您现在的位置 : 路由人 > 路由器设置 > 正文 IP地址冲突 路由人教你更换IP地址 / 如何防蹭网的终极解决办法 / 连接上192.168.1.1没有账号、密码输入框 /

水星路由防攻击思路

一个网络的安全取决于路由器的防护能力,目前网络上各种各样的病毒和攻击很多,几乎每时每刻都会有病毒试图通过路由器,进入到内部网络,本篇就以水星路由为例,为大家介绍在如何最大限度防止网络攻击的设置思路...

一个网络的安全取决于路由器的防护能力,目前网络上各种各样的病毒和攻击很多,几乎每时每刻都会有病毒试图通过路由器,进入到内部网络,本篇就以水星路由为例,为大家介绍在如何最大限度防止网络攻击的设置思路,希望可以帮助到大家。


 

一、使用ip verfy unicast reverse-path检查每一个经过路由器的数据包,该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包,单一地址反向传输路径转发在ISP实现阻止SMURF攻击和其它基于IP地址伪装的攻击,这能够保护网络和客户免受来自互联网其它地方的侵扰。

二、使用Unicast RPF 需要打开路由器的CEF swithing选项,不需要将输入接口配置为CEF交换,只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其它交换模式,反向传输路径转发属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。

三、使用访问控制列表过滤列出的所有地址

interface xy

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

四、ISP端边界路由器应该只接受源地址属于客户端网络的通信,而客户端网络则应该只接受源地址未被客户端网络过滤的通信。

access-list 190 permit ip {客户端网络} {客户端网络掩码} any

access-list 190 deny ip any any [log]

interface {内部网络接口} {网络接口号}

ip access-group 190 in

五、如果打开了CEF功能,通过使用单一地址反向路径转发,能够充分地缩短访问控制列表的长度以提高路由器性能。为了支持Unicast RPF,只需在路由器完全打开CEF;打开这个功能的网络接口并不需要是CEF交换接口。

六、如果突变速率设置超过30%,可能会丢失许多合法的SYN数据包,使用show interfaces rate-limit命令查看该网络接口的正常和过度速率,能够帮助确定合适的突变速率,这个SYN速率限制数值设置标准是保证正常通信的基础上尽可能地小。

通过上面的设置,我们就可以防止目前网络上大部分的攻击,当然这只是针对一些随机性的攻击,并不能防止有心人恶意的入侵,这就需要网络有坚强的网络技术了。

延伸阅读:
  • 本月热点
  • 随机推荐
路由人提示:如需转载本站无线连接及路由器设置等技术文章请您注明出处,谢谢!
Copyright © www.LuYouRen.com, All Rights Reserved.
  苏ICP备12075116号