反黑风暴-第38章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！



【提示】

默认情况下，2MADSL宽带下行速度是512KB/S，这里推荐限制为50K

B/S，否则在2MADSL宽带中相当于没有限制。

步骤06设置P2P下载限制。单击【下一步】按钮，在弹出的【P2P下载限制】对话框中可以看到包含了下载工具、网络视频工具等使用带宽较多的软件，在其中选择要限制的P2P下载。

步骤07设置即时通讯限制。单击【下一步】按钮，在弹出的【即时通讯限制】对话框中可以选择希望限制的即时通讯工具，如QQ、飞信等。

步骤08限制使用IE直接下载文件的类型。单击【下一步】按钮，在【普通下载限制】对话框中可以添加要进行限制下载的文件类型。

步骤09单击“请输入您希望禁止HTTP下载的文件后缀名”列表框右侧的【添加】按钮，在【文件扩展名输入】对话框中输入要添加的文件后缀名，如exe。

步骤10按照同样的方法，添加其他要禁止HTTP下载的文件后缀名，如zip、rar等，然后单击【确定】按钮，返回【普通下载限制】对话框中。在其中可看到添加的禁止HTTP下载的文件后缀名。

步骤11设置访问限制。单击【下一步】按钮，在弹出的【访问限制】对话框中可以设置访问限制（网页浏览限制）。若选择“使用规则限制访问”选项，则可以设置能够浏览或不能浏览的网址的白/黑名单，还可以让被控主机无法浏览网页。

步骤12设置ACL规则。单击【下一步】按钮，在弹出的【ACL规则设置】对话框中单击【新建】按钮，在其中可以自定义设置需要控制的协议类型及端口范围。

步骤13编辑好规则后，单击【完成】按钮即可。在主界面中的左侧选择“系统运行信息→网络主机列表”选项，在右侧的界面中选中需要控制的主机并右击，在弹出菜单中选择【为选中主机制定规则】菜单项。

步骤14打开【控制规则指派】对话框，在“请选择一个你希望指派的控制规则”下拉列表中选择一个需要应用到该主机的规则，这里选择刚才创建的“规则1”。此时，就可以用设定的规则在制定的时间段来控制该主机的联网活动了。

对某个主机实施了控制后，对方即使使用迅雷下载时也只能达到最高50KB/S的速度。

10。2。8ARP攻击的防护方法

在网络管理中，IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，还会对用户的信息造成潜在的安全隐患。因此，为了防止IP地址被盗用，最大限度地避免此类现象的发生，可以采取一些防护措施，如把IP地址与网卡地址进行捆绑，使用ARP防护软件等。

1．静态绑定

在为主机分配IP地址时，如果将IP和MAC进行静态绑定，可以有效地防止IP地址被盗用。因为ARP欺骗是通过ARP的动态实时的规则欺骗内网机器，只要将ARP全部设置为静态，就可以解决对内网PC的欺骗，同时在网关也要进行IP和MAC的静态绑定，这样双向绑定才能够更保险。下面介绍对主机进行IP和MAC地址进行静态绑定的方法。

步骤01打开命令提示符窗口，输入命令“arp–sIP地址MAC地址”，即可实现IP地址与MAC地址的绑定，如“arp…s192。168。0。700…1E…8C…17…BO…8B”。

步骤02此时，在其中输入命令“arp–a”，如果刚才的绑定设置成功，就会在PC上面看到相关的提示：

InterAddressPhysicalAddressType

192。168。0。700…1E…8C…17…BO…8Bstatic（静态）。

如果没有将IP地址与MAC地址进行绑定，则在动态的情况下，输入命令“arp–a”，会在PC上看到如下提示：

InterAddressPhysicalAddressType

192。168。0。700…1E…8C…17…BO…8Bdynamic（动态）

采用上面介绍的方法绑定网络中的一台或几台主机比较方便，但若网络中有很多台主机，如300台或800台，这样每一台去做静态绑定，工作量非常大。而且这种静态绑定，在电脑每次重新启动后，都必须重新绑定才有效。

2．使用ARP防护软件

网络上的ARP防护软件非常多，这里介绍的是AntiARP（原名为AntiARPSniffer），该软件最新版本为ARP防火墙单机版6。0。1版本和ARP防火墙网络版V3。2。3。

ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址，可以保障数据流向正确，不经过第三者，从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制，解决网络经常掉线、网速慢等情况。

下面介绍网络版ARP防火墙V3。2。3的使用方法。首先要选一台性能较好的计算机安装ARP防火墙网络版管理端，然后还需要安装客户端，这样这台计算机才能受到保护。

（1）客户端组管理

使用ARP防火墙网络版防护局域网内的计算机之前，需要先在客户端下添加组。其具体操作方法如下：

步骤01在计算机中安装ARP防火墙管理端并运行软件，在主界面中左侧“所有客户端”→“默认端”选项上右击，在弹出菜单中选择【添加组】菜单项。

步骤02打开【添加】组对话框，在文本框中输入要添加的组的名称。

步骤03单击【OK】按钮，即可添加组A。选择【客户端管理】→【IP地址管理】→【组A】菜单项，打开【IP地址管理…组A】对话框，此时已默认加入组A中。在“开始IP”和“结束IP”文本框中分别输入相应的IP地址。

