進階篇-網(wǎng)絡(luò)安全設(shè)置

進階篇_網(wǎng)絡(luò)安全設(shè)置培訓(xùn)內(nèi)容攻擊防御IP/MAC綁定地址、服務(wù)、時間段防火墻域名過濾鏈接限制培訓(xùn)內(nèi)容攻擊防御IP/MAC綁定地址、服務(wù)、時間段防火墻域名過濾鏈接限制網(wǎng)絡(luò)安全面臨的威脅外部網(wǎng)絡(luò)威脅網(wǎng)絡(luò)病毒、蠕蟲攻擊(Worm/Virus)

黑客入侵攻擊(Intrusion)

其它因素造成網(wǎng)絡(luò)癱瘓

內(nèi)部網(wǎng)絡(luò)威脅

IM(InstantMessage:MSN，ICQ，QQ)即時通訊軟件將機密文件外洩、非法文件、病毒文件傳輸?shù)?/p>

WebMail，WebPosting將機密文件外洩網(wǎng)絡(luò)病毒、蠕蟲攻擊(Worm/Virus)

FTP、P2P等軟件將機密文件外洩及消耗對外帶寬等攻擊防御

攻擊防御攻擊防御啟用IP欺騙防御：打勾表示啟用，啟用該功能后，就會限制局域網(wǎng)主機從LAN口訪問設(shè)備。從而有效防御一些來自內(nèi)部網(wǎng)絡(luò)針對設(shè)備本身的DDoS攻擊。攻擊防御

允許通過設(shè)備的數(shù)據(jù)包：設(shè)備將根據(jù)該值限制每秒通過LAN口的數(shù)據(jù)包個數(shù)，取值范圍為0~20000，建議設(shè)置為300~600攻擊防御允許外部主機對設(shè)備進行PING探測。一般情況下，為安全性起見，請關(guān)閉此功能。培訓(xùn)內(nèi)容攻擊防御IP/MAC綁定地址、服務(wù)、時間段防火墻域名過濾鏈接限制IP/MAC綁定配置掃描：單擊此按鈕，顯示LAN口的動態(tài)ARP列表，即設(shè)備通過LAN口動態(tài)學(xué)習(xí)到的用戶的ARP信息。注意，如果已經(jīng)將某用戶的IP/MAC地址對添加到“IP/MAC綁定信息列表”中，該用戶的IP/MAC地址對將不再顯示。

支持ip/mac批量綁定，格式為“ip地址mac地址描述”。WebUI-網(wǎng)絡(luò)安全-IP/MAC綁定IP/MAC綁定列表WebUI-網(wǎng)絡(luò)安全-IP/MAC綁定列表利用IP&MAC綁定管理用戶，防IP欺騙最多可增加X個用戶，根據(jù)型號各異。取消“允許”的選中，可以禁止該用戶和路由器通訊IP/MAC綁定列表IP/MAC綁定列表培訓(xùn)內(nèi)容攻擊防御IP/MAC綁定地址、服務(wù)、時間段防火墻域名過濾鏈接限制地址組配置在創(chuàng)建一個地址組時，可以自定義此地址組包含的IP地址段，也可把已有地址組添加到此地址組中。地址組可以只包含IP地址段或只包含其他地址組，也可以既包含IP地址段又包含其他地址組，但最多只能包含10個IP地址段或地址組。地址組配置服務(wù)組配置提示：1.服務(wù)組最多可配置包含10個服務(wù)或其它服務(wù)組。2.服務(wù)組名不區(qū)分大小寫，即服務(wù)組“A”和“a”指的是同一個服務(wù)組，在配置時一定要注意。3.

在配置服務(wù)組包含其它服務(wù)組時，一定要注意，如果某個服務(wù)組已經(jīng)包含了其它服務(wù)組，則這個服務(wù)組不能再配置屬于其它服務(wù)組。設(shè)備提供了普通服務(wù)、URL、關(guān)鍵字、DNS和MAC地址五種服務(wù)類型；普通服務(wù)：用來匹配設(shè)備接收數(shù)據(jù)包的協(xié)議和端口；URL：用來過濾URL網(wǎng)址，可控制用戶對站點及網(wǎng)頁的訪問；關(guān)鍵字：用來過濾HTML頁面中的關(guān)鍵字，如果某個網(wǎng)頁里包含了你定義的關(guān)鍵字（如色情、法輪功、賭博等），那么設(shè)備將直接屏蔽這個網(wǎng)頁；DNS：用來設(shè)置是否對某域名進行DNS解析；MAC地址：用來過濾某特定源MAC地址的數(shù)據(jù)包。時間段的配置在WebUI網(wǎng)絡(luò)安全時間段配置中，可以添加、修改時間段信息。最多可配置8個時間段實例，每個實例最多可設(shè)置成8個時間單元；每個時間單元不能跨天設(shè)置時間單元類型有：每天，星期一、星期二…星期日，工作日（周一至周五），周末（周六，周日）開始日期和時間”、“結(jié)束日期和時間”均設(shè)成1990年1月1日00:00:00，代表該時間段永久有效。培訓(xùn)內(nèi)容攻擊防御IP/MAC綁定地址、服務(wù)、時間段防火墻域名過濾鏈接限制訪問控制策略用來匹配設(shè)備接收數(shù)據(jù)包的源MAC地址、協(xié)議、端口號等信息用來匹配設(shè)備接收數(shù)據(jù)包的目的IP地址用來匹配設(shè)備接收數(shù)據(jù)包的源IP地址WebUI

