购买支持1
购买支持2
综合支持1
技术支持1
技术支持2
技术支持3
| 摘要:上网行为管理产品,如何设置路由器上防止DDoS攻击,上网行为管理,内容过滤管控,防止网络攻击
|
上网行为管理产品,如何设置路由器上防止DDoS攻击 |
一、上网行为管理产品 如果说路由器 实现了企业内部网与Internet的互联互通,那么网络层防火墙就是企业内部网与Internet互联互通上的过滤岗哨,它根据数据包的性质(数据包的 性质有目地和源IP地址、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。)进行包过滤,主要发挥在网络层的访问控制保障作用。 网络层防火墙在20世纪90年代推向市场,设计策略遵循安全防范的基本原则是“除非明确允许,否则就禁止”。为了实现企业内部网与Internet的互 联互通,以满足企业基本Internet应用的需求,通常网络层防火墙对外开放了80、443、25、110和21等http、https、smtp、 pop3和FTP这几种协议常用的标准端口。 然而,如今随着网络技术的发展,80、443、25、110和21端口不再仅仅是常用的 http、https、smtp、pop3和FTP等应用协议使用的专利,越来越多的应用可以自动扫描防火墙的开放端口进行通信,例如IM、P2P、流媒 体、网络游戏、网络炒股等Internet应用,同时网络威胁的散布与攻击技术也不再限于网络层,而上升到基于http、 https、smtp、pop3和FTP等应用协议的数据包中。这样一来传统网络层防火墙基于数据包性质的过滤规则,就没法检测数据包的内容,也就无法分 析检测过滤出其中的网络应用威胁。 于是为了防御网络层防火墙通常所开放的这5个常用Internet应用协议所带来的网络威胁,像木 马、病毒、间谍软件等,出现了防病毒网关(这是国内的叫法,国外叫Anti-malware网关)。同时出现的还有上网行为管理产品,对IM,P2P,流 媒体,网络游戏,网络炒股、web2.0站点等加以管控,他的强项在于对于网络应用的管理,而并非防御网络应用威胁。Web安全网关最早出现是在防病毒网 关的基础上增加了对 URL的分类过滤,主要实现对http、https、FTP、SMTP、POP3等应用协议的安全与web内容过滤管控。 二、如何设置路由器上防止DDoS攻击 1、使用访问控制列表(ACL)过滤RFC 1918中列出的所有地址:参考以下例子: interface xy ip access-group 101 in access-list 101 deny ip 10.0.0.0 0.255.255.255 any access-list 101 deny ip 192.168.0.0 0.0.255.255 any access-list 101 deny ip 172.16.0.0 0.15.255.255 any access-list 101 permit ip any any 2、参照RFC 2267,使用访问控制列表(ACL)过滤进出报文:参考以下例子: {ISP中心} -- ISP端边界路由器 -- 客户端边界路由器 -- {客户端网络} ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。 以下是ISP端边界路由器的访问控制列表(ACL)例子: access-list 190 permit ip {客户端网络} {客户端网络掩码} any access-list 190 deny ip any any [log] interface {内部网络接口} {网络接口号} ip access-group 190 in 以下是客户端边界路由器的ACL例子: access-list 187 deny ip {客户端网络} {客户端网络掩码} any access-list 187 permit ip any any access-list 188 permit ip {客户端网络} {客户端网络掩码} any access-list 188 deny ip any any interface {外部网络接口} {网络接口号} ip access-group 187 in ip access-group 188 out 如果打开了CEF功能,通过使用单一地址反向路径转发(Unicast RPF),能够充分地缩短访问控制列表(ACL)的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。 3、使用CAR(Control Access Rate)限制ICMP数据包流量速率 参考以下例子: interface xy rate-limit output access-group 2020 3000000 512000 786000 conform-action transmit exceed-action drop access-list 2020 permit icmp any any echo-reply 请参阅IOS Essential Features 获取更详细资料。 |
作者: AnyView(网络警)网络监控软件 时间: 2022-12-16 10:08:43 点击:
|
相关资讯:
[网络监控软件在企业网管中应用实践] 怎样对员工上网行为管理,网络安全审计,局域网行为监控,员工行为管理 [网络监控软件在企业网管中应用实践] 选择上网行为管理系统,怎样选购上网行为监控软件,局域网监控软件 [网络监控软件在企业网管中应用实践] 无序上网行为危害及应对办法,部署上网行为管理软件,管理员工上网行为 [网络监控软件在企业网管中应用实践] 局域网上网行为管理,局域网监控,上网行为控制,电脑监控软件,内网监控系统 [网络监控软件在企业网管中应用实践] 局域网上网管理策略,防止滥用互联网,控制员工上网,规范员工上网行为 [网络监控软件在企业网管中应用实践] 如何防止员工上网成瘾?控制员工上网行为,员工上网行为管理,上网监控 [网络监控软件在企业网管中应用实践] 局域网网络行为规范化管理,消除网络安全威胁,局域网内网安全管理,网络监控 [网络监控软件在企业网管中应用实践] 上网行为管理软件和上网监控系统是企业局域网管理的良方,上网监监控系统 [网络监控软件在企业网管中应用实践] 选购上网行为管理软件,局域网监控软件,上网行为管理产品测试比较 [网络监控软件在企业网管中应用实践] 上网监控管理解决方案实例,规范员工上网行为,局域网监控解决方案 |
首页 |
著名局域网网络监控软件介绍 |
最好的QQ聊天记录内容监控软件 |
上网行为监控软件购买
Copyright © 2000-2025 Amoisoft.com 厦门天锐科技股份有限公司 版权所有 E-MAIL:Sales@Amoisoft.com
闽ICP备06031865号-3
闽公网安备 35021102001279号
官方下载1