服务器安全防护软件有那些
1、悬镜服务器卫士
悬镜服务器卫士官方版拥有安全体检、应用防护、木马查杀、资源监控、网络防护、主机防护等特色功能,软件针对Web服务器设计了一套全面的防护方案。
2、服务器安全狗
服务器安全狗功能涵盖了服务器杀毒、系统优化、服务器漏洞补丁修复、防CC攻击、防入侵防篡改、为用户的服务器在运营过程中提供完善的保护,使其免受恶意的攻击、破坏。
3、超级盾(Web)
超级盾(Web)对网站业务流量进行检测,识别恶意流量请求和防御未知威胁,确保客户的网络数据中心稳定运行,解决流量攻击带来的网站/服务器无法运行问题,DDOS防护无上限,100%防CC。
4、DDoS防护
阿里云DDoS防护服务是以阿里云覆盖全球的DDoS防护网络为基础,结合阿里巴巴自研的DDoS攻击检测和智能防护体系.
自动快速的缓解网络攻击对业务造成的延迟增加,业务中断等影响,从而减少业务损失,降低潜在DDoS攻击风险。
5、安卫士
“安卫士”是台州安云科技有限公司于2016年面向广大市场推出的一个网络安全防护品牌,该产品有效地解决了传统防御方式过于被动的重大缺陷,并在DDOS防御方面实现了极大突破。
参考资料来源:百度百科-悬镜服务器卫士
参考资料来源:百度百科-服务器安全狗
参考资料来源:官网-超级盾(Web)
参考资料来源:官网-DDoS防护
参考资料来源:官网-安卫士
什么杀毒软件最好?
免费使用正版卡巴的方法
360安全卫士是卡巴推出的,免费提供杀毒功能,内嵌全球顶级的专业杀毒厂商卡巴斯基提供,卡巴可以免费升级半年,半年后是否收费还没有定,如果收费的话重新安装一次即可。
下载360安全卫士!!(全免费的)下载地址:
点击最上面的面板里有"病毒查杀"几个字,下面就有下载卡巴斯基的地址和注册码,下载了安装程序后,照着步骤安装就行了,要输入姓名时乱输,注册码你每下载一个360安全卫士就有一个,照着输入就行了.
我现在就是用这个的,是最新的6.0版本.360安全卫士里的卡巴是直接连接到官网并且在官网下载的,够正版了吧!!!注册后这个卡巴就等于是你得了,升级查杀病毒样样OK!
1.玉树临风麦咖啡:McAfee VirusScan 10.0.27简体版
系统支持:[url=]Win2003/Winvista/WinXP/Win[/url]
软件大小:10.22MB
软件语言:简体中文
软件授权:免费
软件简介:McAfee防毒软件,除了操作介面更新外,也将该公司的WebScanX功能合在一起,增加了许多新功能!除了帮你侦测和清除病毒,它还有VShield自动监视系统,会常驻在System Tray,当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改你的设定。
使用方法:安装之后使用电子邮箱注册,可以使用1年。安装之后有注册提示,按照提示一步一步进行就可以了。
下载地址:
2.神秘杀手AVAST!:avast! Home Edition 4.7.936简体中文版
软件大小:12642KB
软件语言:简体中文
软件类别:国外软件/免费版/杀毒软件
运行环境:Win9x/Me/NT/2000/XP/2003
软件简介:avast! Home Edition是一款免费的防毒软件,但功能上可是一点也不逊色,它拥有着一个近几100%的完全防护功能,不论是文件、电子邮件,甚至是P2P以及IM软件,均在它的防护之下,它的网络防护功能,就如同一个轻量级的防火墙,让我们不论是计算机系统安全或是网络安全,都受到它严密的保护。和专业版相比,少了两个可有可无的功能,无所谓。来自捷克,在欧洲很响亮的杀毒软件,号称唯一可以和NOD32抗衡的软件。
使用方法:安装之后是两个月试用版,按照提示使用电子邮箱注册一下,可以使用14个月。升级之后版本变成4.7.942.
