首页/杀毒教程/内容

步步为营 打造永不掉线网吧网络环境

杀毒教程2022-11-04 阅读()
随着网络的普及,我们的生活越来越方便,但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑,更要注意上网安全常识,不然病毒会对我们造成严重的威胁。

一、限制大法:终端机网速和NAT连接数

  网吧用户已经从简单的网页浏览扩展到视频聊天、VOD点播、网络游戏、IP电话等更为广泛的领域, 应用方式的增多对网速和稳定性提出了更高的要求。 在这样的环境下, 网吧掉线现象成为困扰网吧业主和网吧管理员的大问题。

  经过一些朋友长期对网吧网络应用环境的研究, 分析出一系列针对复杂应用环境下网络应用的优化措施和高级功能, 下面我们就来看看网吧路由器都采用了哪些特别技术来防止掉线。

  1.限制每台机器的网速

  现在网络应用众多, BT、电驴、迅雷、FTP、在线视频等, 都是非常占用带宽, 以一个200台规模的网吧为例, 出口带宽为10MB, 每台内部PC的平均带宽为50KB左右, 如果有几个人在疯狂的下载, 把带宽都占用了, 就会影响其他人的网络速度了。 另外, 下载的都是大文件, IP报文最大可以达到1518个BYTE, 也就是1.5KB, 下载应用都是大报文, 在网络传输中, 一般都是以数据包为单位进行传输, 如果几个人在同时下载, 占用大量带宽, 如果这时有人在玩网络游戏, 就可能会出现卡的现象。

  一个基于IP地址限速的功能, 可以给整个网吧内部的所有PC进行速度限制, 可以分别限制上传和下载速度, 既可以统一限制内部所有PC的速度, 也可以分别设置内部某台指定PC的速度。 速度限制在多少比较合适呢?和具体的出口带宽和网吧规模有关系, 不过最低不要小于40KB的带宽, 可以设置在100~400KB比较合适。

  2.限制NAT连接数量

  NAT功能是在网吧中应用最广的功能, 由于IP地址不足的原因, 运营商提供给网吧的一般就是1个IP地址, 而网吧内部有大量的PC, 这么多的PC都要通过这唯一的一个IP地址进行上网, 如何做到这点呢?答案就是NAT(网络IP地址转换)。

  内部PC访问外网的时候, 在路由器内部建立一个对应列表, 列表中包含内部PCIP地址、访问的外部IP地址, 内部的IP端口, 访问目的IP端口等信息, 所以每次的ping、QQ、下载、WEB访问, 都有在路由器上建立对应关系列表, 如果该列表对应的网络链接有数据通讯, 这些列表会一直保留在路由器中, 如果没有数据通讯了, 也需要20-150秒才会消失掉(对于RG-NBR系列路由器来说, 这些时间都是可以设置的)。

  现在有几种网络病毒, 会在很短时间内, 发出数以万计连续的针对不同IP的链接请求, 这样路由器内部便要为这台PC建立万个以上的NAT的链接。

  由于路由器上的NAT的链接是有限的, 如果都被这些病毒给占用了, 其他人访问网络, 由于没有NAT链接的资源了, 就会无法访问网络了, 造成断线的现象, 其实这是被网络病毒把所有的NAT资源给占用了。

  针对这种情况, 不少网吧路由器提供了可以设置内部PC的最大的NAT链接数量的功能, 可以统一的对内部的PC进行设置最大的NAT的链接数量设置, 也可以给每台PC进行单独限制。

  同时, 这些路由器还可以查看所有的NAT链接的内容, 看看到底哪台PC占用的NAT链接数量最多, 同时网络病毒也有一些特殊的端口, 可以通过查看NAT链接具体内容, 把到底哪台PC中毒了给揪出来。

  二、不掉线还要做到防范病毒 防Ping 防欺骗

  1.ACL防网络病毒

  网络病毒层出不穷, 但是道高一尺, 魔高一丈, 所有的网络病毒都是通过网络传输的, 网络病毒的数据报文也一定遵循TCP/IP协议, 一定有源IP地址, 目的IP地址, 源TCP/IP端口, 目的TCP/IP端口, 同一种网络病毒, 一般目的 IP端口是相同的, 比如冲击波病毒的端口是135, 震荡波病毒的端口是445,只要把这些端口在路由器上给限制了, 那么外部的病毒就无法通过路由器这个唯一的入口进入到内部网了, 内部的网络病毒发起的报文, 由于在路由器上作了限制, 路由器不加以处理, 则可以降低病毒报文占据大量的网络带宽。

  优秀的网吧路由器应该提供功能强大的ACL功能, 可以在内部网接口上限制网络报文, 也可以在外部王接口上限制病毒网络报文, 既可以现在出去的报文, 也可以限制进来的网络报文。

