知识库与软件

“安全配置—基本选项”页面配置手册(ReOS2008版本)

文档编号:175
浏览:7089 评分:20
最后更新于:2008-08-20

   本节主要讲述安全配置—>基本选项的配置及使用方法。

    本页面提供基本的网络安全防御配置,用来提升网络的安全性。通过在本页面进行简单地配置,可以有效防御ARP欺骗、DoS/DDoS攻击、冲击波以及震荡波等常见病毒攻击;还可以禁止LAN口接收ARP广播包和IGMP多播包,有效屏蔽MSN、QQ等即时聊天软件的使用;有效屏蔽BT、迅雷搜索等常用P2P软件的使用;还可以禁止内网用户访问某些特定的股票和游戏网站;通过NAT会话数限制,可以有效对P2P海量下载软件以及蠕虫病毒的控制,避免部分主机占用过多系统资源和网络带宽。
 
基本选项配置
   允许响应外部PING:启用后,设备的各个广域网接口都能响应来自外网的PING请求。一般情况下,为安全性起见,请关闭此功能。只有在某些特别情况下,例如网络调试时,才需开启此功能;
    启用ARP欺骗防御:启用此功能,并将局域网所有PC的IP/MAC全部绑定(可在安全配置—>ARP欺骗防御中配置),设备就可以有效防御ARP欺骗攻击了;
    启用DoS/DDoS攻击防御:启用后,设备将有效防御内网常见的DoS/DDoS攻击。目前,只能防御伪造源地址攻击。启用此功能后,设备将只允许源IP地址与LAN口IP地址在同一个网段的数据包通过,此时,三层交换机后的主机将不能通过设备访问外网;
    启用冲击波等病毒防御:启用后,设备将有效防御冲击波、震荡波等常见病毒攻击。启用此功能后,设备将直接丢弃LAN口接收到的协议为TCP,目的端口为135、136、137、138、139、445、1025、5554、9996的数据包,此时,局域网主机将无法访问外网主机提供的相关端口服务,例如windows文件共享服务、打印共享服务等;
     禁止ARP广播包:选中后,LAN口将不接受局域网用户发送的ARP广播包,此时必须在内网PC和设备上进行IP/MAC双向绑定,内网用户才能连通设备;
     禁止IGMP广播包:选中后,LAN口将不接受局域网用户发送的IGMP多播包;
     禁止QQ:选中后,就可以禁止局域网用户使用QQ聊天;
     禁止MSN:选中后,就可以禁止局域网用户使用MSN聊天;
     禁止P2P:选中后,就可以禁止局域网用户使用常用P2P软件。目前,可以禁止使用BitComet、比特精灵,此外,还可以禁止迅雷搜索资源;
     生效时间段:在“禁止QQ”、“禁止MSN”或“禁止P2P”栏选择“生效时间段”,可以控制内网用户不同时间段的聊天或P2P下载权限;
 禁止股票网址:选中后,就可以禁止局域网用户访问特定的股票网站,单击“更新策略”超链接,立即链接到指定的WEB站点下载并自动更新股    票网址策略库,还可以通过单击“股票网址”或“游戏网址”超链接查看所禁止的股票网址和游戏网址;
     禁止游戏网址: 选中后,就可以禁止局域网用户访问特定的游戏网站,单击“更新策略”超链接,立即链接到指定的WEB站点下载并自动更新游戏网址策略库,还可以通过单击“股票网址”或“游戏网址”超链接查看禁止用户访问的股票网址和游戏网址;
     启用NAT会话数限制:选中后,可以限制局域网每台主机所能占用的“最大会话数”;如有需要,还可以分别限制每台主机所能占用的“最大TCP会话数”、“最大UDP会话数”以及“最大ICMP会话数”。如果不选中,将被设置为系统最大的会话数;
 最大会话数:局域网每台主机所能占用的最大并发NAT会话数;
 最大TCP会话数:局域网每台主机所能占用的由TCP协议构成的最大并发NAT会话数。构成TCP会话的主要应用有WEB浏览、FTP文件传输、网络游戏、SMTP/POP3邮件传输等;
 最大UDP会话数:局域网每台主机所能占用的由UDP协议构成的最大并发NAT会话数。构成UDP会话的主要应用有DNS服务、网络游戏、TFTP文件传输等;
 最大ICMP会话数:局域网每台主机所能占用的由ICMP协议构成的最大并发NAT会话数。构成ICMP会话的主要应用有PING检测、网络扫描工具等
 更新策略:在“禁止QQ”、“禁止MSN”、 “禁止P2P”、“禁止股票网址”或者“禁止游戏网址”栏,单击“更新策略” 超链接,系统立即连接到指定WEB站点,下载并自动更新对应的策略库。更新成功后,相关配置立即生效。此外,还可以在安全配置—>策略库中的“策略库信息列表”中,查看并更新QQ、MSN和P2P策略库。
 保存:配置参数生效;
 重填:恢复到修改前的配置参数。
 提示
1.  当某些局域网应用(比如网络游戏)发生连接速度变慢的情况时,可以适当提高“最大会话数”以及“最大UDP会话数”(或者“最大TCP会话数”)。注意,上述会话数设置过高可能会导致设备减弱甚至丧失防止DDoS攻击的能力;
2.  一般情况下,最大会话数不能设置得太小:建议“最大NAT会话数”和“最大TCP会话数”均不小于100、“最大UDP会话数”不小于50、“最大ICMP会话数”不小于10,如果它们的值太小,将导致局域网用户不能上网或上网异常。

 

   2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1

   

      沪公网安备 31011702003579号