下载地址:
3.能力超强小红伞:Avira AntiVir PersonalEdition Classic7.0
软件大小:13M
软件语言:英语
软件类别:国外软件/免费版/杀毒软件
运行环境:Windows NT / 2000 / XP
软件简介:来自德国的小红伞,这个是免费的C版,对于小红伞,我不想多说什么,各大论坛都有很好的口碑,我的评价只有一个字——强!这个东西只有英文版,由于内核保护问题,不能汉化,建议有一定英语基础的朋友使用。
使用方法:安装就可以用,注意设置,需要开启启发扫描功能。
下载地址:
4.免费先锋:ClamWin Free Antivirus v0.90
软件大小:5.56M
软件语言:英语
软件类别:国外软件/免费版/杀毒软件
运行环境:Win9x/Me/NT/2000/XP/2003
软件简介:ClamWin是一套功能非常优秀的免费防毒软件。它的体积非常娇小,不会占用太多计算机资源,不像其它防毒软件安装之后会拖累整台计算机的速度。而且除了强大的文件与电子邮件防护能力之外,它还拥有排程扫描、在线更新病毒码、及时侦测等功能,和市面上知名防毒软件比起来一点也不逊色!
使用方法:安装就可以用了。建议英语好的朋友使用。
官方网站:
下载页面:
5.性能强大AVG:AVG Anti-Virus 7.5 Build 447a967
软件大小:未知
软件语言:英语
软件类别:国外软件/免费版/杀毒软件
运行环境:Win9x/Me/NT/2000/XP/2003
软件简介:AVG Anti-Virus System功能上相当完整,可即时对任何存取文件侦测,防止电脑病毒感染;可对电子邮件和附加文件进行扫瞄,防止电脑病毒透过电子邮件和附加文件传播;“病毒资料库”里面则记录了一些电脑病毒的特性和发作曰期等相关资讯;“开机保护”可在电脑开机时侦测开机型病毒,防止开机型病毒感染。在扫毒方面,可扫瞄磁碟片、硬盘、光盘机外,也可对网络磁碟进行扫瞄。在扫瞄时也可只对磁碟片、硬盘、光盘机上的某个目录进行扫瞄。可扫瞄文件型病毒、巨集病毒、压缩文件(支持ZIP,ARJ,RAR等压缩文件即时解压缩扫描)。在扫瞄时如发现文件感染病毒时会将感染病毒的文件隔离至AVG Virus VauIt,待扫瞄完成后在一并解毒。
使用方法:安装之前先去填个表,从回信中得到一个序列号。
下载地址:
下载AVG Anti-Virus 7.5 Build 447a967
下载AVG Anti-Virus with Firewall 7.5 Build 447a967
6.精简版本卡巴斯基:Active Virus Shield 6.0.308
软件大小:13900 K
软件语言:简体中文
软件类别:国外软件/免费版/杀毒软件
运行环境:Win9x/Me/NT/2000/XP/2003
软件简介:美国在线AOL周一推出了一款免费的杀毒软件,更令人激动的是,这款软件实际上是由俄罗斯安全软件专家卡巴斯基为其编写的。软件包含了实时监控,邮件扫描,每小时自动更新等功能。除了基本的扫描防护和自动更新外,软件还有许多新的特性,如可在系统繁忙时让出资源,避免减慢系统速度等。该安全软件还为迅驰笔记本电脑及超线程技术做了优化,支持64位Windows操作系统。
使用方法:到这里申请一个序列号就可以使用1年。精简了部分功能的卡巴斯基
下载地址:;pn=0.html
汉化补丁:没办法,原地址不能正确显示,进去找吧。
7.老牌杀毒诺顿:Symantec Antivirus V10.1.4.4000简体中文企业版
软件大小:28.05MB
软件语言:简体中文
软件类别:国外软件/病毒防治
应用平台:Win2003/WinXP/Win2000/Win9X
软件简介:Symantec AntiVirus Corporate (诺顿杀毒软件企业版本)是世界上最优秀的杀毒软件之一,这个是企业版本,和专业版本、标准版本相比能为你带来更低的系统资源占用,更可靠的性能!希望大家喜欢!为企业范围内的工作站和网路服务器提供全面的病毒防护-全球唯一病毒码更新的速度远快于病毒散播的速度的病毒防护方案(台湾地区简称-赛门铁克企业防毒组合B-包含工作站及伺服主机的多层次防毒便利授权与中央控管的机制)随着传播性、破坏性强的病毒出现得越来越多,企业范围内的病毒防护需求已经变为一项重要核心业务需求。仅仅在防火墙和电子邮件闸道具有安全性还不能够实现病毒全面防护。工作站以及网路服务器层级的全面病毒防护是确保系统正常运行和用户生产率的重要需求。本来还有更新的10.1.5.500简体版,考虑没有安全下载链接,省去。
