网络安全
ARP欺骗问题,根源其实是TCP/IP协议设计上的缺陷所致,坦白说并没有一个严格意义上的解决方法,在这方面各厂家也都拥有自己的技术,VE982使用的ARP防欺骗机制是通过发送广播包来实现的,下图是使用Wireshark抓到的广播包,VE982持续的向局域网内发送着ARP包,通过这种方式不停刷新客户机上ARP缓存中的IP MAC对应表来达到抵制ARP欺骗的目的。 ICMP-FLOOD攻击防御测试时,饭盒将ICMP-FLOOD域值设置为每秒50包,随后使用kn-ping向VE982发送ICMP包,KN-PING这个工具有一个“特性”,就是当被攻击目标成功拦截过量的ICMP数据包时,KN-PING会报错,这证明ICMP-FLOOD防御是有效的,相应的事件记录在日志中也可以看到。 UDP-FLOOD攻击测试时,饭盒将ICMP-FLOOD域值设置为每秒200包,测试时饭盒将UDP测试工具设置为每秒发送250个UDP包,其实单一客户端这一发包频率是远达不到DoS效果的,我们为的只是看出VE982对UDP-FLOOD的拦截效果,如上图日志所示,拦截是有效的。 SYN-FLOOD攻击防御功能可以通过IxChariot来验证,方法是在IxChariot中同时启动大量脚本,此时将SYN-FLOOD域值设为一个较低的值,例如使用默认值每秒50包,在安全策略中只启用SYN-FLOOD防御功能,此时IxChariot测试是无法进行的,将安全策略禁用后,IxChariot可顺利完成。如上图是功能验证过程中产生的日志记录。 “连拉数限制”页面,VE982除了提供有基本的连接数限制功能,还提供了“高级连接数限制”功能。所谓高级连接数限制功能是一种弹性的连接数管理策略,可以在启用连接数限制的情况下对特殊应用连接不进行限制,如ICMP,CS刷新服务器的瞬间大量连接,建议启用该功能。本页面设置的数值为全局默认的最大连接数,您可以通过规则列表来针对特殊IP主机设置不同的连接限制数量。 启用ARP信任检测功能,路由器将会自动学习内网IP主机的ARP信息并记录可信任的ARP信息,可以在路由器不绑定IPMAC情况下有效的防止内网ARP病毒。启用ARP超时机制,路由器将定期对内网IP主机ARP信息进行重新学习。 QoS流量控制,本功能可对内网每个IP或者网段进行带宽限制。可以有效地防止P2P应用过渡消耗带宽资源。您启用流量控制后,您可以选择是否启用优先级流控和分接口的流控功能,分接口流控,可以针对不同WAN口配置不同的流控规则;优先级流控,可以对设置的优先数据在流控情况下优先传送。
|
正在阅读:轻松实现企业上网行为管理 飞鱼星VE982评测轻松实现企业上网行为管理 飞鱼星VE982评测
2009-03-27 16:39
出处:PConline原创
责任编辑:gaohongjun
键盘也能翻页,试试“← →”键
本文导航 | ||
|
飞鱼星VE982相关文章
- 上海 | 智能化管理型路由 飞鱼星VE982跌110元
- 导购 | 商务洽谈安全用网 行为管理路由器推荐
- 上海 | 高能管理型路由! 飞鱼星VE982报590元
- 导购 | 管理有方 超值上网行为管理路由器推荐
浏览本产品的网友还关注:
- 飞鱼星VE984 已停产
- tp-link tl-r478+ 已停产
- 飞鱼星970 暂无报价
本文产品
飞鱼星VE982相关文章
- 上海 | 智能化管理型路由 飞鱼星VE982跌110元
- 导购 | 商务洽谈安全用网 行为管理路由器推荐
- 上海 | 高能管理型路由! 飞鱼星VE982报590元
- 导购 | 管理有方 超值上网行为管理路由器推荐
浏览本产品的网友还关注:
- 飞鱼星VE984 已停产
- tp-link tl-r478+ 已停产
- 飞鱼星970 暂无报价
同价位产品
竞争产品对比
热门产品
热门排行
IT百科
热门专题
网络设备论坛帖子排行
最高点击
最高回复
最新
汽车资讯
最新资讯离线随时看
聊天吐槽赢奖品