企业级路有器内置了网络攻击防护措施(图)

在网络使用过程中，经常会遇到各种网络攻击，例如扫描攻击，DoS攻击等。

我们公司的企业级路由器具有内置的当前通用网络攻击防护措施，支持内部/外部攻击防护，并提供诸如扫描攻击，DoS攻击，可疑数据包以及包含IP选项的数据包之类的攻击保护，并且可以检测检测并阻止网络攻击，例如IP地址欺骗，源路由攻击，IP /端口扫描，DoS等，并有效地防止Nimda攻击。 （路由器仅可防止网络中的常见攻击并监视网络的运行。对于应用层中的应用程序（例如病毒和木马），我们的路由器不是防病毒软件，并不是我设置了一个防火墙或路由器上的攻击。保护等方面，您的计算机将不会感染病毒

打开攻击防护时，必须打开路由器“主防火墙交换机”并选择相应的“启用攻击防护”：

在“安全设置”->“攻击保护”菜单中，您可以看到路由器针对各种网络攻击的保护和设置；

防范各种常见的网络攻击：正确设置各种保护阈值，可以有效地防范各种攻击。请根据您的网络环境进行相应的设置。通常，您可以使用路由器的默认值，也可以自己设置。设置阈值时，请勿将阈值设置得太小，否则会导致截获率太高。可能会将网络中的正常数据包误认为是非法数据包，从而使您的网络无法正常使用；不要将阈值设置得太大，这将无法达到防攻击的效果。

在区域设置中，您可以在LAN和WAN之间进行选择。如果选择局域网，则可以监视来自局域网的数据包；并且您可以选择WAN来监视来自外部网络的数据包。

1、扫描攻击防护的主要类型有三种：IP扫描，端口扫描和IP欺骗。

WAN区域中没有IP欺骗设置。扫描通常是攻击的第一步。攻击者可以使用IP扫描和端口扫描来获取目标网络的主机信息以及目标主机的端口打开状态，然后对主机或主机的端口发起攻击。扫描前判断和保护可以有效地防止攻击。我们公司用于扫描攻击的企业级路由器的基础是设置时间阈值（微秒级）。如果某些数据包的数量在指定的时间间隔内超过10，则认为已执行了扫描。在接下来的两秒钟内，来自同一源的此类扫描数据包将被拒绝。通常建议将阈值设置得尽可能大，最大值是1秒，即1,000,000微秒，通常建议将0.设置在5-1秒之间。 （阈值越大，防火墙对扫描的越敏感）

以下是路由器未启用攻击防护时使用端口扫描工具进行扫描的结果：

启用路由器的“攻击保护”：

此时端口扫描的结果是：

通过数据包捕获分析，路由器检测到端口扫描攻击，并进行了相应的攻击防护。扫描工具未收到前端计算机返回的信息，因此在端口扫描期间无法完成端口扫描。此时。路由器将系统日志发送到日志服务器，并检测到存在攻击。

打开防火墙的攻击保护后，扫描软件无法正确扫描。但是，路由器的每次扫描都确定允许十个扫描的数据包通过。因此，目标计算机的开放端口可能恰好在十个允许的数据包中并且可以被扫描，但是这种可能性非常小。

日志服务器上记录了端口扫描攻击：

有关日志服务器的使用，请参阅“日志服务器的安装和使用”。该日志清楚地记录了Intranet计算机19 2. 16 8. 1. 100的端口扫描行为。

2、 DoS攻击主要包括：ICMP Flood，UDP Flood，SYN Flood，Land Attack，WinNuke。

拒绝服务（DoS--拒绝服务）攻击的目的是使用大量虚拟信息流来耗尽目标主机的资源。目标主机被迫处理虚假信息流，从而影响正常信息流的处理。如果攻击来自多个源地址，则称为分布式拒绝服务DDoS。

判断我们公司的企业级路由器的DoS攻击的基础是：如果在指定的时间间隔（1秒）内，设置一个阈值（单位是每秒PPS的数据包数=每秒的数据包），则设置一个阈值。确定如果数据包超过设置的阈值，则认为发生了洪泛攻击。然后，在接下来的2秒内，请忽略来自相同攻击源的此类数据包。

此处，“ DoS攻击保护”阈值设置与上述“扫描攻击”阈值正好相反。值越小，它越“敏感”，但通常不应太小。普通应用程序不会影响它。我们可以根据自己的环境进行设置。实际应用中的动态调整。

以下是ICMP的示例。当路由器未启用攻击防护时，请对前端计算机执行ping操作：

使用数据包发送工具以1000pps的速度对前端计算机执行ping操作，您可以看到前端计算机通过捕获数据包做出响应。

具有路由器攻击保护功能的ICMP Flood攻击保护功能已打开，并且阈值设置为100pps。

此时执行数据包捕获分析：

路由器检测到ICMP Flood攻击并将日志发送到日志服务器，但是在随后的ping请求中未收到响应。有效地防止ICMP Flood攻击。

在日志服务器中，您还可以查看相应的攻击信息：

3、可疑的数据包保护包括五种类型：大型ICMP数据包（大于1024字节），不带标志的TCP数据包，同时设置SYN和FIN的TCP数据包以及仅具有FIN但没有A??CK的TCP数据包。 ，未知协议。

4、具有IP选项的数据包保护：在Internet协议（RFC 79 1）中，指定了一组选项以提供特殊的路由控制，诊断工具和安全性。这是IP数据包头的目的。协议认为这些选项“对于最常用的通信而言是不必要的。”在实际使用中，它们很少出现在IP标头中。这些选项通常用于某些恶意目的。

IP选项包括：

选中要检查的IP选项的复选框；清除取消支票的选项。

通常情况下，以上两个部分的数据包不会出现。它们是异常数据包，可能被病毒或攻击者探测。如果设置了相应的攻击保护功能，则路由器将丢弃相应的数据包。

本文主要介绍了本公司企业级路由器的攻击防护的处理机??制和效果，并通过列举一些示例进行了详细说明。示例中使用的参数仅用于测试，可能与实际使用环境不符。在特定的使用过程中，您需要根据实际的网络使用环境进行调试，以找到合理的阈值来有效保护您的Internet。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-366153-1.html