網關設備過濾網址
A. 請問反垃圾郵件雲網關一般能過濾掉多少垃圾郵件
這個主要要看你選用網關的專業技術高低來決定的。像我們今年用的是靠譜郵件版,這權家的網關做的不錯,基本能抵禦99%以上的垃圾郵件,還能掃描監測所有進出郵件的安全。據了解靠譜已經獲得了C-STAR最高級別雲安全國家認證了。
B. 哪款殺毒軟體是以網關方式過濾病毒網站的
試試騰訊電腦管家2合1殺毒版,已經升級為12層實時安全防護
具體包括:3層上網安全專保護、4層應屬用入口保護、5層系統底層保護。開啟12層實時安全防護的好處在於,可以對網購安全、搜索保護、網游安全、網路下載、QQ安全防護、網頁防火牆等易感染病毒及遭受惡意網址侵擾的途徑進行嚴密監控,從系統底層防禦病毒入侵。
C. 怎麼檢測路由器把mac地址過濾了
進入來路由器網關查源看MAC地址過濾方法:
1.系統連接wifi。
2.打開電腦瀏覽器,輸入路由器背後銘牌的網關ip地址(一般是192.168.1.1),進入網關配置界面。
3.進入DHCP客戶端界面,查看主機名。記錄許可的設備主機名及其MAC地址。
4.進入路由器安全設置界面,點擊MAC地址過濾,即可查看。
有幾種模式可供選擇。
僅允許模式:只允許指定MAC地址設備聯網。
僅禁止模式:只禁止指定MAC地址設備聯網。
禁用模式:禁用MAC地址過濾。
D. 天翼網關怎麼設置Mac過濾
到路由器配置界面,找到MAC過濾規則一項,選擇「打開MAC過濾,允許列表上的計算機訪問網路」,最後點擊保存設置以使其生效。
E. 我的公司的網管屏蔽了一些網頁,如何突破!!
你可以到網上去找一個代理伺服器的IP,然後進工具-》Internet選項-》連接版-》區域網設置-》在代理權伺服器上打上勾,輸入找到的IP和埠(不過代理伺服器的IP可不是這么好找的,花點工夫吧)
先試試,具體還要看你們公司的網路拓撲結構是否可行!
F. 商務領航網關怎麼做URL過濾和基於IP地址的限速
我做了VLAN為134網段,135網段,136網段,137網段,4個VLAN,但是用戶不平衡專134有60台,135有40台,136有10台,137有20台,10M光纖屬接入,用IP限速大家都看在線視頻很卡,玩游戲玩不了,延時很高,VS沒人要!設置了基於用戶數的共享寬頻似乎沒什麼大的變化,請高手支招!非常感謝!
G. 什麼是安全網關
安全網關
安全網關是各種技術有趣的融合,具有重要且獨特的保護作用,其范圍從協議級過濾到十分復雜的應用級過濾。防火牆主要有三類: 分組過濾 電路網關 應用網關
注意:三種中只有一種是過濾器,其餘都是網關。 這三種機制通常結合使用。過濾器是映射機制,可區分合法的和欺騙包。每種方法都有各自的能力和限制,要根據安全的需要仔細評價。
1、包過濾器
包過濾是安全映射最基本的形式,路由軟體可根據包的源地址、目的地址或埠號建立許可權, 對眾所周知的埠號的過濾可以阻止或允許網際協議如FTP、rlogin等。過濾器可對進入和/或流出的數據操作, 在網路層實現過濾意味著路由器可以為所有應用提供安全映射功能。作為(邏輯意義上的)路由器的常駐部分, 這種過濾可在任何可路由的網路中自由使用,但不要把它誤解為萬能的,包過濾有很多弱點,但總比沒有好。
包過濾很難做好,尤其當安全需求定義得不好且不細致的時候更是如此。這種過濾也很容易被攻破。包過濾比較每個數據包, 基於包頭信息與路由器的訪問列表的比較來做出通過/不通過的決定,這種技術存在許多潛在的弱點。首先, 它直接依賴路由器管理員正確地編制許可權集,這種情況下,拼寫的錯誤是致命的, 可以在防線中造成不需要任何特殊技術就可以攻破的漏洞。即使管理員准確地設計了許可權,其邏輯也必須毫無破綻才行。 雖然設計路由似乎很簡單,但開發和維護一長套復雜的許可權也是很麻煩的, 必須根據防火牆的許可權集理解和評估每天的變化,新添加的伺服器如果沒有明確地被保護,可能就會成為攻破點。
