为您找到与通过设置防火墙和对路由器的安全配置相关的共200个结果:
防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对NetEye防火墙与业界应用最多、最具代表性的CISCO路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。
一、 两种设备产生和存在的背景不同
1.两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。
2.根本目的不同
路由器的根本目的是:保持网络和数据的"通"。
防火墙根本的的目的是:保证任何非允许的数据包"不通"。
二、核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。
下图是一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。
针对现在的配置,存在的安全脆弱性如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测 TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
虽然,路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用使也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。
三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。
NetEye 防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
四、对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;针对这两种存储,NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
六、防范攻击的能力不同
对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要生级升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:
·具有防火墙特性的路由器成本 > 防火墙 + 路由器
·具有防火墙特性的路由器功能 < 防火墙 + 路由器
·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口
浏览量:2
下载量:0
时间:
导语:以下是读文网OMG小编为大家整理的防火墙的知识,希望你喜欢阅读:
防火墙已经成为企业网络建设中的一个关键组成部分。但有很多用户,认为网络中已经有了路由器,可以实现一些简单的包过滤功能,所以,为什么还要用防火墙呢?以下我们针对NetEye防火墙与业界应用最多、最具代表性的CISCO路由器在安全方面的对比,来阐述为什么用户网络中有了路由器还需要防火墙。
一、 两种设备产生和存在的背景不同
1.两种设备产生的根源不同
路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网络的数据包进行有效的路由,至于为什么路由、是否应该路由、路由过后是否有问题等根本不关心,所关心的是:能否将不同的网段的数据包进行路由从而进行通讯。
防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点,重点是这个(一系列)数据包是否应该通过、通过后是否会对网络造成危害。
2.根本目的不同
路由器的根本目的是:保持网络和数据的"通"。
防火墙根本的的目的是:保证任何非允许的数据包"不通"。
二、核心技术的不同
Cisco路由器核心的ACL列表是基于简单的包过滤,从防火墙技术实现的角度来说,NetEye防火墙是基于状态包过滤的应用级信息流过滤。
下面是一个最为简单的应用:企业内网的一台主机,通过路由器对内网提供服务(假设提供服务的端口为tcp 1455)。为了保证安全性,在路由器上需要配置成:外-》内 只允许client访问 server的tcp 1455端口,其他拒绝。
针对现在的配置,存在的安全脆弱性如下:
1、IP地址欺骗(使连接非正常复位)
2、TCP欺骗(会话重放和劫持)
存在上述隐患的原因是,路由器不能监测TCP的状态。如果在内网的client和路由器之间放上NetEye防火墙,由于NetEye防火墙能够检测TCP的状态,并且可以重新随机生成TCP的序列号,则可以彻底消除这样的脆弱性。同时,NetEye 防火墙的一次性口令认证客户端功能,能够实现在对应用完全透明的情况下,实现对用户的访问控制,其认证支持标准的Radius协议和本地认证数据库,可以完全与第三方的认证服务器进行互操作,并能够实现角色的划分。