-網(wǎng)絡(luò)安全-防火墻-訪問控制策略策略匹配的動作是“禁止”還是“允許”訪問控制策略WebUI

-網(wǎng)絡(luò)安全-防火墻-訪問控制策略列表啟用后所做策略才會生效已經(jīng)做好的策略可以根據(jù)需求進行順序的調(diào)整訪問控制策略的安全配置注意事項：系統(tǒng)默認(rèn)不啟用訪問控制策略；只有啟用了訪問控制策略，所配置策略才開始工作。策略在路由器處理時，將會從上至下處理訪問控制信息列表中的策略。配置了訪問控制策略之后，系統(tǒng)會自動生成三條策略（DNS、DHCP、PASS)配置訪問控制策略之前，根據(jù)實際情況先到WebUI—網(wǎng)絡(luò)安全—地址組配置中定義地址組，WebUI—網(wǎng)絡(luò)安全—服務(wù)組配置中定義服務(wù)組。URL過濾和關(guān)鍵字過濾，只檢查HTTP數(shù)據(jù)包，只可用在禁止URL過濾和關(guān)鍵字的應(yīng)用中。URL過濾和關(guān)鍵字過濾，為分段匹配，比如禁止關(guān)鍵字“abc”，那么“abcd”也會被禁止。訪問控制策略舉例⑴

1.如果要限制某一地址組上網(wǎng)只允許某些業(yè)務(wù)，那么該地址組的其他服務(wù)應(yīng)該設(shè)成禁止。例如：目的只允許sale組的WEB業(yè)務(wù)，關(guān)閉其他業(yè)務(wù)。第一步：建立地址組sale第二步：做訪問控制策略生成策略1：允許Sale組用戶的WEB業(yè)務(wù)，訪問控制策略舉例⑴

訪問控制策略舉例⑴

生成策略2：生成一條該組的策略，禁止所有業(yè)務(wù)訪問控制策略舉例⑴

訪問控制策略舉(2)

2.如果要限制某一地址組只禁止某些業(yè)務(wù)，那么地址組的其他業(yè)務(wù)狀態(tài)應(yīng)該設(shè)成允許。例如：目的只禁止sale組的WEB業(yè)務(wù)，開放其他業(yè)務(wù)。第一步：建立地址組如同例1第二步：建立訪問控制策略生成策略：禁止sale組用戶的WEB業(yè)務(wù)訪問控制策略舉例⑶3.例如，目的工作時間只允許sale組的WEB業(yè)務(wù)，業(yè)余時間開放所有業(yè)務(wù)。要配置的策略是：生成策略1，允許sale組用戶在worktime時間段的WEB業(yè)務(wù)；訪問控制策略舉例⑶生成策略2，允許sale組用戶在freetime時間段的所有業(yè)務(wù)；生成策略3，禁止sale組用戶所有業(yè)務(wù)。訪問控制策略舉例⑶訪問控制策略舉例⑶培訓(xùn)內(nèi)容攻擊防御IP/MAC綁定地址、服務(wù)、時間段防火墻域名過濾鏈接限制域名過濾提示：1.、域名過濾功能是全字匹配的，當(dāng)內(nèi)網(wǎng)用戶在瀏覽器里輸入的域名與“域名列表”中顯示的域名全字匹配時，將無法訪問此域名對應(yīng)的網(wǎng)頁。2.、

可以在域名名稱中輸入通配符“*”來實現(xiàn)對多個域名的過濾，例如在域名列表中輸入域名名稱“www.163.*”，內(nèi)網(wǎng)用戶將不能訪問以“www.163”開頭的所有網(wǎng)頁。3、可以設(shè)置域名過濾的黑白名單，可以只允許一部分域名也可以至今只禁止一部分域名。域名過濾培訓(xùn)內(nèi)容攻擊防御IP/MAC綁定地址、服務(wù)、時間段防火墻域名過濾連接限制一般情況下，最大會話數(shù)不能設(shè)置得太?。航ㄗh“最大NAT會話數(shù)”和“最大TCP會話數(shù)”均不小于100、“最大UDP會話數(shù)”不小于50、“最大ICMP會話數(shù)”不小于10，如果它們的值太小，將導(dǎo)致局域網(wǎng)用戶上網(wǎng)異常連接限制連接限制NATexceeded21*/用戶21的NAT會話超限可能成因：1、蠕蟲病毒的DoS攻擊，比如沖擊波、SQL蠕蟲等2、P2P軟件/CS游戲等開始連接遠(yuǎn)端的時候，會發(fā)出很多連接，往往這時候會話會超限，一段時間后下載/游戲真正開始的時候會恢復(fù)正常NATexceeded21#用戶21的NAT會話超限

可能成因：1、蠕蟲病毒的DoS攻擊，比如沖