隨著時間的推移,訪問許可權的查找會降低路由器的轉發速度。每當路由器收到一個分組, 它必須識別該分組要到達目的地需經由的下一跳地址,這必將伴隨著另一個很耗費CPU的工作: 檢查訪問列表以確定其是否被允許到達該目的地。訪問列表越長,此過程要花的時間就越多。
包過濾的第二個缺陷是它認為包頭信息是有效的,無法驗證該包的源頭。 頭信息很容易被精通網路的人篡改, 這種篡改通常稱為「欺騙」。
包過濾的種種弱點使它不足以保護你的網路資源,最好與其它更復雜的過濾機制聯合使用,而不要單獨使用。
2、鏈路網關
鏈路級網關對於保護源自私有、安全的網路環境的請求是很理想的。這種網關攔截TCP請求,甚至某些UDP請求, 然後代表數據源來獲取所請求的信息。該代理伺服器接收對萬維網上的信息的請求,並代表數據源完成請求。實際上, 此網關就象一條將源與目的連在一起的線,但使源避免了穿過不安全的網路區域所帶來的風險。
3 什麼是網關
這種方式的請求代理簡化了邊緣網關的安全管理,如果做好了訪問控制,除了代理伺服器外所有出去的數據流都被阻塞。 理想情況下,此伺服器有唯一的地址,不屬於任何內部使用的網段。這絕對使無意中微妙地暴露給不安全區域的信息量最小化, 只有代理伺服器的網路地址可被外部得到,而不是安全區域中每個聯網的計算機的網路地址。
3、應用網關
應用網關是包過濾最極端的反面。包過濾實現的是對所有穿過網路層包過濾設備的數據的通用保護, 而應用網關在每個需要保護的主機上放置高度專用的應用軟體,它防止了包過濾的陷阱,實現了每個主機的堅固的安全。
應用網關的一個例子是病毒掃描器,這種專用軟體已經成了桌面計算的主要產品之一。它在啟動時調入內存並駐留在後台, 持續地監視文件不受已知病毒的感染,甚至是系統文件的改變。 病毒掃描器被設計用於在危害可能產生前保護用戶不受到病毒的潛在損害。
這種保護級別不可能在網路層實現,那將需要檢查每個分組的內容,驗證其來源,確定其正確的網路路徑, 並確定其內容是有意義的還是欺騙性的。這一過程將產生無法負擔的過載,嚴重影響網路性能。
4、組合過濾網關
使用組合過濾方案的網關通過冗餘、重疊的過濾器提供相當堅固的訪問控制,可以包括包、鏈路和應用級的過濾機制。 這樣的安全網關最普通的實現是象崗哨一樣保護私有網段邊緣的出入點,通常稱為邊緣網關或防火牆。 這一重要的責任通常需要多種過濾技術以提供足夠的防衛。下圖所示為由兩個組件構成的安全網關:一個路由器和一個處理機。 結合在一起後,它們可以提供協議、鏈路和應用級保護。
這種專用的網關不象其它種類的網關一樣,需要提供轉換功能。作為網路邊緣的網關,它們的責任是控制出入的數據流。 顯然的,由這種網關聯接的內網與外網都使用IP協議,因此不需要做協議轉換,過濾是最重要的。
保護內網不被非授權的外部網路訪問的原因是顯然的。控制向外訪問的原因就不那麼明顯了。在某些情況下, 是需要過濾發向外部的數據的。例如,用戶基於瀏覽的增值業務可能產生大量的WAN流量,如果不加控制, 很容易影響網路運載其它應用的能力,因此有必要全部或部分地阻塞此類數據。
聯網的主要協議IP是個開放的協議,它被設計用於實現網段間的通信。這既是其主要的力量所在,同時也是其最大的弱點。 為兩個IP網提供互連在本質上創建了一個大的IP網, 保衛網路邊緣的衛士--防火牆--的任務就是在合法的數據和欺騙性數據之間進行分辨。
5、實現中的考慮
實現一個安全網關並不是個容易的任務,其成功靠需求定義、仔細設計及無漏洞的實現。首要任務是建立全面的規則, 在深入理解安全和開銷的基礎上定義可接受的折衷方案,這些規則建立了安全策略。