虽然,路由器的"Lock-and-Key"功能能够通过动态访问控制列表的方式,实现对用户的认证,但该特性需要路由器提供Telnet服务,用户在使用时也需要先Telnet到路由器上,使用起来不很方便,同时也不够安全(开放的端口为黑客创造了机会)。
三、安全策略制定的复杂程度不同
路由器的默认配置对安全性的考虑不够,需要一些高级配置才能达到一些防范攻击的作用,安全策略的制定绝大多数都是基于命令行的,其针对安全性的规则的制定相对比较复杂,配置出错的概率较高。
NetEye 防火墙的默认配置既可以防止各种攻击,达到既用既安全,安全策略的制定是基于全中文的GUI的管理工具,其安全策略的制定人性化,配置简单、出错率低。
四、对性能的影响不同
路由器是被设计用来转发数据包的,而不是专门设计作为全特性防火墙的,所以用于进行包过滤时,需要进行的运算非常大,对路由器的CPU和内存的需要都非常大,而路由器由于其硬件成本比较高,其高性能配置时硬件的成本都比较大。
NetEye防火墙的硬件配置非常高(采用通用的INTEL芯片,性能高且成本低),其软件也为数据包的过滤进行了专门的优化,其主要模块运行在操作系统的内核模式下,设计之时特别考虑了安全问题,其进行数据包过滤的性能非常高。
由于路由器是简单的包过滤,包过滤的规则条数的增加,NAT规则的条数的增加,对路由器性能的影响都相应的增加,而NetEye防火墙采用的是状态包过滤,规则条数,NAT的规则数对性能的影响接近于零。
五、审计功能的强弱差异巨大
路由器本身没有日志、事件的存储介质,只能通过采用外部的日志服务器(如syslog,trap)等来完成对日志、事件的存储;路由器本身没有审计分析工具,对日志、事件的描述采用的是不太容易理解的语言;路由器对攻击等安全事件的相应不完整,对于很多的攻击、扫描等操作不能够产生准确及时的事件。审计功能的弱化,使管理员不能够对安全事件进行及时、准确的响应。
NetEye防火墙的日志存储介质有两种,包括本身的硬盘存储,和单独的日志服务器;针对这两种存储,NetEye 防火墙都提供了强大的审计分析工具,使管理员可以非常容易分析出各种安全隐患;NetEye 防火墙对安全事件的响应的及时性,还体现在他的多种报警方式上,包括蜂鸣、trap、邮件、日志;NetEye 防火墙还具有实时监控功能,可以在线监控通过防火墙的连接,同时还可以捕捉数据包进行分析,非分析网络运行情况,排除网络故障提供了方便。
六、防范攻击的能力不同
对于像Cisco这样的路由器,其普通版本不具有应用层的防范功能,不具有入侵实时检测等功能,如果需要具有这样的功能,就需要升级IOS为防火墙特性集,此时不单要承担软件的升级费用,同时由于这些功能都需要进行大量的运算,还需要进行硬件配置的升级,进一步增加了成本,而且很多厂家的路由器不具有这样的高级安全功能。可以得出:
·具有防火墙特性的路由器成本 > 防火墙 + 路由器
·具有防火墙特性的路由器功能 < 防火墙 + 路由器
·具有防火墙特性的路由器可扩展性 < 防火墙 + 路由器
综上所述,可以得出结论:用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准,决定用户是否使用防火墙的一个根本条件是用户对网络安全的需求!
即使用户的网络拓扑结构和应用都非常简单,使用防火墙仍然是必需的和必要的;如果用户的环境、应用比较复杂,那么防火墙将能够带来更多的好处,防火墙将是网络建设中不可或缺的一部分,对于通常的网络来说,路由器将是保护内部网的第一道关口,而防火墙将是第二道关口,也是最为严格的一道关口。
谢谢观赏
浏览量:2
下载量:0
时间:
有人问小编了,飞鱼路由器上网行为管理功能配置的防火墙应该怎么设置。小编觉得飞鱼星路由器的上网行为管理功能很实用,很多情况下都需要用到, 比如禁止所有计算机在任何时刻上网,可在防火墙设置里做如下操作,点击“添加新规则”,在出现的界面中做如下配置。
1 、不使用。保持默认,不勾选。若勾选,则本条规则配置后不生效;
2 、动作。禁止;
3 、优先级。中优先级;
4 、接口。LAN;
5 、协议。ALL[ALL/1- 65535] ;
6 、目的端口范围。当协议为ALL时,目的端口范围默认为所有端口;
7 、目的地址组。选择下拉菜单“任意”;
8 、源地址组。选择下拉菜单“任意 ”;
9 、时间组。任意;
10、描述。进制所有计算机上网;
11、点击“保存”按钮,设置生效。
配置保存后,具体显示界面如下图所示。
注意。规则的匹配顺序是从上到下,一旦匹配了一条规则就会马上执行,下面的规则不再进行匹配。因此一般将比较细化的规则放在上面,可以使用“上下移动”键来调整规则顺序。
一键添加。防火墙的一键添加按钮可以很方便地实现一些网络访问控制功能。比如配置所有的计算机只能浏览网页和收发邮件,禁止其他互联网应用,具体配置界面如下图所示。
一般企业使用的路由器都有上网行为管理功能,这也是因为企业网络,共享的用户太多,必须具备上网行为管理功能的路由器,才好管理整个局域网。
飞鱼路由器的相关
浏览量:2
下载量:0
时间:
有时候我想设置win8防火墙所有应用都通过防火墙!那么该怎么样去设置呢?下面由读文网小编给你做出详细的win8所有应用通过防火墙方法介绍!希望对你有帮助!
