使用路由过程中,安全问题是我们需要特别注意的,可能好多人还不了解路由器配置能否彻底解决局域网的安全,没有关系,看完本文你肯定有不少收获,希望本文能教会你更多东西。一谈到加强网络安全,大家可能第一反应就是使用“防火墙”,确实,防火墙作为一种比较成熟而且也算是比较传统的网络安全设备,它的这种安全形象已经深入人心。
局域网也成病毒高发地区
如果是在4年前,局域网还是非常安全的,很多公司也习惯了直接在局域网共享各种常用软件和资料,但是现在为了获得一些非正当的利益,很多病毒开发者打起了局域网的主意:
先是由于网游的热火而产生了ARP病毒。这是一种欺骗性质的病毒,虽然它的目的并不是破坏局域网,但为了达到它盗号盗宝的目的,会严重影响其它局域网用户的正常上网活动。所谓ARP攻击其实就是内网某台主机伪装成网关,欺骗内网其他主机将所有发往网关的信息发到这台主机上。但是由于此台主机的数据处理转发能力远远低于网关,所以就会导致大量信息堵塞,网速越来越慢,甚至造成网络瘫痪,而且ARP病毒这样做的目的就是为了截取用户的信息,盗取诸如网络游戏帐号、QQ密码等用户信息,因此它不仅会造成局域网堵塞,也会威胁到局域网用户的信息安全。
接着很多针对特殊服务器或是网游私服的DDOS攻击也开始大举利用网吧或企业网络中的客户机作为“僵尸”电脑,对指定的服务器IP发送大量的数据包,“僵尸”电脑越多,服务器被消耗的带宽也越多,利用这个原理耗尽服务器的带宽,就可以达到让对方服务器掉线以便对服务器运营者进行恶意勒索的目的。这种攻击方式虽然是针对外网服务器,但是它在攻击过程中需要向路由器配置发送大量的数据包,会直接导致路由器配置仅有的100MLAN口被“堵满”,因此其他局域网的计算机的请求无法提交到路由器配置进行处理,结果就产生局域网计算机全部“掉线”的现象。
还有一种针对服务器的SYN攻击也会令局域网电脑全体“掉线”:SYN攻击属于DOS攻击的一种,它利用TCP协议三次握手的等待确认缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。SYN攻击除了能影响主机外,还可以危害路由器配置、防火墙等网络系统,事实上SYN攻击并不管目标是什么系统,只要这些系统打开TCP服务就可以实施。配合IP欺骗,SYN攻击能达到很好的效果,通常,感染SYN病毒的客户端在短时间内伪造大量不存在的IP地址,向服务器不断地发送SYN包,服务器回复确认包,并等待客户的确认,由于源地址是不存在的,服务器需要不断的重发直至超时,这些伪造的SYN包将长时间占用未连接队列,正常的SYN请求被丢弃,目标系统和路由器配置运行缓慢,严重的时候就直接引起整个局域网的网络堵塞甚至系统瘫痪。
防火墙路由器无法解决内网安全问题
面对日益严重的内网攻击和整网掉线问题,很多路由器和防火墙开发商也在产品中加入了相关技术,例如加入IP-MAC绑定功能可以防止局域网的ARP欺骗,但是这些设备由于以太网工作原理的关系,其实还是无法全面解决内网安全问题。
例如DDOS攻击,虽然路由器配置和防火墙可以利用一些设定好的规则判断出哪些数据包带有DDOS攻击的特征,但是它必须在收到这些数据包之后才能对数据包进行分析,而这些数据包在收过来的时候其实就已经占用了LAN口的带宽资源,由于路由器配置和防火墙都在局域网的最外端,这样的网络结构已经决定了它们无法在攻击数据包产生的时候就进行封堵,而且这些设备大部分还是采用100Mb的带宽与LAN交换机相连,加上大部分的局域网交换机都是线速转发的二层交换机,受感染客户端发送的大量数据包可以很快用完这些带宽,因此网络数据传输的压力都加载在路由器配置LAN端口,这时候很多正常的请求都无法顺利通过LAN口提交过去,因此即使路由器配置知道哪些是正常的请求也无济于事。
用交换机来解决局域网攻击问题
既然路由器配置和防火墙无法全面解决局网安全问题,那么自然会有人想到用交换机来解决这个问题。在大部分网管人员和技术员看来,交换机就是纯粹用来拓展上网计算机数量,提供更多的LAN口,似乎它就只是一个只管线速转发而从来不对数据包进行分析的设备,这也是二层交换机给人比较深刻的印象。
确实,要解决局域网的安全问题,交换机就不能再纯粹完成转发工作了事,还需要判断数封堵一些常见病毒所使用的端口,以及进行端口速率限制。有些读者会觉得,路由器配置上面不是也具备这些功能吗?没错,但如前面所说,路由器配置的这些功能发挥作用已经是在路由器配置LAN口接收到数据包之后,而如果这些功能转移到交换机上,就可以防止这些病毒端口发送的数据包到达路由器,从而减轻路由器配置的负担,保证局域网其他用户的正常上网。