下载地址:
8.貌似国产熊猫卫士:Panda Internet Security 2007 v11.00.02(熊猫卫士互联网安全套装2007)
软件大小:28.79 MB
软件语言:不明
软件类别:国外软件/病毒防治
应用平台:Win2003/WinXP/Win2000/Win9X
软件简介:熊猫卫士是Panda软件公司在中国推出的反病毒产品。Panda软件公司是欧洲第一位的计算机安全产品公司,也是唯一最大的杀病毒软件公司内拥有100%自有技术,且足以同美国相抗衡的公司,同时Panda也是世界上在该领域成长最快的公司。如今Panda Software公司的业务领域已经拓展到美国、中国、丹麦、德国、法国、阿根廷、巴西、保加利亚、塞普路斯、立陶宛、拉脱维亚、新加坡、南非、曰本、加拿大、及印度等32个国家和地区。迄今,Panda Software进军的每一个国家都取得了业务的成功,在所有进入的市场均取得了成功,在欧洲及世界范围内享有卓越的声誉。
Panda软件公司拥有欧洲最强大的技术开发力量,在欧洲的开发中心有150位开发人员曰夜不停地开发最先进的反病毒技术,同时Panda公司在全球与业界的知名公司机构如Microsoft、ICSA的合作使Panda公司的产品在底层与主流平台紧密结合,同时Panda公司是世界上率先提出365天24小时客户技术支持的反病毒公司,现在该项服务业已成为业界的潮流,而Panda公司的24小时紧急新病毒查杀服务在1998年度全球达到98%的成功率,Panda公司拥有庞大的病毒特征库,多达50,000种。
熊猫卫士获得的奖项及证书Panda软件公司的产品在世界各地有超过2,000,000用户,其中典型的用户包括:百事、3M、奔驰、爱立信、NEC、松下、西门子、柯达、DHL、波音公司等。Panda公司的产品是世界上唯一同时被世界最权威的杀病毒检测机构ICSA及Checkmark认证的基于Win95/98、Win3.1X、Win NT工作站、Dos、OS/2、NovelNetware、Win NT、MS Exchange服务器及客户机的多平台反病毒产品,Panda软件多次获得最权威的PC Magazine杂志评选的最佳编辑选择奖,并在PC Magazin杂志199x多年度在被评测的杀病毒软件中名列第一。
使用方法:本来是收费的杀软,但是在美国有免费的送号活动,我们可以借来用用,是送1年的序列号。以下是免费注册地址,注册后即可收到激活码,上网激活后可免费用一年,与正版一摸一样。
至于他显示必须美国用户才能注册,因为是美国的一家科技公司赞助的,没别的意思。
去以下代理即可
国内很多邮箱不能注册,我用雅虎的和谷歌的都可以,有人说搜狐也行,我试验没有成功。电话号码一定要填美国的,格式如下:626-258-6523后面的有XXXXX的自己随便填。
下载地址:
…5-09-20/12576.shtml
9.强横霸道卡巴斯基:卡巴斯基杀毒软件单机版6.0
这个软件不用我多说了,地球人都知道的东西,杀毒能力世界第一,基本上所有的杀毒软件吹嘘自己的杀毒能力的时候都喜欢拿卡巴作为参照物,是所有杀毒软件准备超越的目标和梦想。本来是要花钱的,安装一个360安全卫士可以得到半年正版注册码,稍微动动手脚可以得到两个,能用一年。使用方法当然是下载360安全卫士豪华版,安装的时候把卡巴斯基一起安装,然后就可以得到激活码,就这么简单。华军软件园、太平洋、天空下载和360官方网站都可以下载,不知道网址就百度一下。
10.潇洒凌厉NOD32:NOD32杀毒软件
NOD32在全球共获得超过100多个奖项,包括Virus Bulletin, PC Magazine, ICSA认证, Checkmark认证等,更加是全球唯一通过42次VB100%测试的防毒软件,高据众产品之榜首!
