 |
内部PC限制NAT的链接数量
NAT功能是在企业网中应用最广的功能,由于IP地址不足的原因,运营商提供给企业网的一般就是1个IP地址,而企业网内部有大量的PC,这么多的PC都要通过这唯一的一个IP地址进行上网,如何做到这点呢?答案就是NAT(网络IP地址转换)。
内部PC访问外网的时候,在路由器内部建立一个对应列表,列表中包含内部PC的IP地址、访问的外部IP地址,内部的IP端口,访问目的IP端口等信息,所以每次的ping、下载、WEB访问,都有在路由器上建立对应关系列表,如果该列表对应的网络链接有数据通讯,这些列表会一直保留在路由器中,如果没有数据通讯了,也需要30-100秒才会消失掉。
开启内外网攻击
只要有大量的人去ping这个网站,这个网站就会被摧毁,这个就是所谓的拒绝服务的攻击,用大量的无用的数据请求,让他无暇顾及正常的网络请求。
网络上的黑客在发起攻击前,都要对网络上的各个IP地址进行扫描,其中一个常见的扫描方法就是ping,如果有应答,则说明这个ip地址是活动的,就是可以攻击的,这样就会暴露了目标,同时如果在外部也有大量的报文对路由器发起Ping请求,也会把企业网的路由器拖跨掉。而多数路由器均有应对这类攻击安全防范措施,如图三 。作为管理水平极为普通的网管员而言,在管理界面中进行钩选应该不是十分困难的事情。
 |
| 图三 |
启用时间的访问控制
企业为了控制员工的在上班期间,上网、聊天等非工作必需等网络应用,往往要求网管对路由器进行针对性设置。你可以对路由器的访问控制功能根据你所在企业的需求不同,进行设置,以达到企业利益的最大化。如图四
 |
| 图四 |
定义安全站点和禁止访问的站点
由于一些企业对员工上网行为管理不力,招致企业网络遭受不必要的病毒侵害,商业机密意外泄露,甚至是引发法律纠纷。而对网站进行分级,建立存放网站域名的文件,确立黑白名单的方法,是防止上述问题发生行之有效的手段之一。
这里需要注意的是,你所建立的文件内容既可以是主机名也可以是域名,其目的只有一个——根据单位具体需求制定一个行之有效的安全策略,以确定企业员工哪些网站可以访问,哪些网站不可以访问,从而避免不必要的麻烦。如图五
 |
| 图五 |
总之,一个小小的默认设置就将精心打造的防病毒体系完全突破,所以对于我们这些网络管理员来说每次设置后都应该仔细测试下网络状况,确保所实施的手段得以生效。
我们不管以后使用什么样的软件或硬件设备,都需要看看相关的说明,不要太多相信供应商为你铺好路,他们只是你的领路人,不是你保护神。网络就是一个大千世界,如同我们生活的社会,便利与危险同时存在,但是只要我们按照正确的方法去做,做好防范措施,让实施的手段得以生效,就能够让危险远离我们的局域网,留下一片干净的天空。
【责编:Peng】
|
相关文章
相关产品和培训
文章评论
专题推荐
今日更新
认证培训
频道精选
您现在的位置: 
2007-4-25 
