▲

防火墻廣域網(wǎng)控制

上圖所示是防火墻的廣域網(wǎng)訪問控制，它提供了網(wǎng)頁訪問控制。我們可以從中設(shè)置源IP地址或MAC地址來確定黑名單。也就是說我們可以讓某些聯(lián)網(wǎng)的電腦不能訪問設(shè)置的受限網(wǎng)址。

路由器防火墻功能簡介

▲

上圖中我們可以看到這款路由器可以過濾屏蔽的數(shù)據(jù)包類型，諸如一些即時聊天軟件、P2P軟件和一些網(wǎng)絡(luò)游戲。

說得簡單點，路由器防火墻實現(xiàn)的是包的過濾，他能偵測所有進出端口的數(shù)據(jù)包并加之檢測和過濾。這就是從根本上出發(fā)，保障信息網(wǎng)絡(luò)的安全。

另外，路由器的防火墻能對一些常見的網(wǎng)絡(luò)攻擊進行防護，千萬不要小看這些攻擊，任何一個都有可能使你陷入斷網(wǎng)甚至更糟的局面。

防范攻擊方式

▲

我們簡單介紹一下常見的網(wǎng)絡(luò)攻擊。

SYN Flood：我們叫做SYN泛洪。SYN Flood是當前最流行的DoS(拒絕服務(wù)攻擊)與DdoS(分布式拒絕服務(wù)攻擊)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，從而使得被攻擊方資源耗盡(CPU滿負荷或內(nèi)存不足)的攻擊方式。換句話說，這個攻擊如果不加以防范的話會引起網(wǎng)絡(luò)設(shè)備宕機。

明白這種攻擊的基本原理，還是要從TCP連接建立的過程開始說起：大家都知道，TCP與UDP不同，它是基于連接的，也就是說：為了在服務(wù)端和客戶端之間傳送TCP數(shù)據(jù)，必須先建立一個虛擬電路，也就是TCP連接，建立TCP連接的標準過程是這樣的：

首先，請求端(客戶端)發(fā)送一個包含SYN標志的TCP報文，SYN即同步(Synchronize)，同步報文會指明客戶端使用的端口以及TCP連接的初始序號;

第二步，服務(wù)器在收到客戶端的SYN報文后，將返回一個SYN+ACK的報文，表示客戶端的請求被接受，同時TCP序號被加一，ACK即確認(Acknowledgment)。

第三步，客戶端也返回一個確認報文ACK給服務(wù)器端，同樣TCP序列號被加一，到此一個TCP連接完成。以上的連接過程在TCP協(xié)議中被稱為三次握手(Three-way Handshake)。

問題就出在TCP連接的三次握手中，假設(shè)一個用戶向服務(wù)器發(fā)送了SYN報文后突然死機或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報文后是無法收到客戶端的ACK報文的(第三次握手無法完成)，這種情況下服務(wù)器端一般會重試(再次發(fā)送SYN+ACK給客戶端)并等待一段時間后丟棄這個未完成的連接，這段時間的長度我們稱為SYN Timeout，一般來說這個時間是分鐘的數(shù)量級(大約為30秒-2分鐘);

一個用戶出現(xiàn)異常導致服務(wù)器的一個線程等待1分鐘并不是什么很大的問題，但如果有一個惡意的攻擊者大量模擬這種情況，服務(wù)器端將為了維護一個非常大的半連接列表而消耗非常多的資源——數(shù)以萬計的半連接，即使是簡單的保存并遍歷也會消耗非常多的CPU時間和內(nèi)存，何況還要不斷對這個列表中的IP進行SYN+ACK的重試。

實際上如果服務(wù)器的TCP/IP棧不夠強大，最后的結(jié)果往往是堆棧溢出崩潰——即使服務(wù)器端的系統(tǒng)足夠強大，服務(wù)器端

也將忙于處理攻擊者偽造的TCP連接請求而無暇理睬客戶的正常請求(畢竟客戶端的正常請求比率非常之小)，此時從正?？蛻舻慕嵌瓤磥?，服務(wù)器失去響應(yīng)，這種情況我們稱作：服務(wù)器端受到了SYN Flood攻擊(SYN洪水攻擊)。

Smurf攻擊：Smurf攻擊是以最初發(fā)動這種攻擊的程序名“Smurf”來命名的。這種攻擊方法結(jié)合使用了IP欺騙和ICMP回復(fù)方法使大量網(wǎng)絡(luò)傳輸充斥目標系統(tǒng)，引起目標系統(tǒng)拒絕為正常系統(tǒng)進行服務(wù)。

Smurf攻擊通過使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請求(ping)數(shù)據(jù)包，來淹沒受害主機，最終導致該網(wǎng)絡(luò)的所有主機都對此ICMP應(yīng)答請求做出答復(fù)，導致網(wǎng)絡(luò)阻塞。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導致第三方崩潰。

ARP攻擊：ARP攻擊，是針對以太網(wǎng)地址解析協(xié)議(ARP)的一種攻擊技術(shù)。此種攻擊可讓攻擊者取得局域網(wǎng)上的數(shù)據(jù)封包甚至可篡改封包，且可讓網(wǎng)絡(luò)上特定計算機或所有計算機無法正常連接。

▲

border

防火墻防范攻擊簡介

ARP攻擊簡介

ARP攻擊就是通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷的發(fā)出偽造的ARP響應(yīng)包就能更改目標主機ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺計算機感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會試圖通過“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其它計算機的通信信息，并因此造成網(wǎng)內(nèi)其它計算機的通信故障。這個一傳十，十傳百是最恐怖的。

ARP欺騙木馬的中毒現(xiàn)象表現(xiàn)為：使用局域網(wǎng)時會突然掉線，過一段時間后又會恢復(fù)正常。比如客戶端狀態(tài)頻頻變紅，用戶頻繁斷網(wǎng)，IE瀏覽器頻繁出錯，以及一些常用軟件出現(xiàn)故障等。如果局域網(wǎng)中是通過身份認證上網(wǎng)的，會突然出現(xiàn)可認證，但不能上網(wǎng)的現(xiàn)象(無法ping通網(wǎng)關(guān))，重啟機器或在MS-DOS窗口下運行命令arp -d后，又可恢復(fù)上網(wǎng)。

以上就是幾個我們常見的網(wǎng)絡(luò)攻擊形式，不過好在這些攻擊路由器基本都能進行防范。所以千萬不要忽略了你的路由器這些功能，物盡其用才是最好的選擇。

zhangcun