路由器(以Cisco路由器为例)
1.Cisco Express Forwarding(CEF)。
2.使用 unicast reverse-path。
3.访问控制列表(ACL)过滤。
4.设置SYN数据包流量速率。
5.升级版本过低的ISO。
6.为路由器建立log server。
其中使用CEF和Unicast设置时要特别注意,使用不当会造成路由器工作效率严重下降,升级IOS也应谨慎。
在思科路由器上使用 ip verfy unicast reverse-path 网络接口命令,这个功能检查每一个经过路由器的数据包。在路由器的CEF表该数据包所到达网络接口的所有路由项中,如果没有该数据包源IP地址的路由,路由器将丢弃该数据包。例如,路由器接收到一个源IP地址为1.2.3.4的数据包,如果CEF路由表中没有为IP地址1.2.3.4提供任何路由(即反向数据包传输时所需的路由),则路由器会丢弃它。 单一地址反向传输路径转发(Unicast Reverse Path Forwarding)在ISP(局端)实现阻止SMURF攻击和其他基于IP地址伪装的攻击,这能够保护网络和客户避免受来自互联网其他地方的侵扰。使用Unicast RPF需要打开路由器的“\CEF swithing\”或“\CEF distributed switching\”选项,不需要将输入接口配置为CEF交换(switching)。只要该路由器打开了CEF功能,所有独立的网络接口都可以配置为其他交换(switching)模式。RPF(反向传输路径转发)属于在一个网络接口或子接口上激活的输入端功能,处理路由器接收的数据包。
防火墙
1.禁止对主机的非开放服务的访问。
2.限制同时打开的SYN最大连接数。
3.限制特定IP地址的访问。
4.启用防火墙的防DDoS属性。
5.严格限制对外开放的服务器的向外访问。
要限制在防火墙外与网络文件共享,因为这会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。
利用防火墙来加固网络的安全性,配置好这些设备的安全规则,过滤掉所有可能的伪造数据包。在受到攻击时,迅速确定来源地址,在路由器和防火墙上做一些屏蔽。
减小字体
增大字体