步骤一:进入控制面板
步骤二:选择小图标查看方式,单击【windows 防火墙】
步骤三:.关闭防火墙
看了“ win8所有应用通过防火墙怎么样设置”文章的还看了:
浏览量:3
下载量:0
时间:
win8防火墙想要设置下通过!用什么方法好呢?下面由读文网小编给你做出详细的win8防火墙设置程序通过解决方法介绍!希望对你有帮助!
1、同时按下键盘上的“Windows”和“x”键,单击“控制面板”。
2、进入控制面板,点击“系统和安全”。
3、进入系统和安全界面,点击“允许应用通过Windows 防火墙”。
4、点击“更改设置”可以添加、更改或删除所有允许的程序或端口。
5、将程序或端口前面勾选,然后点击“确定”,即可设置它允许通过防火墙。
6、点击“Allow another app”进入添加程序的界面。
7、在此界面可以在列表中选择要添加的程序,或者通过点击“浏览”按钮添加未在列表中出现的程序,然后点击“添加”即可将添加程序。
Windows 8是微软于北京时间2012年10月25日23点15分推出的最新Windows系列系统。Windows 8支持个人电脑(X86构架)及平板电脑(X86构架或ARM构架)。Windows 8大幅改变以往的操作逻辑,提供更佳的屏幕触控支持。
看了“ win8防火墙怎么样设置程序通过”文章的还看了:
浏览量:3
下载量:0
时间:
win8想要设置防火墙通过,怎么样设置好呢?下面由读文网小编给你做出详细的win8设置防火墙通过方法介绍!希望对你有帮助!
同时按下键盘上的“Windows”和“x”键,单击“控制面板”。
进入系统和安全界面,点击“允许应用通过Windows 防火墙
点击“更改设置”可以添加、更改或删除所有允许的程序或端口
将程序或端口前面勾选,然后点击“确定”,即可设置它允许通过防火墙
点击“Allow another app”进入添加程序的界面
在此界面可以在列表中选择要添加的程序,或者通过点击“浏览”按钮添加未在列表中出现的程序,然后点击“添加”即可将添加程序
看了“win8防火墙如何设置通过 ”文章的还看了:
浏览量:2
下载量:0
时间:
我们常说安全防火墙!那么安全防火墙需要怎么样去设置呢?下面由读文网小编给你做出详细的安全防火墙设置方法介绍!希望对你有帮助!
硬件防火墙配置文件
管安装硬件防火墙候考虑全面严密旦硬件防火墙投入实际使用环境情况却随都发改变硬件防火墙规则总断变化调整着配置参数所改变作网络安全管理员能够编写套修改防火墙配置规则安全策略并严格实施所涉及硬件防火墙配置能详细类似哪些流量允许哪些服务要用代理细节
安全策略要写明修改硬件防火墙配置步骤哪些授权需要修改、谁能进行修改、候才能进行修改、何记录些修改等安全策略应该写明责任划某具体做修改另负责记录第三检查测试修改设置否确详尽安全策略应该保证硬件防火墙配置修改工作程序化并能尽量避免修改配置所造错误安全漏洞
2.硬件防火墙磁盘使用情况
硬件防火墙保留志记录检查硬件防火墙磁盘使用情况件重要事情保留志记录检查硬件防火墙磁盘使用情况变更加重要保留志记录情况磁盘占用量异增能表明志清除程存问题种情况相说处理些保留志情况磁盘占用量异增则说明硬件防火墙能安装Rootkit工具已经攻破
网络安全管理员首先需要解情况防火墙磁盘占用情况并依据设定检查基线硬件防火墙磁盘占用量旦超基线意味着系统遇安全或其面问题需要进步检查
3.硬件防火墙CPU负载
磁盘使用情况类似CPU负载判断硬件防火墙系统运行否重要指标作安全管理员必须解硬件防火墙系统CPU负载值少低负载值定表示切现高负载值则说明防火墙系统肯定现问题高CPU负载能硬件防火墙遭DoS攻击或外部网络连接断等问题造
4.硬件防火墙系统精灵程序
每台防火墙运行情况都组精灵程序(Daemon)比名字服务程序、系统志程序、网络发程序或认证程序等例行检查必须检查些程序都运行发现某些精灵程序没运行则需要进步检查原导致些精灵程序运行哪些精灵程序运行
5.系统文件
关键系统文件改变外乎三种情况:管理员目、计划进行修改比计划系统升级所造修改;管理员偶尔系统文件进行修改;攻击者文件修改
经性检查系统文件并查系统文件修改记录及发现防火墙所遭攻击外应该强调硬件防火墙配置策略修改包含系统文件修改记录
6.异志
硬件防火墙志记录所允许或拒绝通信信息主要硬件防火墙运行状况信息源由于该志数据量庞所检查异志通应该自进行程事件异事件由管理员确定管理员定义异事件并进行记录硬件防火墙才保留相应志备查
述6面防火墙例行检查许并能立刻检查硬件防火墙能遇所问题隐患持恒检查硬件防火墙稳定靠运行非重要必要管理员用数据包扫描程序确认硬件防火墙配置确与否甚至更进步采用漏洞扫描程序进行模拟攻击考核硬件防火墙能力
看了“安全防火墙如何设置 ”文章的还看了:
浏览量:3
下载量:0
时间:
我们经常用着安全防火墙!有时候我想让我的防火墙色织例外!用什么方法好呢?下面由读文网小编给你做出详细的安全防火墙设置例外方法介绍!希望对你有帮助!
