軟硬兼施:無線路由器設置方法終極版
無線路由器設置方法一般分軟件部分和硬件部分,在下面的文章中將進行詳細的講解,基于大家都是初學的原因,文章給出了具體的步驟,還有一些應用實例。
軟硬兼施:無線路由器設置方法終極版
入侵檢測和防御系統(tǒng)(IDS/IPS)都是由硬件和軟件組成,要想自己動手打造一臺高性能的入侵檢測和防御系統(tǒng),那么構(gòu)成IDS/IPS所需的硬件和軟件都得由我們自己來準備,巧婦難為無米之炊!缺少這兩者中的任何一樣,都不可能完成打造入侵檢測防御系統(tǒng)的任務。
一、無線路由器設置方法,軟件的準備
Snort是一個基于命令行的開源免費的入侵檢測系統(tǒng),雖然它本身就是一個用來為中小企業(yè)進行網(wǎng)絡攻擊檢測的軟件,但是,由于它主要以命令行的方式來使用,用戶不僅要學習它的安裝、部署和設置方法,還必需記住它數(shù)量眾多的各種檢測命令,這對于一些不習慣于命令行操作的用戶來說,是一個不小的難題。
因此,市面上出現(xiàn)了許多使用Snort來提供入侵檢測功能的軟件,但是這些軟件只是對它進行了簡單的功能挪用,甚至連基本的入侵檢測設置功能也沒有,就更不要說入侵防御功能了。在本文中,我向大家介紹一款由StillSecure公司出品的叫做“Strata guard”的入侵檢測防御軟件,它才是一款真正的具有入侵檢測和主動防御功能的IDS/IPS軟件。
Strata guard本身是一款基于Linux系統(tǒng)的商業(yè)軟件,但是它的免費版本除了對網(wǎng)絡帶寬最大不能超過5Mbps的流量限制,其它所有的功能并沒有任何限制。而5Mbps的帶寬對于還在使用2Mbps或4Mbps的ADSL中小企業(yè)用戶來說,已經(jīng)完全足夠了。而且,Strata guard針對中小企業(yè)的商業(yè)版本也只需支付2500美元的費用,這樣仍然要比單獨購買一臺傳統(tǒng)的硬件型IDS/IPS設備要劃算得多。
Strata guard軟件也是從Snort發(fā)展而來,它不僅具有Snort的所有功能,而且,還具有下列所示的獨特功能:
◆圖形化的安裝界面,以及向?qū)Х绞降某跏蓟O置方式,讓用戶易于上手。
◆能根據(jù)攻擊的嚴重程序進行優(yōu)先排序報警。
◆真正的入侵防御能力,能根據(jù)攻擊數(shù)據(jù)包進行相應的攔截處理。
◆基于WEB方式的遠程配置和管理。
Strata guard上述的這些獨特功能使得用戶在不需要對Linux系統(tǒng)有更多了解的基礎上,就可以非常容易地安裝和使用它。由于Strata guard是從Snort發(fā)展而來,因此它仍然使用基于攻擊特征庫的檢測技術來識別網(wǎng)絡流量中的惡意攻擊行為。
但是,Strata guard還可以通過使用特征分析、協(xié)議異常分析、狀態(tài)包分析和TCP數(shù)據(jù)包重組的功能來檢測網(wǎng)絡流量中的惡意攻擊行為。正是由于Strata guard還具有這些獨特的檢測方法,才能對新出現(xiàn)的惡意攻擊行為做出正確的判斷,并采取相應的主動攔截響應,起到真正的主動防御作用。
當Strata guard作為網(wǎng)關安裝到企業(yè)網(wǎng)絡的關鍵位置上時,除了可以先發(fā)制人地主動攔截檢測到的惡意網(wǎng)絡流量外,還可以將TCP流量進行安全重放,同時,它還能按源IP地址或端口的方式攔截來自網(wǎng)絡的攻擊,以及對DoS攻擊方式進行防范,而且還可以執(zhí)行用戶自己定制的響應腳本。
Strata guard還允許我們無線路由器設置方法它按全局缺省方式響應所有檢測到的攻擊,也可以為每個獨立的攻擊方式創(chuàng)建獨立的響應方式,這樣,就可以讓我們根據(jù)不同的網(wǎng)絡應用環(huán)境,來靈活自由地創(chuàng)建適合需求的各種響應網(wǎng)絡攻擊的方式。
Strata guard現(xiàn)在的最新版本是v5.0beta,要下載它,必需先到http://sgfree.stillsecure.com注冊一個免費的帳號,http://www2.stillsecure.com/go/stillsecure/SGFree下載,同時得到一個允許使用Strata guard免費版的授權碼,這個授權碼將會在初始化配置時使用,一定要將它復制后保存到一個文本文件中。
Strata guard的免費版本有兩種發(fā)行方式,一種是為網(wǎng)關模式制作的光盤鏡像,另一種是為標準模式制作的虛擬機文件。我們可以根據(jù)自己使用Strata guard的目的來決定下載哪個文件,在本文中,我需要將Strata guard免費版作為網(wǎng)關來使用,于是就下載它的光盤鏡像文件,它的大小為341MB左右。
