網關布防
⑴ 怎麼防止網關欺騙
在開始 運行里 輸入cmd 然後輸 ipconfig 在顯示的信息里有 給你舉個例子吧Ethernet adapter 本地連接: physical address.....00-30-04-f2-63-21 MAC地址 IP address ......... 192.168.0.5 IP地址 subnet Mask........ 255.255.255.0 DNS server..... 193.128.2.8 default getway ...192.168.0.1 網關arp攻擊的防範一、使用ARP伺服器 使用ARP 伺服器。通過該伺服器查找自己的ARP 轉換表來響應其他機器的ARP 廣播。確保這台ARP 伺服器不被攻擊。二、禁止網路介面做ARP 解析 在相對系統中禁止某個網路介面做ARP 解析(對抗ARP欺騙攻擊),可以做靜態ARP 協議設置(因為對方不會響應ARP 請求報義)如: ARP –s XXX.XXX.XX.X 08-00-20-a8-2e-ac在很多操作系統中如:Unix , NT 等,都可以結合「禁止相應網路介面做ARP 解析」和「使用靜態ARP 表」的設置來對抗ARP 欺騙攻擊。而Linux 系統,其靜態ARP 表項不會被動態刷新,所以不需要「禁止相應網路介面做ARP 解析」,即可對抗ARP 欺騙攻擊。三、捆綁MAC和IP地址 杜絕IP 地址盜用現象。如果是通過代理伺服器上網:到代理伺服器端讓網路管理員把上網的靜態IP 地址與所記錄計算機的網卡地址進行捆綁。如: ARP-s 192.16.10.400-EO-4C-6C-08-75。這樣,就將上網的靜態IP 地址192.16.10.4 與網卡地址為00-EO-4C-6C-08-75 的計算機綁定在一起了,即使別人盜用您的IP 地址,也無法通過代理伺服器上網。如果是通過交換機連接,可以將計算機的IP地址、網卡的MAC 地址以及交換機埠綁定。四、使用硬體屏蔽主機設置好你的路由,確保IP 地址能到達合法的路徑。( 靜態配置路由ARP 條目),注意,使用交換集線器和網橋無法阻止ARP 欺騙。五、交換機埠設置 (1)埠保護(類似於埠隔離):ARP 欺騙技術需要交換機的兩個埠直接通訊,埠設為保護埠即可簡單方便地隔離用戶之間信息互通,不必佔用VLAN 資源。同一個交換機的兩個埠之間不能進行直接通訊,需要通過轉發才能相互通訊。 (2)數據過濾:如果需要對報文做更進一步的控制用戶可以採用ACL(訪問控制列表)。ACL 利用IP 地址、TCP/UDP 埠等對進出交換機的報文進行過濾,根據預設條件,對報文做出允許轉發或阻塞的決定。華為和Cisco 的交換機均支持IP ACL 和MAC ACL,每種ACL 分別支持標准格式和擴展格式。標准格式的ACL 根據源地址和上層協議類型進行過濾,擴展格式的ACL 根據源地址、目的地址以及上層協議類型進行過濾,異詞檢查偽裝MAC 地址的幀。六、修改MAC地址,欺騙ARP欺騙技術 就是假冒MAC 地址,所以最穩妥的一個辦法就是修改機器的MAC 地址,只要把MAC 地址改為別的,就可以欺騙過ARP 欺騙,從而達到突破封鎖的目的。