安全策略可以是寬松的、嚴格的或介於二者之間。在一個極端情況下,安全策略的基始承諾是允許所有數據通過,例外很少, 很易管理,這些例外明確地加到安全體制中。這種策略很容易實現,不需要預見性考慮,保證即使業餘人員也能做到最小的保護。 另一個極端則極其嚴格,這種策略要求所有要通過的數據明確指出被允許,這需要仔細、著意的設計,其維護的代價很大, 但是對網路安全有無形的價值。從安全策略的角度看,這是唯一可接受的方案。在這兩種極端之間存在許多方案,它們在易於實現、 使用和維護代價之間做出了折衷,正確的權衡需要對危險和代價做出仔細的評估。
H. 如何繞過路由器白名單過濾
繞過路由器白名單過濾是不可能的。聯網設備通過無線路由器聯網,只有獲回取網關設置許可權才能答修改路由器白名單過濾功能。
無線WiFi白名單功能是MAC過濾的一種,白名單是只允許授權的設備聯網的設備名單。無線MAC地址過濾功能通過MAC地址允許或拒絕無線網路中的計算機訪問廣域網,有效控制無線網路內用戶的上網許可權。
通過無線路由器白名單使允許的用戶聯網的方法:
1.系統連接wifi。
僅允許模式:只允許指定MAC地址設備聯網。
選擇僅允許,輸入許可的MAC地址並標明注釋,點擊啟用即可使白名單的設備聯網訪問。
I. 黑客攻防的過濾網關防護
這里,過濾網關主要指明防火牆,當然路由器也能成為過濾網關。防火牆部署在不同網路之間,防範外來非法攻擊和防止保密信息外泄,它處於客戶端和伺服器之間,利用它來防護SYN攻擊能起到很好的效果。過濾網關防護主要包括超時設置,SYN網關和SYN代理三種。
·網關超時設置:
防火牆設置SYN轉發超時參數(狀態檢測的防火牆可在狀態表裡面設置),該參數遠小於伺服器的timeout時間。當客戶端發送完SYN包,服務端發送確認包後(SYN+ACK),防火牆如果在計數器到期時還未收到客戶端的確認包(ACK),則往伺服器發送RST包,以使伺服器從隊列中刪去該半連接。值得注意的是,網關超時參數設置不宜過小也不宜過大,超時參數設置過小會影響正常的通訊,設置太大,又會影響防範SYN攻擊的效果,必須根據所處的網路應用環境來設置此參數。
·SYN網關:
SYN網關收到客戶端的SYN包時,直接轉發給伺服器;SYN網關收到伺服器的SYN/ACK包後,將該包轉發給客戶端,同時以客戶端的名義給伺服器發ACK確認包。此時伺服器由半連接狀態進入連接狀態。當客戶端確認包到達時,如果有數據則轉發,否則丟棄。事實上,伺服器除了維持半連接隊列外,還要有一個連接隊列,如果發生SYN攻擊時,將使連接隊列數目增加,但一般伺服器所能承受的連接數量比半連接數量大得多,所以這種方法能有效地減輕對伺服器的攻擊。
·SYN代理:
當客戶端SYN包到達過濾網關時,SYN代理並不轉發SYN包,而是以伺服器的名義主動回復SYN/ACK包給客戶,如果收到客戶的ACK包,表明這是正常的訪問,此時防火牆向伺服器發送ACK包並完成三次握手。SYN代理事實上代替了伺服器去處理SYN攻擊,此時要求過濾網關自身具有很強的防範SYN攻擊能力。
2、加固tcp/ip協議棧防範SYN攻擊的另一項主要技術是調整tcp/ip協議棧,修改tcp協議實現。主要方法有SynAttackProtect保護機制、SYN cookies技術、增加最大半連接和縮短超時時間等。tcp/ip協議棧的調整可能會引起某些功能的受限,管理員應該在進行充分了解和測試的前提下進行此項工作。otect機制
為防範SYN攻擊,Windows2000系統的tcp/ip協議棧內嵌了SynAttackProtect機制,Win2003系統也採用此機制。SynAttackProtect機制是通過關閉某些socket選項,增加額外的連接指示和減少超時時間,使系統能處理更多的SYN連接,以達到防範SYN攻擊的目的。默認情況下,Windows2000操作系統並不支持SynAttackProtect保護機制,需要在注冊表以下位置增加SynAttackProtect鍵值:
當SynAttackProtect值(如無特別說明,本文提到的注冊表鍵值都為十六進制)為0或不設置時,系統不受SynAttackProtect保護。
當SynAttackProtect值為1時,系統通過減少重傳次數和延遲未連接時路由緩沖項(route cache entry)防範SYN攻擊。
當SynAttackProtect值為2時(Microsoft推薦使用此值),系統不僅使用backlog隊列,還使用附加的半連接指示,以此來處理更多的SYN連接,使用此鍵值時,tcp/ip的TCPInitialRTT、window size和可滑動窗囗將被禁止。
我們應該知道,平時,系統是不啟用SynAttackProtect機制的,僅在檢測到SYN攻擊時,才啟用,並調整tcp/ip協議棧。那麼系統是如何檢測SYN攻擊發生的呢?事實上,系統根據TcpMaxHalfOpen,TcpMaxHalfOpenRetried 和TcpMaxPortsExhausted三個參數判斷是否遭受SYN攻擊。
TcpMaxHalfOpen 表示能同時處理的最大半連接數,如果超過此值,系統認為正處於SYN攻擊中。Windows2000server默認值為100,Windows2000 Advanced server為500。
TcpMaxHalfOpenRetried定義了保存在backlog隊列且重傳過的半連接數,如果超過此值,系統自動啟動SynAttackProtect機制。Windows2000 server默認值為80,Windows2000 Advanced server為400。
TcpMaxPortsExhausted是指系統拒絕的SYN請求包的數量,默認是5。
如果想調整以上參數的默認值,可以在注冊表裡修改(位置與SynAttackProtect相同)
· SYN cookies技術
我們知道,TCP協議開辟了一個比較大的內存空間backlog隊列來存儲半連接條目,當SYN請求不斷增加,並這個空間,致使系統丟棄SYN連接。為使半連接隊列被塞滿的情況下,伺服器仍能處理新到的SYN請求,SYN cookies技術被設計出來。
SYN cookies應用於linux、FreeBSD等操作系統,當半連接隊列滿時,SYNcookies並不丟棄SYN請求,而是通過加密技術來標識半連接狀態。
在TCP實現中,當收到客戶端的SYN請求時,伺服器需要回復SYN+ACK包給客戶端,客戶端也要發送確認包給伺服器。通常,伺服器的初始序列號由伺服器按照一定的規律計算得到或採用隨機數,但在SYN cookies中,伺服器的初始序列號是通過對客戶端IP地址、客戶端端囗、伺服器IP地址和伺服器端囗以及其他一些安全數值等要素進行hash運算,加密得到的,稱之為cookie。當伺服器遭受SYN攻擊使得backlog隊列滿時,伺服器並不拒絕新的SYN請求,而是回復cookie(回復包的SYN序列號)給客戶端, 如果收到客戶端的ACK包,伺服器將客戶端的ACK序列號減去1得到cookie比較值,並將上述要素進行一次hash運算,看看是否等於此cookie。如果相等,直接完成三次握手(注意:此時並不用查看此連接是否屬於backlog隊列)。
在RedHat linux中,啟用SYN cookies是通過在啟動環境中設置以下命令來完成:
# echo 1 ?? /proc/sys/net/ipv4/tcp_syncookies
· 增加最大半連接數
大量的SYN請求導致未連接隊列被塞滿,使正常的TCP連接無法順利完成三次握手,通過增大未連接隊列空間可以緩解這種壓力。當然backlog隊列需要佔用大量的內存資源,不能被無限的擴大。