注意:请于安装后立刻更新您的病毒库以保障您的电脑获得最好的保护!
注意:若您的电脑装有NOD32试用版,您必须在安装商业版之前将试用版卸装并重新启动电脑!
没有正版ID的。用升级服务器
注意:得到ID之后先进行注册,得到用户名和密码,安装的时候用,切记,不然可能出问题。
软件下载:NOD32简体版2.51
NOD32简体版2.70
免费使用正版卡巴的方法
360安全卫士是卡巴推出的,免费提供杀毒功能,内嵌全球顶级的专业杀毒厂商卡巴斯基提供,卡巴可以免费升级半年,半年后是否收费还没有定,如果收费的话重新安装一次即可。
下载360安全卫士!!(全免费的)下载地址:
点击最上面的面板里有"病毒查杀"几个字,下面就有下载卡巴斯基的地址和注册码,下载了安装程序后,照着步骤安装就行了,要输入姓名时乱输,注册码你每下载一个360安全卫士就有一个,照着输入就行了.
我现在就是用这个的,是最新的6.0版本.360安全卫士里的卡巴是直接连接到官网并且在官网下载的,够正版了吧!!!注册后这个卡巴就等于是你得了,升级查杀病毒样样OK!
Avast!4 Home Edition 杀毒软件。
如何防止服务器被大流量攻击?
1.修改密码账号
当我们在服务器租用以后,对于登录密码要进行修改,密码的组成尽量复杂一些,这样就可以防止服务器的密码被有心的人盗用,导致一些不必要的损失。
2.限制登录后台的IP
限制登录后台的IP好处在于不是自己设定的IP,那就不能进行后台登录,这样的话,在最根本上就严禁了其他IP来登录后台,为我们的安全上了一道密码锁。
3.及时修复漏洞
很多网络攻击者会根基系统存在的漏洞发动攻击,这样的话,就很容易造成安全事故的发生,因此对于服务器出现的漏洞一定要在第一时间及时的进行修复,杜绝网络攻击者利用这些漏洞进行网络攻击。
4.严禁服务器下载其他软件
大家都知道,很多的软件都带有一些广告,网络攻击者正是利用了这一点,在软件中插入病毒,当下载这些软件程序的时候,一起就把病毒植入了服务器,之后对服务器进行攻击,盗取数据等操作,服务器的数据信息就完全的暴露在了攻击者面前,对企业的伤害是不可言喻的。
5.定期维护
定期维护的重要性不言而喻,这都会对服务器的安全起到很好的保护作用。因此定期的扫描是运维人员日常工作重要的一个方面
如何防止服务器被恶意网络攻击?