七、定期檢查ARP緩存 管理員定期用響應的IP 包中獲得一個rarp 請求, 然後檢查ARP 響應的真實性。定期輪詢, 檢查主機上的ARP 緩存。使用防火牆連續監控網路。注意有使用SNMP 的情況下,ARP 的欺騙有可能導致陷阱包丟失。技巧一則 綁定MAC址的方法個人認為是不實用的,首先, 這樣做會加大網路管理員的工作量,試想,如果校園網內有3000個用戶,網路管理員就必須做3000 次埠綁定MAC 地址的操作,甚至更多。其次, 網路管理員應該比較清楚的是, 由於網路構建成本的原因,接入層交換機的性能是相對較弱的, 功能也相對單一一些, 對於讓接入層交換機做地址綁定的工作,對於交換機性能的影響相當大, 從而影響網路數據的傳輸。
⑵ 什麼是安全隔離網關
安全隔離網關是防火牆、IPS、內容過濾、反病毒、Web安全
安全網關是各種技術有機的融合,具有重要且獨特的保護作用,其范圍從協議級過濾到十分復雜的應用級過濾。防火牆主要有三類: 分組過濾 電路網關 應用網關
注意:三種中只有一種是過濾器,其餘都是網關。 這三種機制通常結合使用。過濾器是映射機制,可區分合法的和欺騙包。每種方法都有各自的能力和限制,要根據安全的需要仔細評價。
1、包過濾器
包過濾是安全映射最基本的形式,路由軟體可根據包的源地址、目的地址或埠號建立許可權, 對眾所周知的埠號的過濾可以阻止或允許網際協議如FTP、rlogin等。過濾器可對進入和/或流出的數據操作, 在網路層實現過濾意味著路由器可以為所有應用提供安全映射功能。作為(邏輯意義上的)路由器的常駐部分, 這種過濾可在任何可路由的網路中自由使用,但不要把它誤解為萬能的,包過濾有很多弱點,但總比沒有好。
包過濾很難做好,尤其當安全需求定義得不好且不細致的時候更是如此。這種過濾也很容易被攻破。包過濾比較每個數據包, 基於包頭信息與路由器的訪問列表的比較來做出通過/不通過的決定,這種技術存在許多潛在的弱點。首先, 它直接依賴路由器管理員正確地編制許可權集,這種情況下,拼寫的錯誤是致命的, 可以在防線中造成不需要任何特殊技術就可以攻破的漏洞。即使管理員准確地設計了許可權,其邏輯也必須毫無破綻才行。 雖然設計路由似乎很簡單,但開發和維護一長套復雜的許可權也是很麻煩的, 必須根據防火牆的許可權集理解和評估每天的變化,新添加的伺服器如果沒有明確地被保護,可能就會成為攻破點。
隨著時間的推移,訪問許可權的查找會降低路由器的轉發速度。每當路由器收到一個分組, 它必須識別該分組要到達目的地需經由的下一跳地址,這必將伴隨著另一個很耗費CPU的工作: 檢查訪問列表以確定其是否被允許到達該目的地。訪問列表越長,此過程要花的時間就越多。
包過濾的第二個缺陷是它認為包頭信息是有效的,無法驗證該包的源頭。 頭信息很容易被精通網路的人篡改, 這種篡改通常稱為「欺騙」。
包過濾的種種弱點使它不足以保護你的網路資源,最好與其它更復雜的過濾機制聯合使用,而不要單獨使用。
2、鏈路網關
鏈路級網關對於保護源自私有、安全的網路環境的請求是很理想的。這種網關攔截TCP請求,甚至某些UDP請求, 然後代表數據源來獲取所請求的信息。該代理伺服器接收對萬維網上的信息的請求,並代表數據源完成請求。實際上, 此網關就象一條將源與目的連在一起的線,但使源避免了穿過不安全的網路區域所帶來的風險。
