使用磊科netcore路由器怎么打造安全网络
我们使用路由器的局域网很容易出现安全方面的问题,如果安全方面做的不够好,就很容易导致网络故障,甚至是连接不上网,也很容易被别人蹭网。很多用户都会使用磊科netcore路由产品,下面我们就来教教大家使用磊科netcore路由器怎么打造安全网络。
目前在局域网内有大量的病毒在危害着网络,例如ARP欺骗,网络剪刀手、无赖服务器攻击、窃取用户资料木马等导致网络连通性出现问题。
保护有线网络可以从以下方面去考虑和实施:
改变登陆设备和远程访问默认的口令
安装最新的固化软件升级程序
用VLAN隔离广播域,减小受害面积
带宽管理保护网络设备
使用ARP与MAC绑定、ACL、URL过滤/封锁功能
启用防火墙、SPI检测
启用防止DDOS攻击服务
使用认证服务器
以下主要讲述新款7324NSW配合高端路由器解决网络安全问题。
MAC地址的泛洪攻击
病毒原理:由于交换机内部的MAC地址表空间是有限的,正常情况下,空间是足够的,一般情况下,是不会发生MAC地址表被占满的情况。但是如果有人恶意向交换机发送大量非法源MAC地址的数据包,进行MAC地址泛洪攻击,则在很短的时间内交换机的内部MAC地址表会被占满,使得交换机无法进行MAC地址学习。那么原来按照MAC地址转发的单播机制由于MAC地址表被占满的情况下,所有的交换机端口变成在一个广播域里面了,因此转发变成了广播,所有端口可以收到其它端口的数据,变成一个HUB,传输没有了安全保障。
防范手段: 在Netcore7324NSW交换机上使用MAC地址管理系列功能实现防御
首先进行MAC地址的绑定,将合法的MAC绑定在端口上,然后关闭每个端口的MAC地址学习,这样交换机不进行MAC学习,只按照绑定的条目进行数据转发。当关闭了MAC地址学习功能以后,交换机不转发非法源MAC地址的数据帧,不转发泛洪的数据。
ARP攻击
病毒原理:前面已经降到了ARP的工作原理,需要再强调一点,根据RFC的规定,PC在发送ARP响应时,不需要一定要先收到ARP的请求报文,局域网中任何一台PC都可以向网络内其它PC通告:自己的IP和MAC的对应关系,这就是自居ARP。病毒或使用黑客软件发送错误的虚假的ARP响应报文给其它主机,报文中的IP和MAC地址的对应为虚假的,或者发送错误的网关IP和网关MAC的对应关系,使这些主PC以及网关中保存的ARP表,使得网络中合法的主机不能正常上网,造成网络中断,或充当中间人,监视用户流量,窃取用户信息。
案例:WinPinF病毒、Ettercap黑客软件、网络剪刀手、网络警察
防御手段:Netcore 2+4层系列交换机和高端路由器提供简便配置实现ARP/MAC绑定,过滤非法网络流量。防御ARP欺骗
使用Netcore高端路由器2805做双向绑定防ARP攻击
1、进入到路由器的配置界面选择网络安全-MAC地址绑定-全部绑定,选择全部绑定后就可以把局域网内所有电河池中医癫痫病医院脑的IP与MAC做静态绑定。
2、设置未定义的MAC默认为不能连接到互联网,网络安全-MAC地址吉林癫痫病专科医院有哪些过滤-选择默认操作为拒绝-确定。
3、做完以上两步后我们需要看看路由器局域网口(LAN口)的网关IP和MAC地址,为下一步工作站端的ARP绑定做准备,选择状态信息然后查看局北京看癫痫病好的医院域网口的IP地址和MAC地址。IP:192.168.1.1 MAC: 08-10-17-36-32-e9
4、在路由器端IP与MAC的绑定已经做好了,接下来就在电脑上做IP与MAC的绑定。Windows的操作系统中都带有ARP这一命令行程序,在电脑的Windows命令行界面中输入arp -s +路由器IP(如192.168.1.1)+路由器LAN口MAC地址就可以将的路由器IP和MAC绑定到电脑的ARP表中。每次开机都要在命令行那输入命令比较麻烦,我们还有更简单的方法,就是新建一个批处理文件放在启动项那里就可以了。具体步骤:
① 新建一个记事本文件如t,然后添加命令行中的命令arp -癫痫病手术治疗s +路由器IP+路由器LAN口MAC地址,保存后并把后缀名为bat。
要得到路由器的LAN口MAC地址和IP地址,可以查看路由器的界面中的状态信息
② 将建立好的批处理文件t拷贝到系统的启动目录中。电脑每次启动时将自动运行该文件,自动绑定IP与MAC。
