使用路由過(guò)程中，安全問(wèn)題是我們需要特別注意的，可能好多人還不了解路由器配置能否徹底解決局域網(wǎng)的安全，沒(méi)有關(guān)系，看完本文你肯定有不少收獲，希望本文能教會(huì)你更多東西。一談到加強(qiáng)網(wǎng)絡(luò)安全，大家可能第一反應(yīng)就是使用“防火墻”，確實(shí)，防火墻作為一種比較成熟而且也算是比較傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，它的這種安全形象已經(jīng)深入人心。

局域網(wǎng)也成病毒高發(fā)地區(qū)

如果是在4年前，局域網(wǎng)還是非常安全的，很多公司也習(xí)慣了直接在局域網(wǎng)共享各種常用軟件和資料，但是現(xiàn)在為了獲得一些非正當(dāng)?shù)睦妫芏嗖《鹃_(kāi)發(fā)者打起了局域網(wǎng)的主意：

先是由于網(wǎng)游的熱火而產(chǎn)生了ARP病毒。這是一種欺騙性質(zhì)的病毒，雖然它的目的并不是破壞局域網(wǎng)，但為了達(dá)到它盜號(hào)盜寶的目的，會(huì)嚴(yán)重影響其它局域網(wǎng)用戶(hù)的正常上網(wǎng)活動(dòng)。所謂ARP攻擊其實(shí)就是內(nèi)網(wǎng)某臺(tái)主機(jī)偽裝成網(wǎng)關(guān)，欺騙內(nèi)網(wǎng)其他主機(jī)將所有發(fā)往網(wǎng)關(guān)的信息發(fā)到這臺(tái)主機(jī)上。但是由于此臺(tái)主機(jī)的數(shù)據(jù)處理轉(zhuǎn)發(fā)能力遠(yuǎn)遠(yuǎn)低于網(wǎng)關(guān)，所以就會(huì)導(dǎo)致大量信息堵塞，網(wǎng)速越來(lái)越慢，甚至造成網(wǎng)絡(luò)癱瘓，而且ARP病毒這樣做的目的就是為了截取用戶(hù)的信息，盜取諸如網(wǎng)絡(luò)游戲帳號(hào)、QQ密碼等用戶(hù)信息，因此它不僅會(huì)造成局域網(wǎng)堵塞，也會(huì)威脅到局域網(wǎng)用戶(hù)的信息安全。

接著很多針對(duì)特殊服務(wù)器或是網(wǎng)游私服的DDOS攻擊也開(kāi)始大舉利用網(wǎng)吧或企業(yè)網(wǎng)絡(luò)中的客戶(hù)機(jī)作為“僵尸”電腦，對(duì)指定的服務(wù)器IP發(fā)送大量的數(shù)據(jù)包，“僵尸”電腦越多，服務(wù)器被消耗的帶寬也越多，利用這個(gè)原理耗盡服務(wù)器的帶寬，就可以達(dá)到讓對(duì)方服務(wù)器掉線以便對(duì)服務(wù)器運(yùn)營(yíng)者進(jìn)行惡意勒索的目的。這種攻擊方式雖然是針對(duì)外網(wǎng)服務(wù)器，但是它在攻擊過(guò)程中需要向路由器配置發(fā)送大量的數(shù)據(jù)包，會(huì)直接導(dǎo)致路由器配置僅有的100MLAN口被“堵滿”，因此其他局域網(wǎng)的計(jì)算機(jī)的請(qǐng)求無(wú)法提交到路由器配置進(jìn)行處理，結(jié)果就產(chǎn)生局域網(wǎng)計(jì)算機(jī)全部“掉線”的現(xiàn)象。

還有一種針對(duì)服務(wù)器的SYN攻擊也會(huì)令局域網(wǎng)電腦全體“掉線”：SYN攻擊屬于DOS攻擊的一種，它利用TCP協(xié)議三次握手的等待確認(rèn)缺陷，通過(guò)發(fā)送大量的半連接請(qǐng)求，耗費(fèi)CPU和內(nèi)存資源。SYN攻擊除了能影響主機(jī)外，還可以危害路由器配置、防火墻等網(wǎng)絡(luò)系統(tǒng)，事實(shí)上SYN攻擊并不管目標(biāo)是什么系統(tǒng)，只要這些系統(tǒng)打開(kāi)TCP服務(wù)就可以實(shí)施。配合IP欺騙，SYN攻擊能達(dá)到很好的效果，通常，感染SYN病毒的客戶(hù)端在短時(shí)間內(nèi)偽造大量不存在的IP地址，向服務(wù)器不斷地發(fā)送SYN包，服務(wù)器回復(fù)確認(rèn)包，并等待客戶(hù)的確認(rèn)，由于源地址是不存在的，服務(wù)器需要不斷的重發(fā)直至超時(shí)，這些偽造的SYN包將長(zhǎng)時(shí)間占用未連接隊(duì)列，正常的SYN請(qǐng)求被丟棄，目標(biāo)系統(tǒng)和路由器配置運(yùn)行緩慢，嚴(yán)重的時(shí)候就直接引起整個(gè)局域網(wǎng)的網(wǎng)絡(luò)堵塞甚至系統(tǒng)癱瘓。

