一、低端路由器提供了用于阻止和允许特定IP 地址和端口号的基本防火墙功能,并使用NAT 来隐藏内部IP 地址,它们通常将防火墙功能提供为标准的、为阻止来自Internet 的入侵进行了优化的功能,虽然不需要配置,但是对它们进行进一步配置可进一步优化它们的性能。
二、高端路由器可配置为通过阻止较为明显的入侵以及通过使用ACL 实现其他IP 地址和端口限制,来加强访问权限。也可提供其他的防火墙功能,这些功能在某些路由器中提供了静态数据包筛选。在高端路由器中,以较低的成本提供了与硬件防火墙设备相似的防火墙功能,但是吞吐量较低。
三、路由器可以过滤屏蔽的数据包类型,诸如一些即时聊天软件、P2P软件和一些网络游戏,说得简单点,路由器防火墙实现的是包的过滤,他能侦测所有进出端口的数据包并加之检测和过滤。这就是从根本上出发,保障信息网络的安全,路由器的防火墙能对一些常见的网络攻击进行防护,千万不要小看这些攻击,任何一个都有可能使你陷入断网甚至更糟的局面。
四、下面我们简单介绍一下常见的网络攻击手段,让大家心中有数。
1、SYN Flood:我们叫做SYN泛洪。SYN Flood是当前最流行的DoS与DdoS的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽的攻击方式。换句话说,这个攻击如果不加以防范的话会引起网络设备死机。
(1)TCP与UDP不同,它是基于连接的,也就是说:为了在服务端和客户端之间传送TCP数据,必须先建立一个虚拟电路,也就是TCP连接,建立TCP连接的标准过程是这样的:首先,请求端发送一个包含SYN标志的TCP报文,SYN即同步,同步报文会指明客户端使用的端口以及TCP连接的初始序号,服务器在收到客户端的SYN报文后,将返回一个SYN+ACK的报文,表示客户端的请求被接受,同时TCP序号被加一,ACK即确认,客户端也返回一个确认报文ACK给服务器端,同样TCP序列号被加一,到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手。
(2)假设一个用户向服务器发送了SYN报文后突然死机或掉线,那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的,这种情况下服务器端一般会重试并等待一段时间后丢弃这个未完成的连接,这段时间的长度我们称为SYN Timeout,如果有一个恶意的攻击者大量模拟这种情况,服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源,即使服务器端的系统足够强大,服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求。
2、Smurf攻击:Smurf攻击是以最初发动这种攻击的程序名Smurf来命名的,这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统,引起目标系统拒绝为正常系统进行服务,Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求数据包,来淹没受害主机,最终导致该网络的所有主机都对此ICMP应答请求做出答复,导致网络阻塞。
3、ARP攻击:ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包,且可让网络上特定计算机或所有计算机无法正常连接。
(1)ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。
(2)ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过ARP欺骗手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
以上就是几个我们常见的网络攻击形式,不过好在这些攻击路由器基本都能进行防范,所以千万不要忽略了你的路由器的防火墙功能,更多关于防火墙功能介绍,有兴趣的网友可以查看华为路由器设置。