癫痫病发作怎么急救完成以上步骤可以做到防止ARP攻击,但是该方法的缺点在于每当主机的网卡Link down、Link昆明癫痫病专科医院 UP或者MAC地址更改,在机器上添加的静态绑定条目就会失效,需要在主机上重新运行批处理才能生效。
用Netcore7324NSW交换机实现防御ARP
配置的思路:
自动或手动添加建立合法设备的IP地址和MAC的对应关系,选择将河北哪家医院治癫痫最好合法的MAC绑定在固定端口上
开启防御开关
1、添加设备,建立IP与MAC对应关系
自动查找:根据IP地址自动查找,这种方式方便与对整个网段的机器的快速查找IP与MAC的对应关系。请注意VLAN的范围,如果交换机上划分了不同的VLAN,请填写需要查找哪个VLAN中的主机
交换机会依次向待查询的主机发送ARP请求,等待主机的ARP回应,然后将IP、MAC、端口属性显示在网络设备列表中
手动添加: 如果比较熟悉网络的设备,你可以选择手动添加每一台合法机器的信息。在添加设备的时候请记住添加该网络中路由器的信息,同时将设备类型的属性选择为路由器。
当添加了一个路由器以后在路由器下来列表中就会显示,这样方面每个主机到哪个路由器限速时的设置。
2、更改属性:如果你想更改条目属性,你可以点击条目,进入相应页面修改属性。
3、建立IP、MAC地址(路由器MAC地址和静态IP地址怎么设置)与端口的绑定
建立完设备信息以后,默认状态是没有将IP、MAC信息绑定在端口上的,状态显示未绑定
需要手动点击未绑定改变状态
未绑定与绑定的区别:绑定的概念是IP、MAC的信息绑定在一个固定的端口上,即对应主机发送的合法ARP只能出现在该端口,如果机器移到其它端口,那么必须改动对应的端口。
未绑定也就是没绑定在一个端口上,主机可以更换端口,而无须再去重新设置。但是在网吧里面环境一般较为固定,推荐使用绑定策略。
4、启动ARP防御攻击
交换机给了三种选择
所有主机能访问药物怎么服用才能治疗癫痫病网络:这个为默认状态,在没有ARP攻击情况下,没有设置ARP信息跟普通交换机一样。
列表中主机:添加在网络设备列表中主机才能访问网络,包括&ldquo治癫痫病医院哪家最好;未绑定和已绑定都能访问,没有添加的主机不能访问网络
绑定主机:只有状态为已绑定的主机才能访问网络。
配合ARP防御攻击你可以选择第二或者第三,不能选择第一
按照上述方法在交换机上设备,并且将具有ARP防御攻击的交换机放在边缘接入端,就可以完全预防网络的ARP攻击病毒。
5、Netcore交换机还提供了ARP报警功能。如果交换机发现多个相同的IP地址回应了交换机发出的ARP报文,那有可能此IP对应的主机受到ARP攻击。还有可能网络中出现了IP冲突。如下:交换机收到多个IP地址192.168.2.2和192.168.2.3的ARP报文,就作出了报警提示
预防无赖服务器攻击
病毒原理:网络中存在未受权的服务器,使部份用户错误的选择这些服务器,用于实施DoS或中间人攻击.
案例:网络中存在未受权的DHCP server,它分配的地址是无效的,或者分配的网关是中间人主机,以窃取用户信息
防御手段:Netcore 2+4层系列交换机提供简便配置实现ARP/MAC绑定,防御未授权DHCP攻击
用Netcore 7324NSW交换机防御DHCP服务器攻击
防御的思路跟ARP防御一样,将合格DHCP的IP与MAC绑定在交换机上,交换机只会转发合法DHCP的数据,防止非法服务器的破坏
1、将DHCP服务器的信息建立在交换机上
2、推荐讲DHCP服务器信息绑定在端口上
3、启用DHCP服务器攻击防御
用Netcore 7324NSW防止有害流量对路由器的攻击
病毒原理:目前在局域网内有一些病毒会持续或者集中对路由器端口进行大流量的攻击,导致带宽出现瓶颈,让正常的数据无法转发,造成网络的暂时中断
防御方法:
1、在Netcore交治疗癫痫最权威医院换机上对主机到路由器流量进行设置,保护路由器。
选择对哪一个路由器进行保护
设置该主机到路由器的速度不能超过每秒30K
2、也可以设置交换机及联路由器哪个端口的出口总速度限制
选择对哪一个路由器保护
到路由器的总出口限制
4、开启路由器保护
进行上面的一系列的安全绑定后,您的安全网络设置也就完成了。如果是无线局域网可以参阅无线局域网的安全设置一文来打造安全网络。另外我们还建议大家阅读:局域网如何预防遭到黑客工具的攻击。