1.在各个地区部署代理ip的节点,使访问者能够迅速连接到附近的节点,使访问者能够更快地访问网站,CDN缓存能够进一步提高网站的访问速度,减轻对网站服务器的压力,提高网站服务器的稳定性。
2.代理ip的防御机制并非一种固定的防御策略。针对各种攻击类型,可以更好的阻断清理攻击,针对网站的攻击类型,采取针对性的防御策略。
3.网站服务器隐藏在后端,代理ip节点部署在前端,访问者访问或攻击与代理ip节点连接,代理ip的防御机制自动识别是否为攻击,如果有,则自动清洗过滤。
4.将网站域名分析为代理ip自动生成的CNAME记录值,并修改网站域名分析,网站域名未分析为网站服务器IP,从而使网站服务器IP地址隐藏在公共网络中。
如果电脑被网络僵尸攻击,应该怎么办?应如何防御?
僵尸网络防御方法
如果一台计算机受到了一个僵尸网络的DoS攻击,几乎没有什么选择。一般来说,僵尸网络在地理上是分布式的,我们难于确定其攻击计算机的模式。
被动的操作系统指纹识别可以确认源自僵尸网络的攻击,网络管理员可以配置防火墙设备,使用被动的操作系统指纹识别所获得的信息,对僵尸网络采取行动。最佳的防御措施是利用安装有专用硬件的入侵防御系统。
一些僵尸网络使用免费的DNS托管服务将一个子域指向一个窝藏“肉鸡”的IRC服务器。虽然这些免费的DNS服务自身并不发动攻击,但却提供了参考点。清除这些服务可以破坏整个僵尸网络。近来,有些公司想方设法清除这些域的子域。僵尸社团将这种路由称之为“空路由”,因为DNS托管服务通常将攻击性的子域重新定向到一个不可访问的IP地址上。
前述的僵尸服务器结构有着固有的漏洞和问题。例如,如果发现了一个拥有僵尸网络通道的服务器,也会暴露其它的所有服务器和其它僵尸。如果一个僵尸网络服务器缺乏冗余性,断开服务器将导致整个僵尸网络崩溃。然而,IRC服务器软件包括了一些掩饰其它服务器和僵尸的特性,所以发现一个通道未必会导致僵尸网络的消亡。
基于主机的技术使用启发式手段来确认绕过传统的反病毒机制的僵尸行为。而基于网络的方法逐渐使用上述技术来关闭僵尸网络赖以生存的服务器,如“空路由”的DNS项目,或者完全关闭IRC服务器。
但是,新一代的僵尸网络几乎完全都是P2P的,将命令和控制嵌入到僵尸网络中,通过动态更新和变化,僵尸网络可以避免单个点的失效问题。间谍软件可以将所有可疑的口令用一种公钥“硬编码”到僵尸软件中。只能通过僵尸控制者所掌握的私钥,才能读取僵尸网络所捕获的数据。
必须指出,新一代僵尸网络能够检测可以分析其工作方式的企图,并对其作出响应。如大型的僵尸网络在检测到自己正在被分析研究时,甚至可以将研究者从网络中断开。所以单位需要专业的僵尸网络解决
僵尸网络解决方案
好消息是在威胁不断增长时,防御力量也在快速反应。如果你是一家大型企业的负责人,你可以使用一些商业产品或开源产品,来对付这些威胁。
首先是FireEye的产品,它可以给出任何攻击的清晰视图,而无需求助于任何签名。FireEye的虚拟机是私有的,这就减轻了攻击者学会如何破坏这种虚拟机的危险。FireEye可以识别僵尸网络节点,阻止其与客户端网络的通信。这使得客户的IT人员在FireEye发现僵尸网络攻击时就可以采取行动,然后轻松地重新构建被感染的系统。在网络访问不太至关重要时,可以立即禁止受感染的机器。Damballa创建了其自己的技术来跟踪并防御僵尸网络。这家公司的Failsafe解决方案能够确认企业网络内的受损害的主机,而无需使用签名技术或基于行为的技术。此外,SecureWorks和eEye Digital Security也拥有自己对付僵尸网络的专用技术。