3、應用網關
應用網關是包過濾最極端的反面。包過濾實現的是對所有穿過網路層包過濾設備的數據的通用保護, 而應用網關在每個需要保護的主機上放置高度專用的應用軟體,它防止了包過濾的陷阱,實現了每個主機的堅固的安全。
應用網關的一個例子是病毒掃描器,這種專用軟體已經成了桌面計算的主要產品之一。它在啟動時調入內存並駐留在後台, 持續地監視文件不受已知病毒的感染,甚至是系統文件的改變。 病毒掃描器被設計用於在危害可能產生前保護用戶不受到病毒的潛在損害。
這種保護級別不可能在網路層實現,那將需要檢查每個分組的內容,驗證其來源,確定其正確的網路路徑, 並確定其內容是有意義的還是欺騙性的。這一過程將產生無法負擔的過載,嚴重影響網路性能。
4、組合過濾網關
使用組合過濾方案的網關通過冗餘、重疊的過濾器提供相當堅固的訪問控制,可以包括包、鏈路和應用級的過濾機制。 這樣的安全網關最普通的實現是象崗哨一樣保護私有網段邊緣的出入點,通常稱為邊緣網關或防火牆。 這一重要的責任通常需要多種過濾技術以提供足夠的防衛。下圖所示為由兩個組件構成的安全網關:一個路由器和一個處理機。 結合在一起後,它們可以提供協議、鏈路和應用級保護。
這種專用的網關不象其它種類的網關一樣,需要提供轉換功能。作為網路邊緣的網關,它們的責任是控制出入的數據流。 顯然的,由這種網關聯接的內網與外網都使用IP協議,因此不需要做協議轉換,過濾是最重要的。
護內網不被非授權的外部網路訪問的原因是顯然的。控制向外訪問的原因就不那麼明顯了。在某些情況下, 是需要過濾發向外部的數據的。例如,用戶基於瀏覽的增值業務可能產生大量的WAN流量,如果不加控制, 很容易影響網路運載其它應用的能力,因此有必要全部或部分地阻塞此類數據。
聯網的主要協議IP是個開放的協議,它被設計用於實現網段間的通信。這既是其主要的力量所在,同時也是其最大的弱點。 為兩個IP網提供互連在本質上創建了一個大的IP網, 保衛網路邊緣的衛士--防火牆--的任務就是在合法的數據和欺騙性數據之間進行分辨。
5、實現中的考慮
實現一個安全網關並不是個容易的任務,其成功靠需求定義、仔細設計及無漏洞的實現。首要任務是建立全面的規則, 在深入理解安全和開銷的基礎上定義可接受的折衷方案,這些規則建立了安全策略。
安全策略可以是寬松的、嚴格的或介於二者之間。在一個極端情況下,安全策略的基始承諾是允許所有數據通過,例外很少, 很易管理,這些例外明確地加到安全體制中。這種策略很容易實現,不需要預見性考慮,保證即使業餘人員也能做到最小的保護。 另一個極端則極其嚴格,這種策略要求所有要通過的數據明確指出被允許,這需要仔細、著意的設計,其維護的代價很大, 但是對網路安全有無形的價值。從安全策略的角度看,這是唯一可接受的方案。在這兩種極端之間存在許多方案,它們在易於實現、 使用和維護代價之間做出了折衷,正確的權衡需要對危險和代價做出仔細的評估。
⑶ Aqara的智能門鎖可以用米家多功能網關解除布防嗎
可以的,反正都是連在一起的,門鎖是支 持設 備聯 動的,只要按照它的說明順序操 作就沒有問題,我是經常使用米家這個功 能的。
⑷ 天翼網關怎麼防止蹭網,我的是這種頁面怎麼弄,求在線大神指點,謝謝!