安全防火墙设置例外方法如下
win7创建防火墙例外的步骤:
1、点开始按钮——控制面板;
2、点系统和安全;
3、点Windows防火墙;
4、点允许程序或功能通过Windows防火墙;
5、如果下面是灰色的,那么点【更改设置】按钮;
如果要添加允许程序通过Windows防火墙,点【允许运行另一程序】,选择程序,点添加按钮,点确定;
如果是删除原允许通过Windows防火墙的程序,那么选中相应的程序,点删除按钮,弹出如图提示后,点【是】按钮。
看了“安全防火墙如何设置例外 ”文章的还看了:
浏览量:5
下载量:0
时间:
安全狗防火墙对于我们电脑来说也是非常重要的!想要设置下!用什么方法好呢?下面由读文网小编给你做出详细的安全狗防火墙设置方法介绍!希望对你有帮助!
代理服务设备(可能是一台专属的硬件,或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求),同时封锁其他的封包,达到类似于防火墙的效果。
代理使得由外在网络窜改一个内部系统更加困难,并且一个内部系统误用不一定会导致一个安全漏洞可从防火墙外面(只要应用代理剩下的原封和适当地被配置)被入侵。相反地,入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的;代理人然后伪装作为那个系统对其它内部机器。当对内部地址空间的用途加强安全,破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。
防火墙经常有网络地址转换(NAT)的功能,并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”,依照被定义在[RFC 1918] 。 管理员经常设置了这样的情节:假装内部地址或网络是安全的。
防火墙的适当的配置要求技巧和智能。 它要求管理员对网络协议和电脑安全有深入的了解。 因小差错可使防火墙不能作为安全工具。
看了“安全狗防火墙如何设置 ”文章的还看了:
浏览量:3
下载量:0
时间:
本地安全防火墙想要设置一下!如何去设置呢?下面由读文网小编给你做出详细的本地安全防火墙设置方法介绍!希望对你有帮助!