著名的大型公司,如谷歌等,不太可能被僵尸网络击垮。其原因很简单,它们主要依赖于分布式服务器。DDoS攻击者将不得不征服这种全球性的分布式网络,而这几乎是不太可能的,因为这种网络可以处理的数据量可达每秒钟650Gb。小型公司可通过谨慎选择其互联网供应商来防御DDoS攻击,如果供应商能够在高速链路接入水平上确认和过滤攻击就是一个好主意。
不过,由于DDoS攻击活动太容易被发现而且强度大,防御者很容易将其隔离并清除僵尸网络。犯罪组织典型情况下会保留其资源用于那种既可为其带来更多金钱又能将暴露程度减少到最小的任务中。
如何把受网络攻击的服务器等设备从网络中隔离出来
1、外部来的DoS攻击会造成网络掉线,判别方法是从路由器的系统日志文件中可以看出,Qno侠诺的路由器会显示遭受攻击,而且路由器持续在工作。其它品牌的路由器,有些也有相关的功能,用户可以查看使用手册。DoS病毒攻击,如SYN攻击,因为发出大量数据包导致系统资源占用过多,使路由器损耗效能造成网络壅塞,达到瘫痪网吧网络对于广域网来的攻击,路由器能作的不多,也无法反击。此时,网吧管理者或网管应直接联系对应的运营商,请求更换WAN IP。
2、内网遭受DoS攻击时,也会造成掉线或壅塞。网吧管理者或网管可以从被激活的告警日志中,查找到内网攻击源头的中毒机器,第一时间先拔除PC机网络线,阻止DoS攻击影响扩大,并进行杀毒或重新安装系统。
3、内网遭受冲击波攻击是另一个原因,冲击波攻击,是针对网络特定服务端口(TCP/UDP 135~139,445)发出大量数据包导致系统资源占用过多,使路由器损耗效能造成网络壅塞,以达到瘫痪网吧网络的目的。同样网吧管理者或网管可以从Qno侠诺被激活的告警日志中,发现问题。 网吧管理者或网管可以针对特定服务端口(TCP/UDP 135~139,445)设置网络存取条例,并从被激活的防火墙日志中,查找到内网攻击源头的中毒机器,第一时间先拔除PC机网络线,阻止冲击波攻击影响扩大,并进行杀毒或重新安装系统。
4、内网遭受ARP攻击是最近常发生的原因,ARP病毒攻击以窜改内网PC机或路由器 IP或MAC地址,来达到盗取用户账号/密码,进一步进行网络盗宝等犯罪行为,或是恶意瘫痪网吧网络。ARP病毒攻击会造成内网IP或MAC冲突,出现短时间内部份断线。网吧要确定网吧已做好Qno侠诺路由器及内网PC机端双向绑定IP/MAC地址的防制工作,内网所有的PC机与路由器IP/MAC地址对应关系都被保存到路由器的ARP缓存表中,不能被轻易更改。此时ARP攻击虽然并不会扩及其它PC机,但网吧管理者或网管还是必须立即查找出内网攻击源头的中毒机器,进行杀毒或重新安装系统。路由器内建ARP病毒来源自动检测工具,系统日志中可提供攻击源的IP或MAC地址,帮助网吧进行查找攻击源机器。有些高阶路由器也都有相仿的设计。
网络遭受攻击,可从路由器相关功能找出遭受攻击类型,网吧管理者或网管查找、直击攻击源加以隔离与排除,在攻击发起时即能迅速加以解决,无需等到客人反应受到影响。
另外网络的雍堵也可能造成掉线.
