|
|
你还没有登录,登录后可以看到更多精彩内容
您需要 登录 才可以下载或查看,没有账号?新成员注册
×
网络设备上的设置
企业网的网络设备可以从防火墙与路由器上考虑。这两个设备是到外界的接口设备,在进行防ddos设置的同时,要注意一下这是以多大的效率牺牲为代价的,对你来说是否值得。
1.防火墙
禁止对主机的非开放服务的访问
限制同时打开的syn最大连接数
限制特定ip地址的访问
启用防火墙的防ddos的属性
严格限制对外开放的服务器的向外访问
第五项主要是防止自己的服务器被当做工具去害人。
2.路由器
以cisco路由器为例
cisco express forwarding(cef)
使用 unicast reverse-path
访问控制列表(acl)过滤
设置syn数据包流量速率
升级版本过低的iso
为路由器建立log server
其中使用cef和unicast设置时要特别注意,使用不当会造成路由器工作效率严重下降,升级ios也应谨慎。路由器是网络的核心设备,与大家分享一下进行设置修改时的小经验,就是先不保存。cisco路由器有两份配置startup config和running config,修改的时候改变的是running config,可以让这个配置先跑一段时间(三五天的就随意啦),觉得可行后再保存配置到startup config;而如果不满意想恢复原来的配置,用copy start run就行了。
isp / icp管理员
isp / icp为很多中小型企业提供了各种规模的主机托管业务,所以在防ddos时,除了与企业网管理员一样的手段外,还要特别注意自己管理范围内的客户托管主机不要成为傀儡机。客观上说,这些托管主机的安全性普遍是很差的,有的连基本的补丁都没有打就赤膊上阵了,成为黑客最喜欢的"肉鸡",因为不管这台机器黑客怎么用都不会有被发现的危险,它的安全管理太差了;还不必说托管的主机都是高性能、高带宽的-简直就是为ddos定制的。而做为isp的管理员,对托管主机是没有直接管理的权力的,只能通知让客户来处理。在实际情况时,有很多客户与自己的托管主机服务商配合得不是很好,造成isp管理员明知自己负责的一台托管主机成为了傀儡机,却没有什么办法的局面。而托管业务又是买方市场,isp还不敢得罪客户,怎么办?咱们管理员和客户搞好关系吧,没办法,谁让人家是上帝呢?呵呵,客户多配合一些,isp的主机更安全一些,被别人告状的可能性也小一些。
|
|
功勋会币
赞助网站建设
赞助活动
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