零日攻擊(Zero-day)和日益龐大的僵尸網(wǎng)絡(luò)帶來的分布式拒絕服務(wù)攻擊(DdoS)等網(wǎng)絡(luò)攻擊手段���,讓許多使用傳統(tǒng)安全防范設(shè)備的中小企業(yè)中疲于應(yīng)付���,而主動防御技術(shù)已經(jīng)能夠很好地解決這些方面帶來的安全問題��。入侵檢測防御系統(tǒng)(IDS/IPS)就是一種主動防御技術(shù)���,將它們安裝在網(wǎng)絡(luò)的關(guān)鍵位置��,通過對所有通過它的網(wǎng)絡(luò)流量進行檢測���,就會發(fā)現(xiàn)其中的惡意流量或某種攻擊行為,然后就會發(fā)出警報���,并自動阻止這些惡意流量的通過��。但是��,目前市面上已經(jīng)存的入侵檢測防御系統(tǒng)的價格動不動就上十萬元人民幣��,甚至更高��,這樣的價格���,讓許多中小企業(yè)對IDS/IPS的應(yīng)用望而卻步。那么���,有沒有一種方法即可以讓中小企業(yè)使用IDS/IPS來保護自己的網(wǎng)絡(luò)資源���,又不需要花費高昂的費用呢��?當你們看過本文后��,就會找到需要的答案���。
前期軟件和硬件的準備
入侵檢測和防御系統(tǒng)(IDS/IPS)都是由硬件和軟件組成,要想自己動手打造一臺高性能的入侵檢測和防御系統(tǒng)���,那么構(gòu)成IDS/IPS所需的硬件和軟件都得由我們自己來準備��,巧婦難為無米之炊��!缺少這兩者中的任何一樣���,都不可能完成打造入侵檢測防御系統(tǒng)的任務(wù)。
一��、軟件的準備
Snort是一個基于命令行的開源免費的入侵檢測系統(tǒng)���,雖然它本身就是一個用來為中小企業(yè)進行網(wǎng)絡(luò)攻擊檢測的軟件���,但是,由于它主要以命令行的方式來使用��,用戶不僅要學(xué)習(xí)它的安裝��、部署和設(shè)置方法��,還必需記住它數(shù)量眾多的各種檢測命令���,這對于一些不習(xí)慣于命令行操作的用戶來說��,是一個不小的難題���。因此,市面上出現(xiàn)了許多使用Snort來提供入侵檢測功能的軟件���,但是這些軟件只是對它進行了簡單的功能挪用���,甚至連基本的入侵檢測設(shè)置功能也沒有,就更不要說入侵防御功能了���。在本文中���,我向大家介紹一款由StillSecure公司出品的叫做"Strata guard"的入侵檢測防御軟件��,它才是一款真正的具有入侵檢測和主動防御功能的IDS/IPS軟件���。
Strata guard本身是一款基于Linux系統(tǒng)的商業(yè)軟件,但是它的免費版本除了對網(wǎng)絡(luò)帶寬最大不能超過5Mbps的流量限制��,其它所有的功能并沒有任何限制��。而5Mbps的帶寬對于還在使用2Mbps或4Mbps的ADSL中小企業(yè)用戶來說��,已經(jīng)完全足夠了���。而且��,Strata guard針對中小企業(yè)的商業(yè)版本也只需支付2500美元的費用���,這樣仍然要比單獨購買一臺傳統(tǒng)的硬件型IDS/IPS設(shè)備要劃算得多。
Strata guard軟件也是從Snort發(fā)展而來��,它不僅具有Snort的所有功能���,而且��,還具有下列所示的獨特功能:
1���、圖形化的安裝界面���,以及向?qū)Х绞降某跏蓟O(shè)置方式��,讓用戶易于上手��。
2���、能根據(jù)攻擊的嚴重程序進行優(yōu)先排序報警���。
3、真正的入侵防御能力��,能根據(jù)攻擊數(shù)據(jù)包進行相應(yīng)的攔截處理���。
4��、基于WEB方式的遠程配置和管理��。
Strata guard上述的這些獨特功能使得用戶在不需要對Linux系統(tǒng)有更多了解的基礎(chǔ)上���,就可以非常容易地安裝和使用它���。由于Strata guard是從Snort發(fā)展而來,因此它仍然使用基于攻擊特征庫的檢測技術(shù)來識別網(wǎng)絡(luò)流量中的惡意攻擊行為���。但是���,Strata guard還可以通過使用特征分析、協(xié)議異常分析��、狀態(tài)包分析和TCP數(shù)據(jù)包重組的功能來檢測網(wǎng)絡(luò)流量中的惡意攻擊行為��。正是由于Strata guard還具有這些獨特的檢測方法��,才能對新出現(xiàn)的惡意攻擊行為做出
正確的判斷���,并采取相應(yīng)的主動攔截響應(yīng)���,起到真正的主動防御作用。
