[海蜘蛛基本安全设置]

huixinkeji

基本安全设置目录
1. 普通模式
2. 高级应用
3. 特殊应用



1. 普通模式

• ICMP-Flood 攻击防御
  防止路由对 ICMP ping 产生的大量回应请求超出了系统的最大限度，以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流。启用此功能可以控制每个IP每秒最大允许的 ICMP 包个数，超过部分自动丢弃。
• TCP SYN 连接数限制
  启用此功能可以控制每个IP每秒最大允许发起的 TCP 新连接数，超过部分自动丢弃。
• UDP-Flood 攻击防御
  UDP-Flood 攻击是利用大量UDP小包冲击服务器。攻击者可发送大量伪造源IP地址的小UDP包，只要服务器开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。启用此功能可以控制每个IP每秒最大允许的 UDP 包个数，超过部分自动丢弃。
  

  	注意
  	以上三项功能网吧用户可以不用勾选，否则可能会有部分游戏掉线等问题。

• DNS 攻击防御
  启用此功能可以控制每个IP每秒最大允许发起的 DNS 请求数，超过部分自动丢弃。用以防止 DNS 请求超出了服务器承载范围。
• IP 碎片(Fragment) 攻击防御
  对于IP数据包长度超过65535字节就会产生IP碎片，如果分片之间偏移量经过精心构造，一些系统就无法处理，最后导致系统出错。 启用此功能可以控制每个IP每秒最大允许的 UDP 包个数，超过部分自动丢弃。
• 修改 TCP 数据包的最大报文长度，随线路自动调整
  ADSL用户用户需要勾选，否则可能出现开网页慢或者打不开的情况；如果光纤用户打开网页缓慢也可以勾选此选项。
  

2. 高级应用

• 防止外部源路由欺骗：防止攻击者通过自封包和修改网络节点的IP地址，冒充某个可信节点的IP地址，进行攻击。
• 防止 Smurf DoS 攻击：防止由ICMP应答请求(ping)数据包，来淹没受害主机，或拒绝服务而导致网络阻塞。
• 启用 SYN Cookie 功能：SYN Flood 攻击发送了大量伪造的TCP连接请求，使得被攻击方资源耗尽，无法及时回应或处理正常的服务请求。
• 防止 TCP Land 攻击：TCP Land 攻击会产生源端口和目的端口相同的ICMP echo 报文或TCP syn 请求报文，导致主机不断地向自己发送报文，最终导致系统崩溃。通过报文的源地址和目的地址是否相等来判断 TCP Land 攻击。
• Proxy ARP 功能：代理ARP能够将一个主机作为对另一个主机ARP进行应答。使得在不影响路由表的情况下添加一个新的Router
• 修改IPID为随机数：指的修改网络身份标识号码。
  

3. 特殊应用
以下两项当内网PPTP_VPN 客户端访问外网 PPTP_VPN 服务端时需选上。

• PPTP_VPN NAT 穿透支持
• GRE 协议穿透支持
  
  

其它特殊应用协议简介：

• DCCP 协议 和 SCTP 协议：数据报拥塞控制协议和流控制传输协议，用于数据传输和递交实现多流传送。
• UDPLite 协议：类似于UDP协议，应用于网络的差错率比较大，但是对轻微差错不敏感的网络环境。
• H.323/SIP 协议：用于应用层的信令控制，实现多方会话，主要应用于网络话音、视讯。
• TFTP 协议：简单文件传输协议，用来在客户机与服务器之间进行简单文件传输的协议，提供不复杂、开销不大的文件传输服务。
• IRC 协议：因特网在线聊天协议，用于客户端软件以IRC协议通过因特网连接到一台IRC服务器。
• NetBIOS 协议：网络基本输入/输出系统协议，使用户能够通过应用程序编程接口来访问局域网的资源。