防范内网遭受DoS攻击的策略-宜昌电脑耗材网

防范内网遭受DoS攻击的策略

　尽管安全专家都在着力开发抗DoS攻击的办法，但收效不大，因为DoS攻击利用了TCP协议本身的弱点。在交换机上进行设置，并安装专门的DoS识别和预防工具，能最大限度地减少DoS攻击造成的损失。
　　利用三层交换建立全面的网络安全体系，其基础必须是以三层交换和路由为核心的智能型，有完善的三层以上的安全策略管理工具。
　　局域网层
　　在局域网层上，可采取很多预防措施。例如，尽管完全消除IP分组假冒现象几乎不可能，但网管可构建过滤器，如果数据带有内部网的信源地址，则通过限制输入流量，有效降低内部假冒IP攻击。过滤器还可限制外部IP分组流，防止假冒IP的DoS攻击被当作中间系统。
　　其他方法还有：关闭或限制特定服务，如限定UDP只允许于内部网中用于诊断目的。
　　但是，这些限制措施可能给合法应用（如采用UDP作为传输机制的RealAudio）带来负面影响。
　　传输层
　　以下对传输层的控制可对以上不足进行补充。
　　独立于层的线速质量(QoS)和访问控制带有可配置智能软件、独立于层的QoS和访问控制功能的线速多层交换机的出现，改善了传输设备保护流完整性的能力。
　　在传统路由器中，认证机制（如滤除带有内部地址的假冒分组）要求流量到达路由器边缘，并与特定访问控制列表中的标准相符。但维护访问控制列表不仅耗时，而且极大增加了路由器开销。
　　相比之下，线速多层交换机可灵活实现各种基于策略的访问控制。
　　这种独立于层的访问控制能力把安全决策与结构决策完全分开，使网管员在有效部署了DoS预防措施的同时，不必采用次优的路由或交换拓扑。结果，网管员和服务供应商能把整个城域网、数据中心或企业网环境中基于策略的控制标准无缝地集成起来，而不管它采用的是复杂的基于路由器的核心，还是相对简单的第二层交换。此外，线速处理认证可在后台执行，基本没有性能延迟。
　　可定制的过滤和“信任邻居”机制
　　智能多层访问控制的另一优点是，能简便地实现定制过滤操作，如根据特定标准定制对系统响应的控制粒度。多层交换可把分组推送到指定的最大带宽限制的特定QoS配置文件上，而不是对可能是DoS攻击的组制订简单的“通过”或“丢弃”决策。这种方式，既可防止DoS攻击，也可降低丢弃合法包的危险。
　　另一个优点是能定制路由访问策略，支持具体系统之间的“信任邻居”关系，防止未经授权使用内部路由。
　　定制登录配置
　　网络登录采用惟一的用户名和口令，在用户获准进入前认证身份。登录由用户的浏览器把动态主机配置协议（DHCP）递交到交换机上，交换机捕获用户身份，向RADIUS器发送请求，进行身份认证，只有在认证之后，交换机才允许该用户发出的分组流量流经。

发布日期：2019/11/23

宜昌打印机维修复印机一体机上门维修热线：13677173728 邢师傅 0717-6736581


宜昌电脑耗材网版权所有 Copyright©2014-2020 Www.Ycoaw.Com ALL Rights Resrved ;商务QQ：7533615 产品信息 - 资料 - 上传 - 新品牌报价 - 行业新闻投信箱sysharp@126.com 0717-6736581 宜昌市福瑞电脑科技有限公司鄂ICP备18013266号鄂公网安备:42050202000383号文章版权归原作者所有如有侵权请立即与我们联系,我们将及时处理