當Strata guard作為網(wǎng)關(guān)安裝到企業(yè)網(wǎng)絡(luò)的關(guān)鍵位置上時���,除了可以先發(fā)制人地主動攔截檢測到的惡意網(wǎng)絡(luò)流量外��,還可以將TCP流量進行安全重放���,同時���,它還能按源IP地址或端口的方式攔截來自網(wǎng)絡(luò)的攻擊,以及對DoS攻擊方式進行防范��,而且還可以執(zhí)行用戶自己定制的響應(yīng)腳本��。Strata guard還允許我們配置它按全局缺省方式響應(yīng)所有檢測到的攻擊��,也可以為每個獨立的攻擊方式創(chuàng)建獨立的響應(yīng)方式���,這樣,就可以讓我們根據(jù)不同的網(wǎng)絡(luò)應(yīng)用環(huán)境���,來靈活自由地創(chuàng)建適合需求的各種響應(yīng)網(wǎng)絡(luò)攻擊的方式���。
Strata guard現(xiàn)在的最新版本是v5.0beta,要下載它��,必需先到http://sgfree.stillsecure.com注冊一個免費的帳號�,才能從http://www2.stillsecure.com/go/stillsecure/SGFree下載�,同時得到一個允許使用Strata guard免費版的授權(quán)碼�,這個授權(quán)碼將會在初始化配置時使用,一定要將它復(fù)制后保存到一個文本文件中��。Strata guard的免費版本有兩種發(fā)行方式�,一種是為網(wǎng)關(guān)模式制作的光盤鏡像,另一種是為標準模式制作的虛擬機文件��。我們可以根據(jù)自己使用Strata guard的目的來決定下載哪個文件��,在本文中�,我需要將Strata guard免費版作為網(wǎng)關(guān)來使用,于是就下載它的光盤鏡像文件��,它的大小為341MB左右��。
二��、硬件需求
strata guard對所依存的硬件的性能要求比較高�,這主要是為了在滿足檢測所有網(wǎng)絡(luò)流量的同時,還能夠保證足夠的網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能�。對于strata guard免費版本來說,我們可以使用下列所示的硬件來定制一臺入侵檢測防御系統(tǒng)的硬件平臺:
處理器: AMD 4400+
內(nèi)存: DDR2 667 2GB
硬盤: SATA 80G
#p#副標題#e#
網(wǎng)卡: strata guard工作在標準模式時需要2張網(wǎng)卡�,工作在網(wǎng)關(guān)模式時需要3張網(wǎng)卡。網(wǎng)卡最好為3Com和Intel的千兆以太網(wǎng)網(wǎng)卡�,推薦使用Intel
Pro/1000MT桌面型千兆網(wǎng)卡��。
主板:選擇帶有多個PCI-E接口的��,集成聲卡��,顯卡��,甚至千兆以太網(wǎng)網(wǎng)卡的主板�,這樣能為我們省去不少資金和一些不必要的麻煩��。
光驅(qū):普通IDE接口的CD光驅(qū)�。
其它硬件:為了給這些硬件的運行提供源源不斷的動力,最好選擇450W及以上的質(zhì)量可靠的PC電源�。
上述的這些硬件�,已經(jīng)完全可以滿足現(xiàn)在大部分中小企業(yè)對入侵檢測防御系統(tǒng)的需求,當然��,我們完全可以根據(jù)自身網(wǎng)絡(luò)的實際需求��,以及企業(yè)允許在這方面的投入資金��,來選擇速度更快�,容量更大,性能更好的各種PC硬件�。而且��,現(xiàn)在的PC硬件價格已經(jīng)接近于白菜的價格��,就算選擇性能更高的硬件�,在定制的入侵檢測防御系統(tǒng)的硬件上的投入��,仍然要比市面上動則上十萬的硬件型入侵檢測防御系統(tǒng)的價格低得多�。
由于筆者較熟悉網(wǎng)絡(luò)設(shè)備的緣故,經(jīng)常需要幫朋友購買些設(shè)備或詢價�,其實舉手之勞倒沒什么所謂,不過有時候碰上個"十萬個為什么�?"什么都不懂的就糟糕了。現(xiàn)在好了�,電話都單向收費了,技術(shù)熱線電話費不計��,上門服務(wù)夠痛苦了吧��!就在周日�,筆者就做了一回免費義工。
上周幫朋友購買了一個D-link的DI-624+A無線路由器�,他從房東那里"共享"了一條寬帶來上網(wǎng),這年頭"共享"可不是義務(wù)�,市場價50元一個月。線拉過來后接到無線路由器上分2臺臺式機和一臺筆記本使用�,本來周六還使用得好好的��,但周日就忽然不能上網(wǎng)了�。技術(shù)熱線也起不到作用�,只能當跑腿了。
一般情況"菜鳥"們都會有幾個疑問:
1.在安裝向?qū)?�,是選擇動態(tài)IP地址�,還是選擇固定IP地址進行設(shè)定?
