊具和安全性。它是在 IP 包头中的目的地址之后。协议认为这些选项“ 对最常用的通信是不必要的”。在实际使用中们也很少出现在 IP 包头中。这些选项经常被用于某些恶意用途。
IP选项包括:
选中一项IP选项的复选框,则检查;清除选项的选择,则取消检查。
一般情况下上面两部分的数据包是不会出现的,属于非正常的包,可能是病毒或者攻击者的试探,路由器在设应的攻击防护的话会将对应的数据包丢弃。
本文主要介绍了我司企业级路由器的攻击防护的处理机制以及效果,通过举了几个例子进行详细地描述。例子中的参数只为测试使用,并不一定符合实际的使用环境,在具体的使用过程中,还需要根据您的实际网络使用环境进试,找到一个合理的阈值,才能有效的保护您的网络。
获得荣誉|下载中心|诚聘英才|电信站|网通站技术支持热线:400-8863-400
企业级路由器应用(五)—日志服务器的安装
第一部分:安装
安装数据库服务器:
用户可以到微软官方网站搜索“MSDE”并下载。(注:MSDE为SQL Server数据库服务器的桌面数据库引擎软提供的免费桌面数据库引擎),下载的压缩包解压之后便可以进行安装。
点击此处下载MSDE
“解压的MSDE文件的绝对路径”+“”+“sapwd=XXX”
例如下载的压缩包在C盘根目录(C:),解压后的文件夹路径是C:CHS_MSDE2000A ,那么就可以在“运行输入下面这样的路径:
C:CHS_ SAPWD=XXX
“XXX”表示数据库的登陆密码,这个在后面要用到,一定要记住。然后按“回车键”,点击“下一步”进行安安装完成电脑重启之后,数据库服务器会自动运行并在电脑桌面右下角的任务栏显示,到此数据库服务器就成功安装好的数据库服务器状态如下:
图1SQL server服务管理器
安装防火墙日志服务器:
安装产品配带的光盘中的日志服务器,直接安装即可。
第二部分:连接数据库与登陆日志服务器
做好上面两步安装操作后,点击“开始”—“程序”――“TP-LINK日志服务器”,可以看到如下登陆界面:
图2TP-LINK防火墙日志服务器登陆界面
服务器名:填写图1中的服务器后面的名称;
用户名:SA,不要更改;
密码:输入在安装SQL server时填写的密码,注意这个密码不能保存,每次登陆都必须重新输入;
数据库名:保持默认,不要更改;
注:第一次登陆时需要重新启动SQL server服务器的,点击图1的“停止”,再点击“开始/继续运行”,然后再打开上图2的“防火墙日志服务器”就可以了。
顺利登陆后,界面如下:
图3 日志服务器主界面
这样的话我们已经顺利的运行了日志服务器,但现在还不能监听到日志,我们还需要在路由器中做相应的设置才以。
(1)登陆路由器,打开“系统工具”―“Syslog设置”,输入安装防火墙日志服务器电脑的IP地址,启用并保存
图4 Syslog设置
(2)打开“系统工具”—“流量统计”,启用流量统计功能
图5 开启流量统计
(3)打开“安全设置”--“防火墙设置”,勾选“启用防火墙总开关”与“攻击防护”,保存
(4)打开“安全设置”--“攻击防护”,勾选相应选项即可
图6
攻击防护设置
获得荣誉|下载中心|诚聘英才|电信站|网通站技术支持热线:400-8863-400
发布评论