按以下操作步骤修改本地连接的Windows防火墙设置:
1、点击【开始】,选择【控制面板】;
2、在【控制面板】界面,选择【系统和安全】;
3、在【系统和安全】界面,选择【Windows防火墙】;
4、在【Windows防火墙】界面,点击左侧导航的【打开或关闭Windows 防火墙】;
5、进入【自定义设置】界面,可以设置防火墙的关闭和打开,设置完成,点击【确定】。
看了“本地安全防火墙如何设置 ”文章的还看了:
浏览量:3
下载量:0
时间:
OSPF也是一种路由协议,它是链路状态协议的开放版本。在实际工作中,在一些大型网络、混合型的网络中,常常使用OSPF协议。那么你知道如何通过思科路由器提高OSPF安全性吗?下面是读文网小编整理的一些关于通过思科路由器提高OSPF安全性的相关资料,供你参考。
说句实话,引入OSPF协议主要是用来解决RIP路由信息协议的一些缺陷。
如RIP与RIP2协议都具有15跳的限制。如果网络跨越超过了15跳限制的话,目的地会被认为不可达。所以,RIP路由信息协议其使用范围就被定义在小型网络。而OSPF协议继承了RIP路由信息协议原有的优点,同时突破了这个15跳的限制。另外,OSPF还可以解决RIP路由信息协议汇聚缓慢等缺陷。笔者在谈到OSPF的安全问题时,之所以简要介绍OSPF协议与RIP路由信息协议的关系,主要是想强调一下,OSPF协议也如同RIP协议一样,是目前企业网络设计中常用的协议。所以,如何提高这个协议的安全性,对于网络管理员来说也就显得尤其的重要。
浏览量:2
下载量:0
时间:
VPS(Virtual Private Server 虚拟专用服务器)技术,将一部服务器分割成多个虚拟专享服务器的优质服务。那么大家知道VPS怎么设置安全配置吗?读文网小编分享了VPS设置安全配置的方法,希望对大家有所帮助。
一、修改SSH端口
vi /etc/ssh/sshd_config
找到其中的#Port 22(第13行),去掉#,修改成Port 3333
使用如下命令,重启SSH服务,注:以后用新端口登陆。
service sshd restart
二、禁止ROOT登陆
先添加一个新帐号80st ,可以自定义:
useradd 80st
给weidao 帐号设置密码:
passwd 80st
仍旧是修改/etc/ssh/sshd_config文件,第39行:#PermitRootLogin yes,去掉前面的#,并把yes改成no,然后,重启SSH服务。以后,先使用weidao 登陆,再su root即可得到ROOT管理权限。
login as: 80st
weidao@ip password:*****
Last login: Tue Nov 22 15:18:18 2011 from 1.2.3.4
su root
Password:*********** #注这里输入ROOT的密码
三、使用DDos deflate简单防落CC和DDOS攻击
使用netstat命令,查看VPS当前链接确认是否受到攻击:
netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
IP前面的数字,即为连接数,如果说正常网站,几十到一百都属于正常连接,但出现几百,或上千的就可以垦定这个IP与你的VPS之间可能存在可疑连接现象。
可以使用iptables直接BAN了这个IP的永久访问:
iptables -A INPUT -s 12.34.56.78 -j DROP
使用软件DDos deflate来自动检测并直接BAN掉的方法,首先要确认一下iptables服务状态,默认CENTOS就安装的,不看也行。
service iptables status
安装DDos deflat:
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod +x install.sh
./install.sh
安装后需要修改/usr/local/ddos/ddos.conf,主要是APF_BAN=1要设置成0,因为要使用iptables来封某些可疑连接,注意EMAIL_TO=”root”,这样BAN哪个IP会有邮件提示:
##### Paths of the script and other files
PROGDIR=”/usr/local/ddos”
PROG=”/usr/local/ddos/ddos.sh”
IGNORE_IP_LIST=”/usr/local/ddos/ignore.ip.list” //IP地址白名单
CRON=”/etc/cron.d/ddos.cron”//定时执行程序
APF=”/etc/apf/apf”
IPT=”/sbin/iptables”
##### frequency in minutes for running the script
##### Caution: Every time this setting is changed, run the script with –cron
##### option so that the new frequency takes effect
FREQ=1 //检查时间间隔,默认1分钟
##### How many connections define a bad IP? Indicate that below.
NO_OF_CONNECTIONS=150 //最大连接数,超过这个数IP就会被屏蔽,一般默认即可
##### APF_BAN=1 (Make sure your APF version is atleast 0.96)
##### APF_BAN=0 (Uses iptables for banning ips instead of APF)
APF_BAN=1 //使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。
##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script)