  2.WAN口防ping功能

  以前有一个帖子, 为了搞跨某个网站, 只要有大量的人去ping这个网站, 这个网站就会跨了, 这个就是所谓的拒绝服务的攻击, 用大量的无用的数据请求, 让他无暇顾及正常的网络请求。

  网络上的黑客在发起攻击前, 都要对网络上的各个IP地址进行扫描, 其中一个常见的扫描方法就是ping, 如果有应答, 则说明这个IP地址是活动的, 就是可以攻击的, 这样就会暴露了目标, 同时如果在外部也有大量的报文对RG-NBR系列路由器发起Ping请求, 也会把网吧的RG-NBR列路由器拖跨掉。

  现在多数网吧路由器都设计了一个WAN口防止ping的功能, 可以简单方便的开启, 所有外面过来的ping的数据报文请求, 都装聋作哑, 这样既不会暴露自己的目标, 同时对于外部的ping攻击也是一个防范。

  3.防ARP地址欺骗功能

  大家都知道, 内部PC要上网, 则要设置PC的IP地址, 还有网关地址, 这里的网关地址就是NBR路由器的内部网接口IP地址, 内部PC是如何访问外部网络呢?就是把访问外部网的报文发送给NBR的内部网, 由NBR路由器进行NAT地址转发后, 再把报文发送到外部网络上, 同时又把外部回来的报文, 去查询路由器内部的NAT链接, 回送给相关的内部PC, 完成一次网络的访问。

  在网络上, 存在两个地址, 一个是IP地址, 一个是MAC地址, MAC地址就是网络物理地址, 内部PC要把报文发送到网关上, 首先根据网关的IP地址, 通过ARP去查询NBR的MAC地址, 然后把报文发送到该MAC地址上, MAC地址是物理层的地址, 所有报文要发送, 最终都是发送到相关的MAC地址上的。

  所以在每台PC上, 都有ARP的对应关系, 就是IP地址和MAC地址的对应表, 这些对应关系就是通过ARP和RARP报文进行更新的。

  目前在网络上有一种病毒, 会发送假冒的ARP报文, 比如发送网关IP地址的ARP报文, 把网关的IP对应到自己的MAC上, 或者一个不存在的MAC地址上去, 同时把这假冒的ARP报文在网络中广播, 所有的内部PC就会更新了这个IP和 MAC的对应表, 下次上网的时候, 就会把本来发送给网关的MAC的报文, 发送到一个不存在或者错误的MAC地址上去, 这样就会造成断线了。

  这就是arm地址欺骗, 这就是造成内部PC和外部网的断线, 该病毒在前一段时间特别的猖獗。 针对这种情况, 防ARP地址欺骗的功能也相继出现在一些专业路由器产品上。

  三、把负载均衡起来

  负载均衡和线路备份

  举例来说, 如锐捷RG-NBR系列路由器全部支持VRRP热备份协议, 最多可以设定2~255台的NBR路由器, 同时链接2~255条宽带线路, 这些NBR和宽带线路之间, 实现负载均衡和线路备份, 万一线路断线或者网络设备损坏, 可以自动实现的备份, 在线路和网络设备都正常的情况下, 便可以实现负载均衡。 该功能在锐捷的所有的路由器上都支持。

  而RG-NBR系列路由器中的RG-NBR1000E与飞鱼星5000系列或6000系列路由器, RG-NBR1000E提供了2个WAN口, 飞鱼星5000系列与6000系列更是提供了4个WAN口。 而RG-NBR1000E如果有需要, 还有一个模块扩展插槽, 可以插上电口或者光接口模块, 同时链接3条宽带线路, 这3条宽带线路之间, 可以实现负载均衡和线路备份, 可以基于带宽的负载均衡, 也可以对内部PC进行分组的负载均衡, 还可以设置访问网通资源走网通线路, 访问电信资源走电信线路的负载均衡。

  综合性能

  网吧路由器承担的任务非常繁杂, 所以单是某方面突出是不行的, 还需要性能、功能、安全性等各个方面的全面发展才能良好的发挥其优势, 简述为“多、快、好、省、稳、简、静、强”, 8条腿走路, 四平八稳, 上万条NAT并发链接, 线速下载的性能, 简单的配置方式, 安静的使用特点, 对于恶劣使用环境的适应性, 可以对内部进行限速功能, 电信级的网络操作系统, 在要求苛刻的环境的稳定应用等等, 这些强大综合性能, 才能成就一款出色的网吧路由器。

  现在做网吧路由器的厂商都在不断改善自己的软件设计以适应网吧应用的发展变化, 今天为大家介绍的这些功能当然是非常实用的, 不过同时还是需要网吧管理和技术人员也更多的了解网吧路由器的新功能新技术, 提高自己的能力, 对网络进行更为科学合理的管理设置, 这样才能借助一款不掉线的网吧路由器合力打造一个不掉线的网吧!


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。



……

相关阅读