既要保證自己抄上網網速不受影響,同時襲又能防止其它人蹭網,可以採取以下辦法:
首先在瀏覽器地址欄輸入192.168.1.1(手機瀏覽器也可以),進入路由器設置:
第一、修改信息。關閉SSID廣播。
第二、加密網路。修改無線網路密碼。右擊你的網路名(SSID),選擇屬性-安全,安全類型選「WPA2-個人」,加密類型選「AES」,在「網路安全密鑰」填寫密鑰,密碼設置盡可能長,使用數字加大小寫字母加符號組合形成。點擊確定即可。
第三、地址過濾。進入路由器設置界面,在「無線MAC地址過濾」中設置,將認可的設為「允許」,不認可的設為「禁止」。在靜態地址分配中,將允許的MAC地址分配靜態IP地址。在「安全設置」里,將「禁止」的MAC地址添加到列表中。最後重啟路由器即可。
第四、進入路由器設置,在DHCP伺服器中,關閉此服務。
第五、定期升級。到路由器官方網站查看固件更新,防止路由器漏洞導致的蹭網。
⑸ 智能家居的布防什麼意思
智能家居是以住宅為平台,通過物聯網技術將家中的各種設備連接到一起,實現智能化的一種生態系統。它具有智能燈光控制、智能電器控制、安防監控系統、智能背景音樂、智能視頻共享、可視對講系統和家庭影院系統等功能。
就是當主人離開家或是休息是可以在安防系統的鍵盤上輸入密碼布防,系統就會進入布防狀態,當有外人窗入時,系統會報警,有些系統還會給業主或主人打電話會發簡訊通知。所以當您不放了以後要在進入之前或休息起來進行撤防,或是用一些中央控制系統進行定時布防撤防,這用在休息時是比較好的。
⑹ 網關與防火牆的區別
網關是一個大的概來念,自沒有特指是什麼設備,很多設備都可以做網關,普通的PC機也能做,常用的網關設備是路由器。網關的作用主要是用來連接兩個不同的網路,比如可以連接兩個IP地址不相同的網路,或連接兩個操作系統不同的網路,如WINDOWS與LINUX互連,或連接兩個網路協議不同的網路,如TCP/IP與IPX.或拓撲結構不同的網路,如乙太網和令牌環網。總之網關是一種中間媒介。
而防火牆也可以做網關,但它的主要做用只是用來防病毒或防黑客,網關只算是防火牆的一個功能。
⑺ 網關和網守
網關是通過IP 網路提供電話到電話連接,完成話音通信的關鍵設備,即Internet網路與電話網之間的介面設備。通過它可完成語音壓縮,將64kbit/s的語音信號壓縮成低碼率的語音信號;完成定址與呼叫控制;具有IP網路介面與電話網的互連介面。
網守負責用戶注冊與管理,它應當具有的功能為:將被叫號碼的前幾位數字對應網關的IP地址;對接入用戶的身份認證 (即確認),防止非法用戶接入;做呼叫記錄並有詳細數據, 從而保證收費正確;完成區域管理,多個網關可由一個網守進行管理
⑻ 兩網關怎樣能在區域網互防
解決這類問題,你得說明白你的網路拓補結構。
總之兩個網路互訪,把兩個網路的網關路由表中分別加兩條路由就行了
⑼ 黑客攻防的過濾網關防護
這里,過濾網關主要指明防火牆,當然路由器也能成為過濾網關。防火牆部署在不同網路之間,防範外來非法攻擊和防止保密信息外泄,它處於客戶端和伺服器之間,利用它來防護SYN攻擊能起到很好的效果。過濾網關防護主要包括超時設置,SYN網關和SYN代理三種。
·網關超時設置:
防火牆設置SYN轉發超時參數(狀態檢測的防火牆可在狀態表裡面設置),該參數遠小於伺服器的timeout時間。當客戶端發送完SYN包,服務端發送確認包後(SYN+ACK),防火牆如果在計數器到期時還未收到客戶端的確認包(ACK),則往伺服器發送RST包,以使伺服器從隊列中刪去該半連接。值得注意的是,網關超時參數設置不宜過小也不宜過大,超時參數設置過小會影響正常的通訊,設置太大,又會影響防範SYN攻擊的效果,必須根據所處的網路應用環境來設置此參數。
·SYN網關:
SYN網關收到客戶端的SYN包時,直接轉發給伺服器;SYN網關收到伺服器的SYN/ACK包後,將該包轉發給客戶端,同時以客戶端的名義給伺服器發ACK確認包。此時伺服器由半連接狀態進入連接狀態。當客戶端確認包到達時,如果有數據則轉發,否則丟棄。事實上,伺服器除了維持半連接隊列外,還要有一個連接隊列,如果發生SYN攻擊時,將使連接隊列數目增加,但一般伺服器所能承受的連接數量比半連接數量大得多,所以這種方法能有效地減輕對伺服器的攻擊。
·SYN代理:
當客戶端SYN包到達過濾網關時,SYN代理並不轉發SYN包,而是以伺服器的名義主動回復SYN/ACK包給客戶,如果收到客戶的ACK包,表明這是正常的訪問,此時防火牆向伺服器發送ACK包並完成三次握手。SYN代理事實上代替了伺服器去處理SYN攻擊,此時要求過濾網關自身具有很強的防範SYN攻擊能力。
2、加固tcp/ip協議棧防範SYN攻擊的另一項主要技術是調整tcp/ip協議棧,修改tcp協議實現。主要方法有SynAttackProtect保護機制、SYN cookies技術、增加最大半連接和縮短超時時間等。tcp/ip協議棧的調整可能會引起某些功能的受限,管理員應該在進行充分了解和測試的前提下進行此項工作。otect機制
為防範SYN攻擊,Windows2000系統的tcp/ip協議棧內嵌了SynAttackProtect機制,Win2003系統也採用此機制。SynAttackProtect機制是通過關閉某些socket選項,增加額外的連接指示和減少超時時間,使系統能處理更多的SYN連接,以達到防範SYN攻擊的目的。默認情況下,Windows2000操作系統並不支持SynAttackProtect保護機制,需要在注冊表以下位置增加SynAttackProtect鍵值:
當SynAttackProtect值(如無特別說明,本文提到的注冊表鍵值都為十六進制)為0或不設置時,系統不受SynAttackProtect保護。
當SynAttackProtect值為1時,系統通過減少重傳次數和延遲未連接時路由緩沖項(route cache entry)防範SYN攻擊。
當SynAttackProtect值為2時(Microsoft推薦使用此值),系統不僅使用backlog隊列,還使用附加的半連接指示,以此來處理更多的SYN連接,使用此鍵值時,tcp/ip的TCPInitialRTT、window size和可滑動窗囗將被禁止。
我們應該知道,平時,系統是不啟用SynAttackProtect機制的,僅在檢測到SYN攻擊時,才啟用,並調整tcp/ip協議棧。那麼系統是如何檢測SYN攻擊發生的呢?事實上,系統根據TcpMaxHalfOpen,TcpMaxHalfOpenRetried 和TcpMaxPortsExhausted三個參數判斷是否遭受SYN攻擊。
TcpMaxHalfOpen 表示能同時處理的最大半連接數,如果超過此值,系統認為正處於SYN攻擊中。Windows2000server默認值為100,Windows2000 Advanced server為500。
TcpMaxHalfOpenRetried定義了保存在backlog隊列且重傳過的半連接數,如果超過此值,系統自動啟動SynAttackProtect機制。Windows2000 server默認值為80,Windows2000 Advanced server為400。
TcpMaxPortsExhausted是指系統拒絕的SYN請求包的數量,默認是5。
如果想調整以上參數的默認值,可以在注冊表裡修改(位置與SynAttackProtect相同)
· SYN cookies技術
我們知道,TCP協議開辟了一個比較大的內存空間backlog隊列來存儲半連接條目,當SYN請求不斷增加,並這個空間,致使系統丟棄SYN連接。為使半連接隊列被塞滿的情況下,伺服器仍能處理新到的SYN請求,SYN cookies技術被設計出來。
SYN cookies應用於linux、FreeBSD等操作系統,當半連接隊列滿時,SYNcookies並不丟棄SYN請求,而是通過加密技術來標識半連接狀態。
在TCP實現中,當收到客戶端的SYN請求時,伺服器需要回復SYN+ACK包給客戶端,客戶端也要發送確認包給伺服器。通常,伺服器的初始序列號由伺服器按照一定的規律計算得到或採用隨機數,但在SYN cookies中,伺服器的初始序列號是通過對客戶端IP地址、客戶端端囗、伺服器IP地址和伺服器端囗以及其他一些安全數值等要素進行hash運算,加密得到的,稱之為cookie。當伺服器遭受SYN攻擊使得backlog隊列滿時,伺服器並不拒絕新的SYN請求,而是回復cookie(回復包的SYN序列號)給客戶端, 如果收到客戶端的ACK包,伺服器將客戶端的ACK序列號減去1得到cookie比較值,並將上述要素進行一次hash運算,看看是否等於此cookie。如果相等,直接完成三次握手(注意:此時並不用查看此連接是否屬於backlog隊列)。