1、短暂网络壅塞,有可能是网吧内突发的带宽高峰,网吧管理员或网管应关注路由器的带宽统计,可先持续关注状况。若是尖峰时段,网吧客人较多,带宽也会比较吃紧,或是有用户使用BT、P2P软件做大量上传,占用大量带宽,造成网络卡。网吧管理员或网管此时应设置QoS流量管理规范内网用户最大使用带宽,才能让网络联机恢复正常,解决壅塞情况。
2、尖峰时段持续性壅塞,是有用户使用BT、P2P 软件进行大量下载,或在线观看电影、视讯等占用大量带宽行为。若是用户观看电影人数很多,网吧应考虑于内网安装电影服务器供用户使用,才不致因观看影片人多占用对外带宽。对于大量下载,则应考虑建置内部私服加以改善。
3、若是长时间从路由器看到带宽占用率高,有可能表示网吧根本带宽不足,线路带宽过小,不足以提供目前在线众多人数使用,应考虑加大线路带宽。这时就可利用多WAN口特性进行带宽的升级,解决带宽不足的问题。
措施:基于路由器的防范方法
一.内部PC基于IP地址限速
现在网络应用众多,BT、电驴、迅雷、FTP、在线视频等,都是非常占用带宽,以一个200台规模的网吧为例,出口带宽为10M,每台内部PC的平均带宽为50K左右,如果有几个人在疯狂的下载,把带宽都占用了,就会影响其他人的网络速度了,另外,下载的都是大文件,IP报文最大可以达到1518个BYTE,也就是1.5k,下载应用都是大报文,在网络传输中,一般都是以数据包为单位进行传输,如果几个人在同时下载,占用大量带宽,如果这时有人在玩网络游戏,就可能会出现卡的现象。
一个基于IP地址限速的功能,可以给整个网吧内部的所有PC进行速度限制,可以分别限制上传和下载速度,既可以统一限制内部所有PC的速度,也可以分别设置内部某台指定PC的速度。速度限制在多少比较合适呢?和具体的出口带宽和网吧规模有关系,不过最低不要小于40K的带宽,可以设置在100-400K比较合适。
二:内部PC限制NAT的链接数量
NAT功能是在网吧中应用最广的功能,由于IP地址不足的原因,运营商提供给网吧的一般就是1个IP地址,而网吧内部有大量的PC,这么多的PC都要通过这唯一的一个IP地址进行上网,如何做到这点呢?
答案就是NAT(网络IP地址转换)。内部PC访问外网的时候,在路由器内部建立一个对应列表,列表中包含内部PCIP地址、访问的外部IP地址,内部的IP端口,访问目的IP端口等信息,所以每次的ping、QQ、下载、WEB访问,都有在路由器上建立对应关系列表,如果该列表对应的网络链接有数据通讯,这些列表会一直保留在路由器中,如果没有数据通讯了,也需要20-150秒才会消失掉。(对于RG-NBR系列路由器来说,这些时间都是可以设置的)
现在有几种网络病毒,会在很短时间内,发出数以万计连续的针对不同IP的链接请求,这样路由器内部便要为这台PC建立万个以上的NAT的链接。
由于路由器上的NAT的链接是有限的,如果都被这些病毒给占用了,其他人访问网络,由于没有NAT链接的资源了,就会无法访问网络了,造成断线的现象,其实这是被网络病毒把所有的NAT资源给占用了。
针对这种情况,不少网吧路由器提供了可以设置内部PC的最大的NAT链接数量的功能,可以统一的对内部的PC进行设置最大的NAT的链接数量设置,也可以给每台PC进行单独限制。
同时,这些路由器还可以查看所有的NAT链接的内容,看看到底哪台PC占用的NAT链接数量最多,同时网络病毒也有一些特殊的端口,可以通过查看NAT链接具体内容,把到底哪台PC中毒了给揪出来。
三:ACL防网络病毒
