路由器安全對(duì)于網(wǎng)吧來講是非常重要的，如何真正的做好網(wǎng)吧中的網(wǎng)絡(luò)安全呢？這里就給大家講解設(shè)置寬帶路由網(wǎng)關(guān)，讓網(wǎng)吧更加的安全。在網(wǎng)絡(luò)中常見的病毒有沖擊波，震蕩波，還有蠕蟲病毒等。對(duì)付這些病毒，HiPER的主要策略是先防再查后殺。

在HiPER寬帶路由網(wǎng)關(guān)中，設(shè)置有強(qiáng)大的防火墻功能，獨(dú)特的包過濾路由技術(shù)可以實(shí)現(xiàn)按照包的MAC地址、IP地址、協(xié)議、端口甚至內(nèi)容等進(jìn)行過濾，特別是支持多個(gè)站點(diǎn)、關(guān)鍵字和URL過濾。對(duì)于類似沖擊波這樣的常見病毒，HiPER寬帶路由網(wǎng)關(guān)中設(shè)置好了相應(yīng)的防火墻策略，用戶只需在配置好的策略庫中直接引用即可。當(dāng)然，這樣只能防住來自網(wǎng)絡(luò)的病毒，用戶如果用存儲(chǔ)工具如優(yōu)盤等使得主機(jī)感染病毒，就要通過HiPER的WEB管理界面來查看了。在WebUI上網(wǎng)監(jiān)控頁面，查詢當(dāng)前全部上網(wǎng)記錄，可以看到感染沖擊波病毒的主機(jī)發(fā)出的大量NAT會(huì)話，特征如下：協(xié)議為TCP，外網(wǎng)端口為135/139/445/1025/4444/5554/9996等； 會(huì)話中該主機(jī)有上傳包，下載包往往很小或者為0。查到以后，需要做的就是把該主機(jī)從內(nèi)網(wǎng)斷開，然后在安全網(wǎng)關(guān)上配置相應(yīng)的策略，關(guān)閉病毒向外發(fā)包的端口。

沖擊波只是強(qiáng)大的蠕蟲病毒家族中比較典型的一個(gè)，而其他的病毒如SQL蠕蟲病毒，以及一些由此而發(fā)展出來的變種病毒，同樣會(huì)給網(wǎng)絡(luò)帶來巨大的災(zāi)難。雖然各種病毒形式各不相同，但是原理相差不大，針對(duì)他們的共同特點(diǎn)，通過端口掃描，來感染傳播。HiPER的防火墻策略可以應(yīng)用在任何一個(gè)接口上，防止端口掃描 ，判別蠕蟲病毒的攻擊。

防攻擊

相對(duì)于上面的蠕蟲病毒感染傳播帶來的損失，網(wǎng)吧黑客人為的主動(dòng)攻擊更讓人頭疼，如偽造源地址的DDOS攻擊，ARP攻擊等。對(duì)于這些攻擊，HiPER寬帶路由網(wǎng)關(guān)可以通過應(yīng)用在接口的防火墻策略禁止端口掃描，防止DDOS攻擊，和ARP欺騙。

對(duì)于內(nèi)網(wǎng)出現(xiàn)的偽造源地址的DDOS攻擊，可以通過HiPER寬帶路由網(wǎng)關(guān)的監(jiān)控界面輕易的檢查出來。所謂的偽造源地址攻擊就是黑客機(jī)器向受害主機(jī)發(fā)送大量偽造源地址的報(bào)文，占用安全網(wǎng)關(guān)的NAT會(huì)話資源，最終將安全網(wǎng)關(guān)的NAT會(huì)話表占滿，導(dǎo)致局域網(wǎng)內(nèi)所有人無法上網(wǎng)。具體表現(xiàn)在Web界面的NAT狀態(tài)中，可以看到“IP地址”一欄里面有很多不屬于該內(nèi)網(wǎng)IP網(wǎng)段的用戶。在用戶統(tǒng)計(jì)信息中，可以看到安全網(wǎng)關(guān)接收到某用戶發(fā)送的海量的數(shù)據(jù)包，但是安全網(wǎng)關(guān)發(fā)向該用戶的數(shù)據(jù)包很小，依此判斷該用戶可能在做偽造源地址攻擊。解決辦法就是將該主機(jī)從內(nèi)網(wǎng)斷開，然后在HiPER寬帶路由網(wǎng)關(guān)中配置策略只允許內(nèi)網(wǎng)的網(wǎng)段連接安全網(wǎng)關(guān)，讓安全網(wǎng)關(guān)主動(dòng)拒絕偽造的源地址發(fā)出的TCP連接。

所謂ARP攻擊就是內(nèi)網(wǎng)某臺(tái)主機(jī)偽裝成網(wǎng)關(guān)，欺騙內(nèi)網(wǎng)其他主機(jī)將所有發(fā)往網(wǎng)關(guān)的信息發(fā)到這臺(tái)主機(jī)上。但是由于此臺(tái)主機(jī)的數(shù)據(jù)處理轉(zhuǎn)發(fā)能力遠(yuǎn)遠(yuǎn)低于網(wǎng)關(guān)，所以就會(huì)導(dǎo)致大量信息堵塞，網(wǎng)速越來越慢，甚至造成網(wǎng)絡(luò)癱瘓，這樣做的目的就是為了截取用戶的信息，盜取諸如網(wǎng)絡(luò)游戲帳號(hào)，QQ密碼等用戶信息。當(dāng)局域網(wǎng)內(nèi)某臺(tái)主機(jī)運(yùn)行ARP欺騙的木馬程序時(shí)，其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的時(shí)候用戶會(huì)斷一次線。當(dāng)ARP欺騙的木馬程序停止運(yùn)行時(shí)，用戶會(huì)恢復(fù)從路由器上網(wǎng)，切換過程中用戶會(huì)再斷一次線。

這個(gè)消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開始運(yùn)行的時(shí)候，局域網(wǎng)所有主機(jī)的MAC地址更新為病毒主機(jī)的MAC地址。既然我們已經(jīng)知道了使用ARP欺騙木馬的主機(jī)的MAC地址，那么我們就可以使用NBTSCAN工具來快速查找它。NBTSCAN可以取到PC的真實(shí)IP地址和MAC地址，如果有“傳奇木馬”在做怪，可以找到裝有木馬的PC的IP和MAC地址。當(dāng)然，如果用HiPER對(duì)內(nèi)網(wǎng)的用戶實(shí)施IP/MAC綁定的話，用戶就不能隨便改變自己的MAC地址，也就可以避免ARP攻擊這樣的事情了。對(duì)于ARP攻擊還可以有另一種解決方法，就是設(shè)置路由器定時(shí)向內(nèi)網(wǎng)主機(jī)發(fā)送ARP廣播，也就是告訴各主機(jī)真正的網(wǎng)關(guān)在哪里。這樣就可以避免別的主機(jī)冒充網(wǎng)關(guān)。HiPER允許設(shè)置ARP廣播的頻率，同時(shí)不允許讓別人冒充自己。

防BT

網(wǎng)吧還有一種用戶行為會(huì)影響到其他人的上網(wǎng)，那就是BT下載，如果內(nèi)網(wǎng)有用戶使用BT下載的話，就會(huì)占盡幾乎所有內(nèi)網(wǎng)帶寬，導(dǎo)致網(wǎng)絡(luò)癱瘓，具體表現(xiàn)為網(wǎng)頁打不開或者打開很慢，聊天的消息發(fā)不出去，游戲出現(xiàn)卡的現(xiàn)象。對(duì)于這種行為，在HiPER寬帶路由網(wǎng)關(guān)中主要可以利用帶寬控制功能。HiPER的帶寬控制使用了靈活的CBT（基于信用的流量控制）算法。CBT算法主要實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)公平帶寬的分配，抑制BT、電驢等P2P下載的超常流量。CBT算法采用社會(huì)工程學(xué)原理，對(duì)網(wǎng)絡(luò)內(nèi)部的各個(gè)主機(jī)給予帶寬信用，一旦某些主機(jī)的流量超過信用太多，采取懲罰措施，降低這些主機(jī)的帶寬。

對(duì)于BT下載的預(yù)防主要是利用CBT為網(wǎng)內(nèi)用戶限定最高帶寬，這樣就能限制了用戶BT下載，占用別人帶寬的問題。當(dāng)然，基于社會(huì)工程學(xué)原理信用機(jī)制的CBT算法對(duì)于限制BT等P2P工具的下載的管理更具人性化。在內(nèi)網(wǎng)使用BT下載的用戶的信用會(huì)隨著占用帶寬的突然增加而急劇下降，隨著信用的下降，該用戶可使用的帶寬會(huì)減少，這樣的機(jī)制更具有彈性。二者結(jié)合使用效果更佳。另外，HiPER也可以通過WEB界面的配置實(shí)現(xiàn)一鍵封常見的P2P軟件使用，如禁止BitComet，比特精靈，電驢，電騾，禁止迅雷搜索資源。