在RedHat linux中,啟用SYN cookies是通過在啟動環境中設置以下命令來完成:
# echo 1 ?? /proc/sys/net/ipv4/tcp_syncookies
· 增加最大半連接數
大量的SYN請求導致未連接隊列被塞滿,使正常的TCP連接無法順利完成三次握手,通過增大未連接隊列空間可以緩解這種壓力。當然backlog隊列需要佔用大量的內存資源,不能被無限的擴大。
Windows2000:除了上面介紹的TcpMaxHalfOpen, TcpMaxHalfOpenRetried參數外,Windows2000操作系統可以通過設置動態backlog(dynamic backlog)來增大系統所能容納的最大半連接數,配置動態backlog由AFD.SYS驅動完成,AFD.SYS是一種內核級的驅動,用於支持基於window socket的應用程序,比如ftp、telnet等。AFD.SYS在注冊表的位置:
值為1時,表示啟用動態backlog,可以修改最大半連接數。
MinimumDynamicBacklog表示半連接隊列為單個TCP端囗分配的最小空閑連接數,當該TCP端囗在backlog隊列的空閑連接小於此臨界值時,系統為此端囗自動啟用擴展的空閑連接(DynamicBacklogGrowthDelta),Microsoft推薦該值為20。
MaximumDynamicBacklog是當前活動的半連接和空閑連接的和,當此和超過某個臨界值時,系統拒絕SYN包,Microsoft推薦MaximumDynamicBacklog值不得超過2000。
DynamicBacklogGrowthDelta值是指擴展的空閑連接數,此連接數並不計算在MaximumDynamicBacklog內,當半連接隊列為某個TCP端囗分配的空閑連接小於MinimumDynamicBacklog時,系統自動分配DynamicBacklogGrowthDelta所定義的空閑連接空間,以使該TCP端囗能處理更多的半連接。Microsoft推薦該值為10。
LINUX:Linux用變數tcp_max_syn_backlog定義backlog隊列容納的最大半連接數。在Redhat 7.3中,該變數的值默認為256,這個值是遠遠不夠的,一次強度不大的SYN攻擊就能使半連接隊列占滿。我們可以通過以下命令修改此變數的值:
# sysctl -w net.ipv4.tcp_max_syn_backlog=`2048`
Sun Solaris Sun Solaris用變數tcp_conn_req_max_q0來定義最大半連接數,在Sun Solaris 8中,該值默認為1024,可以通過add命令改變這個值:
# ndd -set /dev/tcp tcp_conn_req_max_q0 2048
HP-UX:HP-UX用變數tcp_syn_rcvd_max來定義最大半連接數,在HP-UX11.00中,該值默認為500,可以通過ndd命令改變默認值:
#ndd -set /dev/tcp tcp_syn_rcvd_max 2048
·縮短超時時間
上文提到,通過增大backlog隊列能防範SYN攻擊;另外減少超時時間也使系統能處理更多的SYN請求。我們知道,timeout超時時間,也即半連接存活時間,是系統所有重傳次數等待的超時時間總和,這個值越大,半連接數佔用backlog隊列的時間就越長,系統能處理的SYN請求就越少。為縮短超時時間,可以通過縮短重傳超時時間(一般是第一次重傳超時時間)和減少重傳次數來實現。
Windows2000第一次重傳之前等待時間默認為3秒,為改變此默認值,可以通過修改網路接囗在注冊表裡的TcpInitialRtt注冊值來完成。重傳次數由 來定義,注冊表的位置是:
registry key
當然我們也可以把重傳次數設置為0次,這樣伺服器如果在3秒內還未收到ack確認包就自動從backlog隊列中刪除該連接條目。
LINUX:Redhat使用變數tcp_synack_retries定義重傳次數,其默認值是5次,總超時時間需要3分鍾。
Sun Solaris Solaris默認的重傳次數是3次,總超時時間為3分鍾,可以通過ndd命令修改這些默認值。