Windows2000:除了上面介紹的TcpMaxHalfOpen, TcpMaxHalfOpenRetried參數外,Windows2000操作系統可以通過設置動態backlog(dynamic backlog)來增大系統所能容納的最大半連接數,配置動態backlog由AFD.SYS驅動完成,AFD.SYS是一種內核級的驅動,用於支持基於window socket的應用程序,比如ftp、telnet等。AFD.SYS在注冊表的位置:
值為1時,表示啟用動態backlog,可以修改最大半連接數。
MinimumDynamicBacklog表示半連接隊列為單個TCP端囗分配的最小空閑連接數,當該TCP端囗在backlog隊列的空閑連接小於此臨界值時,系統為此端囗自動啟用擴展的空閑連接(DynamicBacklogGrowthDelta),Microsoft推薦該值為20。
MaximumDynamicBacklog是當前活動的半連接和空閑連接的和,當此和超過某個臨界值時,系統拒絕SYN包,Microsoft推薦MaximumDynamicBacklog值不得超過2000。
DynamicBacklogGrowthDelta值是指擴展的空閑連接數,此連接數並不計算在MaximumDynamicBacklog內,當半連接隊列為某個TCP端囗分配的空閑連接小於MinimumDynamicBacklog時,系統自動分配DynamicBacklogGrowthDelta所定義的空閑連接空間,以使該TCP端囗能處理更多的半連接。Microsoft推薦該值為10。
LINUX:Linux用變數tcp_max_syn_backlog定義backlog隊列容納的最大半連接數。在Redhat 7.3中,該變數的值默認為256,這個值是遠遠不夠的,一次強度不大的SYN攻擊就能使半連接隊列占滿。我們可以通過以下命令修改此變數的值:
# sysctl -w net.ipv4.tcp_max_syn_backlog=`2048`
Sun Solaris Sun Solaris用變數tcp_conn_req_max_q0來定義最大半連接數,在Sun Solaris 8中,該值默認為1024,可以通過add命令改變這個值:
# ndd -set /dev/tcp tcp_conn_req_max_q0 2048
HP-UX:HP-UX用變數tcp_syn_rcvd_max來定義最大半連接數,在HP-UX11.00中,該值默認為500,可以通過ndd命令改變默認值:
#ndd -set /dev/tcp tcp_syn_rcvd_max 2048
·縮短超時時間
上文提到,通過增大backlog隊列能防範SYN攻擊;另外減少超時時間也使系統能處理更多的SYN請求。我們知道,timeout超時時間,也即半連接存活時間,是系統所有重傳次數等待的超時時間總和,這個值越大,半連接數佔用backlog隊列的時間就越長,系統能處理的SYN請求就越少。為縮短超時時間,可以通過縮短重傳超時時間(一般是第一次重傳超時時間)和減少重傳次數來實現。
Windows2000第一次重傳之前等待時間默認為3秒,為改變此默認值,可以通過修改網路接囗在注冊表裡的TcpInitialRtt注冊值來完成。重傳次數由 來定義,注冊表的位置是:
registry key
當然我們也可以把重傳次數設置為0次,這樣伺服器如果在3秒內還未收到ack確認包就自動從backlog隊列中刪除該連接條目。
LINUX:Redhat使用變數tcp_synack_retries定義重傳次數,其默認值是5次,總超時時間需要3分鍾。
Sun Solaris Solaris默認的重傳次數是3次,總超時時間為3分鍾,可以通過ndd命令修改這些默認值。