磊科路由器防火墙设置的问题分析
软件云 人气:0一、保护本地电脑,防火墙必须监控那些到本地网络地址的连接,只有有权到某些主机和服务的连接才能被允许,这项工作可以在forward中设置,以便比较匹配决定通过路由所有连接界面到本地网路目的地址的数据包。
二、保护路由避免没有认证的访问,防火墙必须监控那些到路由的连接,只能允许某些特定的主机到路由某些特定的tcp端口的访问,这项工作可以在input中设置,以便比较匹配通过路由所有连接界面到路由目的地址的数据包。
三、利用nat将本地的网络隐藏在一个公网的ip后面,所有本地网络的连接被伪装成来自路由本身的公网地址。这项工作可以通过启用伪装行为来实现源地址转换规则。
四、强制本地网络连接到公网的访问原则,防火墙必须监控那些来自本地网络地址的连接。这项工作可以通过forward中设置,或者通过伪装哪些被允许的连接来实现。数据的过滤会对router的性能造成一定的影响,为了把这个影响降到最低,这些过滤的规则必须放在各个chain的顶部,这个在传输控制协议选项non-syn-only中。
五、网络攻击产生的攻击数据流量在到达最终攻击目标时,数据流量可能是非常巨大的,为了保护被攻击的系统免于崩溃,我们可以采取以下两种策略:
1、在最终攻击目标的网络边界路由器上使用访问控制列表,拒绝将ping攻击数据包发往被攻击的主机。但这是一个粗努的方法,因为当你在路由器上完全限制了发往被攻击主机的ping数据包之后,其它希望正常通过的ping数据包也将无法通过。
2、在边界路由器上使用访问控制列表过滤ping数据之后,虽然可以保护路由器连接的内部网络免受攻击,但攻击的数据还是会大量涌入路由器,导致路由器接口的阻塞。
3、在最终攻击目标的网络边界路由器上使用CAR限制是一种更为可取的方法。通过CAR可以将流入网络的某一类数据包的总流量限制在一定的范围,从而可以保证其它数据的正常通过。
今天的内容就给大家介绍到这里了,想要更好设置路由器,那么了解以上的知识是必须的,如果你还有兴趣了解更多,可以查看关于H3C路由器设置。
加载全部内容