星空（中国）官方网站-官方授权体育平台

　　网络解决方案.doc网络解决方案本资料由乐度教程制作组整理 I .Systemlodoeshop制作乐度教程制作组制作时间:2010年3月1511制作网站:先来服务热线:第一部分配置原则概述随着网络建设和应用的不断深入,网络安全问题止逐渐成为一个突出的管理问题。AR18系列路山器通过多种手段和配置可以控制和管理网络的流量,能够有效地实施务种防攻击策略。尤其在网吧这种复杂的网络环境屮,全而合理的配置能够大大捉高网络的稳定性和可靠性n曲于网吧上网人员数量多、构成复杂、流动性大,因此网络流量具有流量大、协议星空体育官方入口 星空体育官网种类多、流量复杂等特点。—•般网吧局域网内均有一定程度主机感染病毒,同时也很容易被用來发起网络攻击,或者被他人攻击,这就对网吧中的核心设备一一网关提出了较高的要求。本文以AR18系列路山器为例讲解网关在网吧应用中需要注意的配置事项,同时给出了各种组网情况下的典型配置。,控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管路山器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。。在RFC2827/BCP38(BestCurrentPractice)中高度建议使用入II过滤,这不仅可以使你的网络安全,而口可以使其它的网络不会被來自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址來隐藏它们的身份,在网络使用了入口过滤功能后,也更加容易定位网络攻击者,因为攻击者必须使用真实的源IP地址。例如:,,在局域网接口可以设置::。例如:#aclnumber3011rule160permiticmpicmp-typeechorule161permiticmpicmp-typeecho-replyrule162permiticmpicmp-typettl-exceededrule206permittcpdestination-rule3000denyip#1/-filter3011inboundfirewallaspf1outbound#注意事项:山于目前ASPF対内存和性能的影响较大,网吧应用环境中不建议在AR18系列路山器上进行配置。在所有的出报文都需要进行NAT的情况下-•。大量的攻击和病毒使用ICMP报文作为攻击于段。是使用的ICMP绝人部分是ping和traceroute=大量的其它icmp类型并不使用。[大I此,实际上我们可以仅允许ICMP的pingecho和pingreply及traceroute所需要的TTL开放。其它的均可以关闭。例如:aclnumber3001rule160permiticmpicmp-typeechorule161permiticmpicmp-typeecho-replyrule162permiticmpicmp-typettl-,充斥着大帚的网络扫描。基于UDP137,138端口的扫描是常见的扫描,bios的数据报和名字服务。通殆情况下,进入到路山器的137和138包是广播包,血路山器在默认情况下是不转发这些广播包的。但在某些情况下,一些扫描工具扫描UDP137和UDP138的端口,以图找出主机上的共享文件夹。这种情况下,进入路山器的数据包会是unicast的137和138,I佃口通常目的地址不停变化。因此我们可以将这些UDP138和138的数据包通过ACL扌当断。保护用八和网络的安全。例如:aclnumber3001rule31denyudpdestination-bios-nsrule41denyudpdestination-bios-dgmrule51denyudpdes