|簡體中文

比思論壇

 找回密碼
 按這成為會員
搜索



查看: 2039|回復: 0
打印 上一主題 下一主題

路由器系列教程--防火墙不是花瓶 阻断恶意网站很简单

[複製鏈接]

18

主題

2

好友

316

積分

中學生

Rank: 3Rank: 3

  • TA的每日心情
    奮斗
    2021-9-22 23:51
  • 簽到天數: 294 天

    [LV.8]以壇為家I

    推廣值
    0
    貢獻值
    4
    金錢
    121
    威望
    316
    主題
    18

    回文勇士 簽到勳章 簽到達人 男生勳章

    跳轉到指定樓層
    樓主
    發表於 2013-8-21 20:19:29 |只看該作者 |倒序瀏覽
    在信息化飞速发展的时代,IC芯片的造价也越来越低,
    硬件防火墙已经开始步入SOHO即家庭设备。

    而一般用户对这些功能并不了解,路由器的作用仅是能上网即可。
    但既然我们有了硬件防火墙?何不好好利用他一翻呢?

    下面大家随着冰雷来看看什么是硬件防火墙,硬件防火墙有什么作用,怎么样用好硬件防火墙。

    所谓的防火墙,最基础的功能,即包过滤
    网络传输,即封包-解包-传输-封包-解包的过程
    而防火墙则可以在解包后,传输前,对包内容进行控制、甚至是过滤。

    而要使用这个功能,面向用户的则是“访问控制”功能,专业名称为访问控制列表,即access-list,其简称也就是常说的ACL。

    下面我们来看看tomato固件提供的访问控制功能,(其他具备防火墙功能的路由器也类似,照葫芦画瓢即可)




    对于入门用户而言,可能其项目会比较多,没关系,其实很简单,且听我一一道来。

    启用设置、描述、时间段这些都是顾名思义的东西,按需填写即可,既然我们做的是阻断恶意网站,当然是全天全时段了。
    访问控制选择一般访问控制即可,tomato提供针对设备做防火墙功能,这里我们也选择所有设备。

    端口/应用部分:即4层/7层设置,由于我们是做恶意网站过滤,因此也并不需要做此项设置,直接留空即可。

    下面为http请求,我们只需要将包含恶意攻击的网站输入即可。文后会有一些从网上收集的恶意网站列表。

    但最重要的,是一些我们常用的网站,有时也会植入一些恶意广告,或者是弹出一些不和谐的信息,我们也可以将他阻断。
    比如我常用下载动漫站点bt.ktxp.com,在进入后则会弹出广告游戏页面,这很烦恼。
    这样我们只需将弹出的网址www.cqtiyu.com加入列表中,以后就不会再弹出来了。

    而如果当你主动访问该网站时,则是提示404网络错误,其实也就是被路由器阻断访问了。也可以避免误进入恶意网站导致感染木马。



    使用防火墙阻断恶意端口

    我们知道,大部分的木马、病毒都是利用了端口漏洞进行的攻击,而我们只要将这些没用的端口关闭,就可以有效的阻断这些攻击,
    防火墙可以有效的做到这一点,这也是每个企业网络出口必做的一条ACL。




    基于端口规则,我们选择相应设置,TCP或者UDP,端口为双向
    常用端口封锁为
    tcp source-port eq 3127
    tcp source-port eq 1025
    tcp source-port eq 5554
    tcp source-port eq 9996
    tcp source-port eq 1068
    tcp source-port eq 135
    tcp source-port eq 137
    tcp source-port eq 138
    tcp source-port eq 139
    tcp source-port eq 593
    tcp source-port eq 4444
    tcp source-port eq 5800
    tcp source-port eq 5900
    tcp source-port eq 8998
    tcp source-port eq 445
    udp source-port eq 445
    udp source-port eq 1434
    udp source-port eq 135
    udp source-port eq 137
    udp source-port eq 138
    udp source-port eq 139
    这样我们就可以有效防止一些蠕虫、病毒攻击了


    友情提示:
    虽然SOHO级路由器具备了防火墙功能,但其终究性能无法与企业级防火墙媲美,我们在使用这项功能时,不必要盲目追求将所有的恶意网站库写入路由器,这是不现实,并且是不可能的。一般每条列表不会超过1024/2048/4096字节(视硬件及固件所定),也就是每条列表大概只能加四五百个网站,而恶意网站库则是成千上万……
    因此我们只需要将日常遇到的一些不和谐的广告页面给与相应裁判,使其和谐即可,从需求出发,解决日常使用中的问题。
    比如我的pc在上周中了hotclick木马,用了很多杀软都无法完全清除(该木马在指定页面如淘宝、京东等网站自动点击广告,做类似DDOS的分布式刷点击量,虽无害,但不爽),我就在列表中将那个跳转的hotclick页面deny掉,他也就无法正常工作了。


    本帖子中包含更多資源

    您需要 登錄 才可以下載或查看,沒有帳號?按這成為會員

    您需要登錄後才可以回帖 登錄 | 按這成為會員

    重要聲明:本論壇是以即時上載留言的方式運作,比思論壇對所有留言的真實性、完整性及立場等,不負任何法律責任。而一切留言之言論只代表留言者個人意見,並非本網站之立場,讀者及用戶不應信賴內容,並應自行判斷內容之真實性。於有關情形下,讀者及用戶應尋求專業意見(如涉及醫療、法律或投資等問題)。 由於本論壇受到「即時上載留言」運作方式所規限,故不能完全監察所有留言,若讀者及用戶發現有留言出現問題,請聯絡我們比思論壇有權刪除任何留言及拒絕任何人士上載留言 (刪除前或不會作事先警告及通知 ),同時亦有不刪除留言的權利,如有任何爭議,管理員擁有最終的詮釋權。用戶切勿撰寫粗言穢語、誹謗、渲染色情暴力或人身攻擊的言論,敬請自律。本網站保留一切法律權利。

    手機版| 廣告聯繫

    GMT+8, 2024-12-24 00:52 , Processed in 1.024638 second(s), 25 queries , Gzip On.

    Powered by Discuz! X2.5

    © 2001-2012 Comsenz Inc.

    回頂部