网络病毒层出不穷,但是道高一尺,魔高一丈,所有的网络病毒都是通过网络传输的,网络病毒的数据报文也一定遵循TCP/IP协议,一定有源IP地址,目的IP地址,源TCP/IP端口,目的TCP/IP端口,同一种网络病毒,一般目的IP端口是相同的,比如冲击波病毒的端口是135,震荡波病毒的端口是445,只要把这些端口在路由器上给限制了,那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了,内部的网络病毒发起的报文,由于在路由器上作了限制,路由器不加以处理,则可以降低病毒报文占据大量的网络带宽。
优秀的网吧路由器应该提供功能强大的ACL功能,可以在内部网接口上限制网络报文,也可以在外部王接口上限制病毒网络报文,既可以现在出去的报文,也可以限制进来的网络报文。
四:WAN口防ping功能
以前有一个帖子,为了搞跨某个网站,只要有大量的人去ping这个网站,这个网站就会跨了,这个就是所谓的拒绝服务的攻击,用大量的无用的数据请求,让他无暇顾及正常的网络请求。
网络上的黑客在发起攻击前,都要对网络上的各个IP地址进行扫描,其中一个常见的扫描方法就是ping,如果有应答,则说明这个ip地址是活动的,就是可以攻击的,这样就会暴露了目标,同时如果在外部也有大量的报文对RG-NBR系列路由器发起Ping请求,也会把网吧的RG-NBR系列路由器拖跨掉。
现在多数网吧路由器都设计了一个WAN口防止ping的功能,可以简单方便的开启,所有外面过来的ping的数据报文请求,都装聋作哑,这样既不会暴露自己的目标,同时对于外部的ping攻击也是一个防范。
五:防ARP地址欺骗功能
大家都知道,内部PC要上网,则要设置PC的IP地址,还有网关地址,这里的网关地址就是NBR路由器的内部网接口IP地址,内部PC是如何访问外部网络呢?就是把访问外部网的报文发送给NBR的内部网,由NBR路由器进行NAT地址转发后,再把报文发送到外部网络上,同时又把外部回来的报文,去查询路由器内部的NAT链接,回送给相关的内部PC,完成一次网络的访问。
在网络上,存在两个地址,一个是IP地址,一个是MAC地址,MAC地址就是网络物理地址,内部PC要把报文发送到网关上,首先根据网关的IP地址,通过ARP去查询NBR的MAC地址,然后把报文发送到该MAC地址上,MAC地址是物理层的地址,所有报文要发送,最终都是发送到相关的MAC地址上的。
所以在每台PC上,都有ARP的对应关系,就是IP地址和MAC地址的对应表,这些对应关系就是通过ARP和RARP报文进行更新的。
目前在网络上有一种病毒,会发送假冒的ARP报文,比如发送网关IP地址的ARP报文,把网关的IP对应到自己的MAC上,或者一个不存在的MAC地址上去,同时把这假冒的ARP报文在网络中广播,所有的内部PC就会更新了这个IP和MAC的对应表,下次上网的时候,就会把本来发送给网关的MAC的报文,发送到一个不存在或者错误的MAC地址上去,这样就会造成断线了。
这就是ARM地址欺骗,这就是造成内部PC和外部网的断线,该病毒在前一段时间特别的猖獗。针对这种情况,防ARP地址欺骗的功能也相继出现在一些专业路由器产品上。
六:负载均衡和线路备份
举例来说,如锐捷RG-NBR系列路由器全部支持VRRP热备份协议,最多可以设定2-255台的NBR路由器,同时链接2-255条宽带线路,这些NBR和宽带线路之间,实现负载均衡和线路备份,万一线路断线或者网络设备损坏,可以自动实现的备份,在线路和网络设备都正常的情况下,便可以实现负载均衡。该功能在锐捷的所有的路由器上都支持。
而RG-NBR系列路由器中的RG-NBR1000E,更是提供了2个WAN口,如果有需要,还有一个模块扩展插槽,可以插上电口或者光接口模块,同时链接3条宽带线路,这3条宽带线路之间,可以实现负载均衡和线路备份,可以基于带宽的负载均衡,也可以对内部PC进行分组的负载均衡,还可以设置访问网通资源走网通线路,访问电信资源走电信线路的负载均衡。
0条大神的评论