防火墻路由器無(wú)法解決內(nèi)網(wǎng)安全問(wèn)題

面對(duì)日益嚴(yán)重的內(nèi)網(wǎng)攻擊和整網(wǎng)掉線問(wèn)題，很多路由器和防火墻開(kāi)發(fā)商也在產(chǎn)品中加入了相關(guān)技術(shù)，例如加入IP-MAC綁定功能可以防止局域網(wǎng)的ARP欺騙，但是這些設(shè)備由于以太網(wǎng)工作原理的關(guān)系，其實(shí)還是無(wú)法全面解決內(nèi)網(wǎng)安全問(wèn)題。

例如DDOS攻擊，雖然路由器配置和防火墻可以利用一些設(shè)定好的規(guī)則判斷出哪些數(shù)據(jù)包帶有DDOS攻擊的特征，但是它必須在收到這些數(shù)據(jù)包之后才能對(duì)數(shù)據(jù)包進(jìn)行分析，而這些數(shù)據(jù)包在收過(guò)來(lái)的時(shí)候其實(shí)就已經(jīng)占用了LAN口的帶寬資源，由于路由器配置和防火墻都在局域網(wǎng)的最外端，這樣的網(wǎng)絡(luò)結(jié)構(gòu)已經(jīng)決定了它們無(wú)法在攻擊數(shù)據(jù)包產(chǎn)生的時(shí)候就進(jìn)行封堵，而且這些設(shè)備大部分還是采用100Mb的帶寬與LAN交換機(jī)相連，加上大部分的局域網(wǎng)交換機(jī)都是線速轉(zhuǎn)發(fā)的二層交換機(jī)，受感染客戶(hù)端發(fā)送的大量數(shù)據(jù)包可以很快用完這些帶寬，因此網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)膲毫Χ技虞d在路由器配置LAN端口，這時(shí)候很多正常的請(qǐng)求都無(wú)法順利通過(guò)LAN口提交過(guò)去，因此即使路由器配置知道哪些是正常的請(qǐng)求也無(wú)濟(jì)于事。

用交換機(jī)來(lái)解決局域網(wǎng)攻擊問(wèn)題

既然路由器配置和防火墻無(wú)法全面解決局網(wǎng)安全問(wèn)題，那么自然會(huì)有人想到用交換機(jī)來(lái)解決這個(gè)問(wèn)題。在大部分網(wǎng)管人員和技術(shù)員看來(lái)，交換機(jī)就是純粹用來(lái)拓展上網(wǎng)計(jì)算機(jī)數(shù)量，提供更多的LAN口，似乎它就只是一個(gè)只管線速轉(zhuǎn)發(fā)而從來(lái)不對(duì)數(shù)據(jù)包進(jìn)行分析的設(shè)備，這也是二層交換機(jī)給人比較深刻的印象。

確實(shí)，要解決局域網(wǎng)的安全問(wèn)題，交換機(jī)就不能再純粹完成轉(zhuǎn)發(fā)工作了事，還需要判斷數(shù)封堵一些常見(jiàn)病毒所使用的端口，以及進(jìn)行端口速率限制。有些讀者會(huì)覺(jué)得，路由器配置上面不是也具備這些功能嗎？沒(méi)錯(cuò)，但如前面所說(shuō)，路由器配置的這些功能發(fā)揮作用已經(jīng)是在路由器配置LAN口接收到數(shù)據(jù)包之后，而如果這些功能轉(zhuǎn)移到交換機(jī)上，就可以防止這些病毒端口發(fā)送的數(shù)據(jù)包到達(dá)路由器，從而減輕路由器配置的負(fù)擔(dān)，保證局域網(wǎng)其他用戶(hù)的正常上網(wǎng)。