路由器安全對于網(wǎng)吧來講是非常重要的，如何真正的做好網(wǎng)吧中的網(wǎng)絡(luò)安全呢？這里就給大家講解設(shè)置寬帶路由網(wǎng)關(guān)，讓網(wǎng)吧更加的安全。在網(wǎng)絡(luò)中常見的病毒有沖擊波，震蕩波，還有蠕蟲病毒等。對付這些病毒，HiPER的主要策略是先防再查后殺。

在HiPER寬帶路由網(wǎng)關(guān)中，設(shè)置有強大的防火墻功能，獨特的包過濾路由技術(shù)可以實現(xiàn)按照包的MAC地址、IP地址、協(xié)議、端口甚至內(nèi)容等進行過濾，特別是支持多個站點、關(guān)鍵字和URL過濾。對于類似沖擊波這樣的常見病毒，HiPER寬帶路由網(wǎng)關(guān)中設(shè)置好了相應(yīng)的防火墻策略，用戶只需在配置好的策略庫中直接引用即可。當(dāng)然，這樣只能防住來自網(wǎng)絡(luò)的病毒，用戶如果用存儲工具如優(yōu)盤等使得主機感染病毒，就要通過HiPER的WEB管理界面來查看了。在WebUI上網(wǎng)監(jiān)控頁面，查詢當(dāng)前全部上網(wǎng)記錄，可以看到感染沖擊波病毒的主機發(fā)出的大量NAT會話，特征如下：協(xié)議為TCP，外網(wǎng)端口為135/139/445/1025/4444/5554/9996等； 會話中該主機有上傳包，下載包往往很小或者為0。查到以后，需要做的就是把該主機從內(nèi)網(wǎng)斷開，然后在安全網(wǎng)關(guān)上配置相應(yīng)的策略，關(guān)閉病毒向外發(fā)包的端口。

沖擊波只是強大的蠕蟲病毒家族中比較典型的一個，而其他的病毒如SQL蠕蟲病毒，以及一些由此而發(fā)展出來的變種病毒，同樣會給網(wǎng)絡(luò)帶來巨大的災(zāi)難。雖然各種病毒形式各不相同，但是原理相差不大，針對他們的共同特點，通過端口掃描，來感染傳播。HiPER的防火墻策略可以應(yīng)用在任何一個接口上，防止端口掃描 ，判別蠕蟲病毒的攻擊。

防攻擊

相對于上面的蠕蟲病毒感染傳播帶來的損失，網(wǎng)吧黑客人為的主動攻擊更讓人頭疼，如偽造源地址的DDOS攻擊，ARP攻擊等。對于這些攻擊，HiPER寬帶路由網(wǎng)關(guān)可以通過應(yīng)用在接口的防火墻策略禁止端口掃描，防止DDOS攻擊，和ARP欺騙。

對于內(nèi)網(wǎng)出現(xiàn)的偽造源地址的DDOS攻擊，可以通過HiPER寬帶路由網(wǎng)關(guān)的監(jiān)控界面輕易的檢查出來。所謂的偽造源地址攻擊就是黑客機器向受害主機發(fā)送大量偽造源地址的報文，占用安全網(wǎng)關(guān)的NAT會話資源，最終將安全網(wǎng)關(guān)的NAT會話表占滿，導(dǎo)致局域網(wǎng)內(nèi)所有人無法上網(wǎng)。具體表現(xiàn)在Web界面的NAT狀態(tài)中，可以看到“IP地址”一欄里面有很多不屬于該內(nèi)網(wǎng)IP網(wǎng)段的用戶。在用戶統(tǒng)計信息中，可以看到安全網(wǎng)關(guān)接收到某用戶發(fā)送的海量的數(shù)據(jù)包，但是安全網(wǎng)關(guān)發(fā)向該用戶的數(shù)據(jù)包很小，依此判斷該用戶可能在做偽造源地址攻擊。解決辦法就是將該主機從內(nèi)網(wǎng)斷開，然后在HiPER寬帶路由網(wǎng)關(guān)中配置策略只允許內(nèi)網(wǎng)的網(wǎng)段連接安全網(wǎng)關(guān)，讓安全網(wǎng)關(guān)主動拒絕偽造的源地址發(fā)出的TCP連接。

所謂ARP攻擊就是內(nèi)網(wǎng)某臺主機偽裝成網(wǎng)關(guān)，欺騙內(nèi)網(wǎng)其他主機將所有發(fā)往網(wǎng)關(guān)的信息發(fā)到這臺主機上。但是由于此臺主機的數(shù)據(jù)處理轉(zhuǎn)發(fā)能力遠遠低于網(wǎng)關(guān)，所以就會導(dǎo)致大量信息堵塞，網(wǎng)速越來越慢，甚至造成網(wǎng)絡(luò)癱瘓，這樣做的目的就是為了截取用戶的信息，盜取諸如網(wǎng)絡(luò)游戲帳號，QQ密碼等用戶信息。當(dāng)局域網(wǎng)內(nèi)某臺主機運行ARP欺騙的木馬程序時，其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機上網(wǎng)，切換的時候用戶會斷一次線。當(dāng)ARP欺騙的木馬程序停止運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再斷一次線。

這個消息代表了用戶的MAC地址發(fā)生了變化，在ARP欺騙木馬開始運行的時候，局域網(wǎng)所有主機的MAC地址更新為病毒主機的MAC地址。既然我們已經(jīng)知道了使用ARP欺騙木馬的主機的MAC地址，那么我們就可以使用NBTSCAN工具來快速查找它。NBTSCAN可以取到PC的真實IP地址和MAC地址，如果有“傳奇木馬”在做怪，可以找到裝有木馬的PC的IP和MAC地址。當(dāng)然，如果用HiPER對內(nèi)網(wǎng)的用戶實施IP/MAC綁定的話，用戶就不能隨便改變自己的MAC地址，也就可以避免ARP攻擊這樣的事情了。對于ARP攻擊還可以有另一種解決方法，就是設(shè)置路由器定時向內(nèi)網(wǎng)主機發(fā)送ARP廣播，也就是告訴各主機真正的網(wǎng)關(guān)在哪里。這樣就可以避免別的主機冒充網(wǎng)關(guān)。HiPER允許設(shè)置ARP廣播的頻率，同時不允許讓別人冒充自己。

防BT

網(wǎng)吧還有一種用戶行為會影響到其他人的上網(wǎng)，那就是BT下載，如果內(nèi)網(wǎng)有用戶使用BT下載的話，就會占盡幾乎所有內(nèi)網(wǎng)帶寬，導(dǎo)致網(wǎng)絡(luò)癱瘓，具體表現(xiàn)為網(wǎng)頁打不開或者打開很慢，聊天的消息發(fā)不出去，游戲出現(xiàn)卡的現(xiàn)象。對于這種行為，在HiPER寬帶路由網(wǎng)關(guān)中主要可以利用帶寬控制功能。HiPER的帶寬控制使用了靈活的CBT（基于信用的流量控制）算法。CBT算法主要實現(xiàn)內(nèi)部網(wǎng)絡(luò)公平帶寬的分配，抑制BT、電驢等P2P下載的超常流量。CBT算法采用社會工程學(xué)原理，對網(wǎng)絡(luò)內(nèi)部的各個主機給予帶寬信用，一旦某些主機的流量超過信用太多，采取懲罰措施，降低這些主機的帶寬。

對于BT下載的預(yù)防主要是利用CBT為網(wǎng)內(nèi)用戶限定最高帶寬，這樣就能限制了用戶BT下載，占用別人帶寬的問題。當(dāng)然，基于社會工程學(xué)原理信用機制的CBT算法對于限制BT等P2P工具的下載的管理更具人性化。在內(nèi)網(wǎng)使用BT下載的用戶的信用會隨著占用帶寬的突然增加而急劇下降，隨著信用的下降，該用戶可使用的帶寬會減少，這樣的機制更具有彈性。二者結(jié)合使用效果更佳。另外，HiPER也可以通過WEB界面的配置實現(xiàn)一鍵封常見的P2P軟件使用，如禁止BitComet，比特精靈，電驢，電騾，禁止迅雷搜索資源。