##### KILL=1 (Recommended setting)
KILL=1 //是否屏蔽IP,默认即可
##### An email is sent to the following address when an IP is banned.
##### Blank would suppress sending of mails
EMAIL_TO=”root”//当IP被屏蔽时给指定邮箱发送邮件,推荐使用,换成自己的邮箱即可
##### Number of seconds the banned ip should remain in blacklist.
BAN_PERIOD=600 //禁用IP时间,默认600秒,可根据情况调整
四、使用iftop查看详细网络状况
安装IFTOP软件:
yum -y install flex byacc libpcap ncurses ncurses-devel libpcap-devel
wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz
tar zxvf iftop-0.17.tar.gz
cd iftop-0.17
./configure
make && make install
安装后,使用iftop运行,查看网络情况。TX,发送流量;RX,接收流量;TOTAL,总流量;Cumm,运行iftop期间流量;peak,流量峰值;rates,分别代表2秒、10秒、40秒的平均流量。
快捷键:h帮助,n切换显示IP主机名,s是否显示本机信息,d是否显示远端信息,N切换端口服务名称,b切换是否时数流量图形条。
五、升级LNMP中的NGINX到最新版
现在最新版是0.8.53,如果以后出新版,只要更新版本号就可以,在SSH里运行:
wget http://www.nginx.org/download/nginx-0.8.53.tar.gz
tar zxvf nginx-0.8.53.tar.gz
cd nginx-0.8.53
./configure –user=www –group=www –prefix=/usr/local/nginx –with-http_stub_status_module –with-http_ssl_module –with-http_sub_module
make
mv /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.old
cd objs/
cp nginx /usr/local/nginx/sbin/
/usr/local/nginx/sbin/nginx -t
kill -USR2 `cat /usr/local/nginx/logs/nginx.pid`
kill -QUIT `cat /usr/local/nginx/logs/nginx.pid.oldbin`
/usr/local/nginx/sbin/nginx -v
cd ..
cd ..
rm -rf nginx-0.8.53
rm -rf nginx-0.8.53.tar.gz
六、常用netstat命令:
1.查看所有80端口的连接数
netstat -nat|grep -i “80″|wc -l
2.对连接的IP按连接数量进行排序
netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
3.查看TCP连接状态
netstat -nat |awk ‘{print $6}’|sort|uniq -c|sort -rn
netstat -n | awk ‘/^tcp/ {++S[$NF]};END {for(a in S) print a, S[a]}’
netstat -n | awk ‘/^tcp/ {++state[$NF]}; END {for(key in state) print key,””,state[key]}’
netstat -n | awk ‘/^tcp/ {++arr[$NF]};END {for(k in arr) print k,””,arr[k]}’
netstat -n |awk ‘/^tcp/ {print $NF}’|sort|uniq -c|sort -rn
netstat -ant | awk ‘{print $NF}’ | grep -v ‘[a-z]‘ | sort | uniq -c
4.查看80端口连接数最多的20个IP
netstat -anlp|grep 80|grep tcp|awk ‘{print $5}’|awk -F: ‘{print $1}’|sort|uniq -c|sort -nr|head -n20
netstat -ant |awk ‘/:80/{split($5,ip,”:”);++A[ip[1]]}END{for(i in A) print A,i}’ |sort -rn|head -n20