由于是拉房東的線�,這里需要設(shè)置為固定IP。
2.如選擇動態(tài)IP地址��,MAC地址是填本地連接的MAC��,還是無線連接的MAC�?
選擇動態(tài)IP,只有使用有線寬頻才選這項��。
3.如選擇固定IP地址�,WAN IP地址��,WAN子網(wǎng)絡(luò)遮罩�,WAN網(wǎng)關(guān),主要的DNS地址�,次要的DNS地址�,分別怎樣設(shè)�?
詳見下文
4.是否還要把電腦的IP地址和DNS地址改動?還是默認為DHCP指派�?
可以在路由器中設(shè)定各電腦的IP,也可以在電腦中設(shè)置��,具體要看路由器的設(shè)置�。
別著急,下面我們慢慢探討�!
一般情況我們可以通過2種方式實現(xiàn)上網(wǎng)。
1:有線方式:
將房東的那根線接到任意一個LAN口上(不是WAN口)�,然后其余的計算機用網(wǎng)線連接另外的LAN口。其實這樣的共享方式可以直接用交換機來實現(xiàn)��,只要房東那里撥了號�,這邊就能如常上網(wǎng)了。
計算機的設(shè)置一切按照房東家的路由器設(shè)置來��,比如房東家的路由器設(shè)置為192.168.1.1��。你們2臺計算機的IP就設(shè)置為192.168.1.X�,網(wǎng)關(guān):192.168.1.1,DNS:192.168.1.1(各地方寬帶DNS都不一樣)��。然后就可以上了。
這種做法相當于把寬帶路由器當一個交換機來用了��。道理簡單�,實現(xiàn)起來方便。
2:無線方式:
這個時候要用到WAN口了�,因為有轉(zhuǎn)發(fā)的數(shù)據(jù)。首先要先確認房東家路由器的設(shè)置��。需要了解��,IP��、子網(wǎng)掩碼��、DNS��。DNS是是WAN設(shè)置中的DNS��。
比如說�,房東家路由器的IP:192.168.1.1,子網(wǎng):255.255.255.0��,DNS:1.1.1.1.
把那根連接房東家路由器的線接到無線路由器的WAN口上��,WAN設(shè)置為:IP:192.168.1.X�;子網(wǎng)255.255.255.0��;網(wǎng)關(guān):192.168.1.1;DNS:1.1.1.1��。
然后LAN設(shè)置為:IP:192.168.0.1 子網(wǎng):255.255.255.0 DNS:1.1.1.1 (WAN口和LAN口IP不在同一網(wǎng)段)��。
??? 計算機連接LAN口,設(shè)置為:192.168.0.X 子網(wǎng):255.255.255.0 網(wǎng)關(guān):192.168.0.1 DNS:192.168.0.1和1.1.1.1都可以.反正192.168.0.1中轉(zhuǎn)后的地址還是1.1.1.1 所以兩個DNS都可以��。
使用無線記得要加密喔��!不然就會給鄰居免費使用咯�!
好了,一切OK��,無線��、有線都能上網(wǎng)了�。
關(guān)鍵詞標簽:無線路由器
如何將無線路由當無線交換機使用方法
mercury無線路由器設(shè)置圖文教程(水星MW150R)