步骤04单击【添加】按钮，此时，即可弹出【访问】对话框，提示用户是否要把这些IP地址加入到组“组A”中。

步骤05单击【是】按钮，即可将这些IP地址添加到【IP地址管理…组A】对话框中。若要删除其中的某一IP地址，可选中该IP地址后右键单击，在弹出的快捷菜单中选择【删除IP地址】菜单项，即可删除。

2。客户端参数配置

在客户端下的“组A”中添加IP地址后，还需要对客户端的参数进行配置。其具体操作方法如下：

步骤01选择【客户端管理】→【客户端参数配置】→【组A】菜单项，打开【客户端参数配置…组A】对话框。默认选择【常规】选项卡，在其中可以设置“显示配置”和“运行配置”。取消选中其中的“继承全局配置”复选框，不继承全局配置，只单独针对组A进行特殊配置。另外，建议选中“自动最小化到系统栏”，、“隐藏没有数据的页面”、“程序运行后自动开始保护”复选框。

步骤02切换到【网络】选项卡，同样取消选中“继承全局配置”复选框。其中建议将“网关IP/MAC”设置为“自动获取”，如果在ARP防火墙客户端启动之前，系统已经处于攻击之下，自动获取到的网关MAC有可能是假的。遇到这种情况，则建议手工指定网关的IP和MAC。根据情况设置“管理端IP和端口”，这里可以设置两个。

步骤03选择【安全】选项卡，取消选中“继承全局配置”复选框，在“密码保护”选项区域中可以设置密码，该密码可用在程序卸载、程序退出、隐藏界面呼出、参数配置四个地方，其他选项保持默认设置。

步骤04选择【路由】选项卡，这里的可信路由检测功能可检测到攻击者转发的数据包，做出拦截并启动主动防御，从而保障数据安全。用户可根据需要在“可信路由”选项区域中选择要检测的选项，另外，还可手动添加除网关外的可信路由，但网关IP/MAC默认认为是可信路由，如果除了默认网关外，没有其他路由，就不需要手动添加了。

步骤05切换到【防御】选项卡，在“主动防御”区域中选择“警戒”选项，这样平时不向网关发送本机正确的MAC地址，状态为“警戒－待命”。当检测到本机正在受到ARP攻击时，状态切换为“警戒－启动防御”，开始向网关发送本机正确的MAC地址，以保证网络不会中断。持续10秒没有检测到攻击时，状态从“警戒－启动防御”切换回“警戒－待命”，停止发包。

步骤06切换到【攻击拦截】选项卡，在“ARP抑制”区域中勾选“抑制发送ARP”复选框，这样当本机发送ARP数据包的速度超过阀值时，ARP防火墙会启动拦截程序。一般情况下，本机发送ARP的速度不应该超过10个/秒。

步骤07再选中“一并拦截发关的ARPReply”复选框，这样如果拦截本机发送的ARPReply，其他机器将无法获取你的MAC地址，将无法主动与你的机器取得联系，但你的机器可主动与其他机器联系。

3．管理端参数配置

在设置好客户端参数配置后，还需要设置管理端参数配置。选择【工具】→【管理端参数配置】菜单项，即可打开【管理端参数配置】对话框。其中包括【常规】、【流量控制】、【攻击监测】、【报警设置】、【升级控制】选项卡，下面分别对这5个选项卡进行设置。

（1）【常规】选项卡

在“网络参数”区域中可以自定义管理端监听的TCP端口，新设置的端口在下次运行时才生效，默认端口为9001。“TCP连接线程池”默认的设置是200，用户可以根据具体情况进行调准，一般建议不要超过500。但TCP连接线程池并非越大越好，因为线程池越大，管理端程序占用的系统资源就会越多。

客户端连接上管理端之后，即占用一个TCP连接线程池。在TCP连接线程池未用满时，客户端与管理端建立的连接会一直保持，不会断开，这样有利于管理端可以随时管理客户端。

当TCP连接线程池用满时，管理端会进行清理，断开一些客户端的连接。当客户端到了向管理端报告状态的时间点之后，客户端会再次连接管理端，使得管理端能够比较及时的获取客户端的状态和相关数据。

在“日志保存”区域中可设置自动保存事件中心日志及其保存目录，默认将其保存在管理端程序目录下的“Logs”文件夹。

（2）【流量控制】选项卡

在该选项卡下可以设定管理端监测客户端的上传、下