5.用tcpdump嗅探80端口的访问看看谁最高
tcpdump -i eth0 -tnn dst port 80 -c 1000 | awk -F”.” ‘{print $1″.”$2″.”$3″.”$4}’| sort | uniq -c | sort -nr |head -20
6.查找较多time_wait连接
netstat -n|grep TIME_WAIT|awk ‘{print $5}’|sort|uniq -c|sort -rn|head -n20
7.找查较多的SYN连接
netstat -an | grep SYN | awk ‘{print $5}’ | awk -F: ‘{print $1}’ | sort | uniq -c | sort -nr | more
看过“VPS怎么设置安全配置”
浏览量:3
下载量:0
时间:
企业网络环境中,对于访问网络的安全性的要求较高,对上传和下载有严格的要求,尤其是对于一些exe、js、rar等类型文件有严格限制。那么你知道tplink路由器怎么设置网页安全吗?下面是读文网小编整理的一些关于tplink路由器设置网页安全的相关资料,供你参考。
1、启用网页安全功能
登录路由器的管理界面,点击 行为管控 >> 网页安全,勾选 启用网页安全功能,点击 设置;
2、规则设置
在规则设置中,选择相应的地址组,勾选 禁止网页提交(禁止上传和网站、论坛等用户名密码的登录),填写需要过滤文件的扩展类型,设置完成后,点击 新增。如下图所示:
文件扩展名:即文件的类型,如压缩包rar、zip等,安装软件exe等。
在管理页面左上,点击 保存配置。
注意:如果未点击保存配置,设备在断电重启后,配置将丢失。
至此,网页安全设置完成,局域网内的电脑在上网的过程中,将会按照上述的设置的规则使用网络。
tplink路由器设置网页安全的相关
浏览量:0
下载量:0
时间:
买了一台360路由器需要进行相应的设置它才可以上网。路由器需要设置外网和开启WIFI密码才能满足家用的需求了。那么你知道360安全路由器怎么设置吗?下面是读文网小编整理的一些关于360安全路由器设置的相关资料,供你参考。
1、打开电脑浏览器,在浏览器地址栏中输入:luyou.360.cn 或者 192.168.0.1,然后按下键盘中的Enter,会出现如下图所示的页面。
2、点击“立即开启”,如图。
3、360安全路由器会自动检测上网方式,如下图所示;
4、360安全路由器上网设置
(1)、宽带PPPoE
在开通宽带的时候,宽带运营商提供了宽带账号、宽带密码给你,并且在未使用路由器上网时,电脑上需要用“宽带连接”(或者类似的拨号程序),填写宽带账号、密码进行拨号上网。
那么在设置360安全路由器上网时,就应该选择:宽带PPPoE——>在“宽带帐号”填写:运营商提供的上网账号——>在“宽带密码”填写:运营商提供的上网密码——>点击“立即开始上网”。
注意问题:宽带帐号、宽带密码由你的宽带运营商提供,一定要填写正确。如果填写错误,是不能上网的;据统计,75%以上的用户,都是因为把宽带账号和密码填写错误,导致设置后不能上网。
(2)、动态IP上网
在开通宽带的时候,运营商为提供任何信息给你;在没有用路由器的情况下,把宽带网线连接到电脑就能上网。
那么在设置360安全路由器上网时,就应该选择:动态IP上网——>点击“立即开始上网”。
注意问题:当把360安全路由器作为二级路由器使用时,即把360安全路由器连接到已经可以上网的路由器、交换机下面时,也应该选择:动态IP上网。
(3)、静态IP上网
开通宽带的时候,运营商会提供一个静态IP地址、子网掩码、默认网关、DNS信息给你。在未使用路由器时,需要在电脑本地连接(以太网)中,填写宽带运营商提供的静态IP地址信息,然后电脑才能上网。
那么在设置360安全路由器上网时,就应该选择:静态IP上网——>然后填写宽带运营商提供的IP地址、子网掩码、默认网关、DNS。
5、点击“立即开始上网”后,路由器会自动进行连接,如下图所示;
6、当360安全路由器连接成功后,就会提示设置“WiFi名称”、“WiFi密码”,如下图所示,按照提示设置。
注意问题:
(1)、注意勾选“将WiFi密码同时设为路由器管理密码”;勾选后,360安全路由器的管理密码(登录密码)和WiFi密码是一样的,小编强烈建议大家勾选这一项。
(2)、WiFi名称,建议用字母、数字设置,不要用中文汉字。
(3)、WiFi密码,建议用大写字母 小写字母 数字 符号的组合来进行设置。
7、等待WiFi配置成功
第四步、检测360安全路由器是否设置成功
1、输入WiFi密码,重新登录到360路由器的设置页面,如下图所示
2、查看“连接状态”,如果显示:正常,说明360安全路由器上网设置成功,可以正常使用了。
360安全路由器设置的相关
浏览量:3
下载量:0
时间:
因为无线的方便,也因为现在无线路由器技术比较成熟,功率也越来越大,覆盖的范围也越来越远,不受网线的牵绊,有更大的自由度,所以人们也越来越喜欢用无线上网,那么你知道无线路由器怎么设置密码安全吗?下面是读文网小编整理的一些关于无线路由器设置密码安全的相关资料,供你参考。
1,先介绍连接无线路由器的方法,工具材料。
一,要准备一个无线路由器;
二,一个ADSL猫,两根网线;
三,至少一台电脑(台式或笔记本电脑都行,带无线网卡):
四,如果用电话线作网线,还需要一个分频器,再加一根网线:
先把入户网线插在ADSL猫上,如果是用电话线作网线,把入户电话线接在分频器一端接口上,另一端的两个接口,一个接电话,一个接ADSL猫。
然后,用一根网线,一端接ADSL猫输出口,一端接无线路由器输入口,再用另一根网线,一端接四个输出接口的任意一个,另一端接电脑后面的网卡插口,这样连结无线路由器的工作就完成了。如下图所示:
2,开始设置,打开连结无线路由器的台式电脑,再打开IE浏览器,在地址栏中输入192.168.1.1,登录路由器,这里是以TP-LINK为例,其它的路由器可能不一样,有的可能是192.168.0.1,如果不知道是多少,可看看路由器底部的地址就可以了。
输入后,就会弹出一个路由器登录密码框,一般出厂时,用户名和密码都是admin,输入后按登录,就能进入无线路由器设置界面。
注释:整个无线路由器设置过程会有三个用户名和三个密码需要输入,
一,无线路由器本身登陆用户名和密码。
二,网络运营商提供的用户名和密码。
三,自已设置的上网用户名和密码。
3,当输入正确的用户名和密码后,会进入到TP-LINK的设置界面,在其界面上,选择左侧的“设置向导”这一项。
4,就会弹出一个上网方式区选择框,有三个选择项,因为一般家庭都是拨号上网,所以选择PPPoE这一项,如果你家的是静态IP地址,就要选第三项,如图,然后按"下一步"。
5,按了"下一步"后,又会弹出一个框,这个框是要填入网络运营商提供的用户名和密码,填完之后按"下一步"。
6,下面弹出的框是整个无线路由器安全设置的重点,首先就是SSID,无线广播名,也就是我们用无线上网时,所看到的无线信号名称,填入代表你个性的名称,这样比较好记住,但不要是自已的名字,或者名字的拼音,因为很容易被人识别,如果蹭网者要是知道无线信号是属于谁的,破解难度也就等于减了一大半。
接下来就是要填你的上网密码了,选择WPA-PSK/WPA2-PSK这一项,可以填8-64个ASCII字符或者8-64个十六进制字符,
ASCII:就是键盘上那10个数字,52个大小写英文字母,以及@#$*&......这些符号。最短不少于8位,最大不超过64位。
十六进制字符:数字1-10,五个英文字母A-F。
7,上面这个密码框就是要重点解释的地方,密码要怎样设置才够安全,以我接触过的来说,大部份人设置密码都喜欢用纯数字,而且喜欢用自已的生日来做密码,看这篇文章的您,是不是也是这样啊,还有用身份证或手机号码做密码等,而且用八位纯数字做密码的非常多,占设置密码的70%左右,用其它字母或符号的比较少,所以,很多人的安全意识不强,导致很容易被人蹭网。
大家可以想一想,如果只用八位纯数字做密码,其最大的组合数量是:九千九百九十九万九千九百九十九,用现在的电脑,只算四个CPU,每秒能运算五万个密码左右,八位纯数字全运算一遍,只需要一个小时左右。如果是那些高级黑客,他们有“密码字典”,那速度就更快了,也许几分或几秒钟就能破解出来。
解释一下"密码字典",就是人们平常喜欢用的数字,如生日密码,如下图,或者易记易用的号码,如下图中的纯一位数,前四后四,前一后七,两位叠加等等,黑客们收集这些常用的号码,就做成了一个密码字典,运算速度会更快,还有更加利害的方法,如果黑客用了WPA-PSK Hash Tables破解方法,它可以成千上万倍地增加破解速度,就算把八位数全运行一遍,也只需要几分或几秒钟,如果你家要是八位纯数字,那你得敢快改掉。
那要怎么改呢,密码最少要16位或以上,例如:(%^#!RBTR#25^&;?&),当然,密码位数越多,也就越难破解,需要有英文字母和符号,而且符号要多用,密码可以经常换一换,如果怕忘记密码,可以事先写在卡片上,保存好就可以了,万一丢了,重置一下无线路由器就可以了
8,密码设置完以后,弹出一个完成设置确认窗口,要重新启动电脑,所有设置才能生效。
提示:如果重启后还不能上网,可能是WAN口的连接类型或拨号类型没有设置正确,可进入到“网络参数”中去进行设置,
9,最后对电脑进行设置,右键点桌面的“网络连接”,选属性,“本地连接”右键,打开其属性,在常规项下,找到“Internet 协议(TCP/IP)”这一项,然后点属性,会弹出一个对话框,在常规下选择“自动获取IP地址”与“自动获取DNS服务器地址”这两项,设置好后点确定,
整个无线路由器的设置就完成了,你可以拔掉电脑上的网线,用无线上网了,注意,电脑上必须有无线网卡,其它有无线网卡的电脑,也可以用这个无线路由器上网。
无线路由器设置密码安全的相关
浏览量:10
下载量:0
时间: