浅探企业局域网的组建与网站建设毕业论(2)
2014-12-02 01:13
导读:从ISP的客户边缘路由器开始,ISP出口将限制那些超出预定阈值的次要信息流,以便减少DDoS攻击。同时在ISP路由器的入口处,RFC1918与RFC 2827过滤功能将防止
从ISP的客户边缘路由器开始,ISP出口将限制那些超出预定阈值的次要信息流,以便减少DDoS攻击。同时在ISP路由器的入口处,RFC1918与RFC 2827过滤功能将防止针对本地网络及专用地址的源地址电子欺骗。
防火墙为通过防火墙发起的会话提供了连接状态执行操作以及详细的过滤。拥有公共地址的服务器通过在防火墙上使用半开放连接限制能够防止TCP SYN洪水。从过滤的角度讲,除了将公共服务区域的信息流限定到相关地址和端口外,在相反的方向上也在进行过滤。如果某个攻击涉及到一个公共服务器(通过规避防火墙和基于主机的IDS),那么这个服务器应该不会再进一步攻击网络。为了缓解这种攻击,具体的过滤将防止公共服务器向其他任何地点发出任何未授权请求。例如,应该对Web服务器进行过滤,以便使其不能自身产生请求,而只能回答来自客户机的请求。这种设置有助于防止黑客在实施最初的攻击后将更多的应用下载到被破坏的机器。同时还有助于防止黑客在主攻击过程中触发不受欢迎的会话。
从主机的角度看,公共服务区域内的每个服务器均拥有主机入侵检测软件,用于监控OS级的任何不良活动以及普通服务器应用的活动(HTTP、FTP、SMTP等)。DNS主机应该只响应必要的命令,同时消除任何可能有助于黑客的网络侦察攻击的不必要响应。这包括防止从任何地点进行zone传输(合格的二级DNS服务器除外)。在邮件服务方面,防火墙在第7层过滤SMTP信息,以便只允许必要的命令到达邮件服务器。
2) 企业局域网模块
交换机的主要功能是交换生产与管理信息流并为公司和管理服务器以及用户提供连接。在交换机内部可以实施VLAN,以减少设备间的信任关系利用攻击。例如,公司用户可能需要与公
