星空（中国）官方网站-官方授权体育平台

　　《网络解决方案.doc》由会员分享，可在线阅读，更多相关《网络解决方案.doc（53页珍藏版）》请在知学网上搜索。

　　1、 第一部分 配置原则概述 随着网络建设和应用的不断深入，网络安全问题正逐渐成为一个突出的管理问题。AR18系列路由器通过多种手段和配置可以控制和管理网络的流量，能够有效地实施各种防攻击策略。尤其在网吧这种复杂的网络环境中，全面合理的配置能够大大提高网络的稳定性和可靠性。 由于网吧上网人员数量多、构成复杂、流动性大，因此网络流量具有流量大、协议种类多、流量复杂等特点。一般网吧局域网内均有一定程度主机感染病毒，同时也很容易被用来发起网络攻击，或者被他人攻击，这就对网吧中的核心设备――网关提出了较高的要求。本文以AR18系列路由器为例讲解网关在网吧应用中需要注意的配置事项，同时给出

　　2、了各种组网情况下的典型配置。 1 需要注意的配置事项 1.1 配置ACL对非法报文进行过滤 ACL 是每个安全策略的组成部份，控制和监视什么数据包进入和离开网络几乎是网络安全的定义。尽管路由器的工作是进行数据包的转发而不是阻止它。但是有些数据包我们必须阻止它。 1.1.1 进行源IP和目的IP过滤 至少应该在所有的接口上对入方向的报文进行过滤。在RFC2827/BCP 38 (Best Current Practice ) 中高度建议使用入口过滤，这不仅可以使你的网络安全，而且可以使其它的网络不会被来自你的网络的伪装的源IP给攻击。许多的网络攻击者使用伪装的源IP地址来隐

　　7、ly rule 162 permit icmp icmp-type ttl-exceeded rule 165 deny icmp 1.1.3 限制netbios协议端口 在现今的网络上，充斥着大量的网络扫描。 基于UDP 137, 138 端口的扫描是常见的扫描，UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下，进入到路由器的137和138包是广播包，而路由器在默认情况下是不转发这些广播包的。但在某些情况下，一些扫描工具扫描UDP 137 和UDP138的端口，以图找出主机上的共享文件夹。这种情况下，进入路由器的数星空体育官方入口 星空体育官网据

　　14、 需要使用NAT转换地址池时，应尽量缩小NAT转换地址池的大小，因为地址池越大，占用的内存空间就可能会越大，大的地址池对于内存较小的设备很可能会导致内存耗尽。AR系列路由器上每个NAT转换地址可以支持50000个会话，网吧每台机器正常上网时平均会创建30条会话，因此一般情况下地址池配置1个NAT转换地址就可以满足需求。 建议在AR18系列路由器上配置NAT地址池时只配置1个IP地址。 例如： nat address-group 1 218.27.192.1 218.27.192.1 1.3 路由配置注意事项 RFC1918中指定的保留的私有地址和其他已知的私有地址不应该存在

　　16、erence 60 ip route-static 198.18.0.0 255.254.0.0 NULL 0 preference 60 1.4 进行IP-MAC地址绑定 由于网吧上网人员比较复杂，可能有人有星空体育官方入口 星空体育官网意或无意地更改IP地址，或者使用网络执法官等软件进行恶意地破坏，通过在网关和客户机上都进行IP-MAC地址绑定（静态ARP），可以有效地防止这类以ARP欺骗为基础的攻击。 在网关上可以通过arp static命令对所有的客户机进行静态ARP设置。 在客户机上可以建立一个批处理文件放到启动组里，批处理文件的内容就是对网关进行IP-MAC绑定，这样每次启动就都会自动进行设置。 客户机设置静态ARP的实例： @echo off arp –s 192.168.1.1 00-0f-e2-21-a0-01 1.5 限制P2P应用（根据实际情况可选） P2P应用对于网吧带宽来说是致命杀手，一个P2P客户端就有可能占用总带宽的90％以上，这会严重影响网吧的其他用户的正常上网，尤其是玩在线P应用有多种方式可以选择，但目

　　如PPT文件的首页显示word图标，表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

　　部分文档作品中含有的国旗、国徽等图片，仅作为作品整体效果示例展示，禁止商用。设计者仅对作品中独创性部分享有著作权。