二、無線路由器設置方法,硬件需求
strata guard對所依存的硬件的性能要求比較高,這主要是為了在滿足檢測所有網(wǎng)絡流量的同時,還能夠保證足夠的網(wǎng)絡轉(zhuǎn)發(fā)性能。對于strata guard免費版本來說,我們可以使用下列所示的硬件來定制一臺入侵檢測防御系統(tǒng)的硬件平臺:
◆處理器: AMD 4400+
◆內(nèi)存: DDR2 667 2GB
◆硬盤: SATA 80G
◆網(wǎng)卡: strata guard工作在標準模式時需要2張網(wǎng)卡,工作在網(wǎng)關模式時需要3張網(wǎng)卡。
◆網(wǎng)卡最好為3Com和Intel的千兆以太網(wǎng)網(wǎng)卡,推薦使用Intel
◆Pro/1000MT桌面型千兆網(wǎng)卡。
◆主板:選擇帶有多個PCI-E接口的,集成聲卡,顯卡,
◆甚至千兆以太網(wǎng)網(wǎng)卡的主板,這樣能為我們省去不少資金和一些不必要的麻煩。
◆光驅(qū):普通IDE接口的CD光驅(qū)。
◆其它硬件:為了給這些硬件的運行提供源源不斷的動力,最好選擇450W及以上的質(zhì)量可靠的PC電源。
上述的這些硬件,已經(jīng)完全可以滿足現(xiàn)在大部分中小企業(yè)對入侵檢測防御系統(tǒng)的需求,當然,我們完全可以根據(jù)自身網(wǎng)絡的實際需求,以及企業(yè)允許在這方面的投入資金,來選擇速度更快,容量更大,性能更好的各種PC硬件。而且,現(xiàn)在的PC硬件價格已經(jīng)接近于白菜的價格,就算選擇性能更高的硬件,在定制的入侵檢測防御系統(tǒng)的硬件上的投入,仍然要比市面上動則上十萬的硬件型入侵檢測防御系統(tǒng)的價格低得多。
由于筆者較熟悉網(wǎng)絡設備的緣故,經(jīng)常需要幫朋友購買些設備或詢價,其實舉手之勞倒沒什么所謂,不過有時候碰上個“十萬個為什么?”什么都不懂的就糟糕了。現(xiàn)在好了,電話都單向收費了,技術熱線電話費不計,上門服務夠痛苦了吧!就在周日,筆者就做了一回免費義工。
上周幫朋友購買了一個D-link的DI-624+A無線路由器,他從房東那里“共享”了一條寬帶來上網(wǎng),這年頭“共享”可不是義務,市場價50元一個月。線拉過來后接到無線路由器上分2臺臺式機和一臺筆記本使用,本來周六還使用得好好的,但周日就忽然不能上網(wǎng)了。技術熱線也起不到作用,只能當跑腿了。
◆在安裝向?qū)希沁x擇動態(tài)IP地址,還是選擇固定IP地址進行設定?由于是拉房東的線,這里需要設置為固定IP。
◆如選擇動態(tài)IP地址,MAC地址是填本地連接的MAC,還是無線連接的MAC?選擇動態(tài)IP,只有使用有線寬頻才選這項。
◆如選擇固定IP地址,WAN IP地址,WAN子網(wǎng)絡遮罩,WAN網(wǎng)關,主要的DNS地址,次要的DNS地址,分別怎樣設?
◆是否還要把電腦的IP地址和DNS地址改動?還是默認為DHCP指派?可以在路由器中設定各電腦的IP,也可以在電腦中設置,具體要看路由器的設置。
一般情況我們可以通過2種方式實現(xiàn)上網(wǎng),但無線路由器設置方法:
◆有線方式:
將房東的那根線接到任意一個LAN口上(不是WAN口),然后其余的計算機用網(wǎng)線連接另外的LAN口。其實這樣的共享方式可以直接用交換機來實現(xiàn),只要房東那里撥了號,這邊就能如常上網(wǎng)了。
計算機的設置一切按照房東家的路由器設置來,比如房東家的路由器設置為192.168.1.1。你們2臺計算機的IP就設置為192.168.1.X,網(wǎng)關:192.168.1.1,DNS:192.168.1.1(各地方寬帶DNS都不一樣)。然后就可以上了。這種做法相當于把寬帶路由器當一個交換機來用了。道理簡單,實現(xiàn)起來方便。
◆無線方式:
這個時候要用到WAN口了,因為有轉(zhuǎn)發(fā)的數(shù)據(jù)。首先要先確認房東家無線路由器設置方法。需要了解,IP、子網(wǎng)掩碼、DNS。DNS是是WAN設置中的DNS。比如說,房東家路由器的IP:192.168.1.1,子網(wǎng):255.255.255.0,DNS:1.1.1.1.把那根連接房東家路由器的線接到無線路由器的WAN口上,WAN設置為:IP:192.168.1.X;子網(wǎng)255.255.255.0;網(wǎng)關:192.168.1.1;DNS:1.1.1.1。
然后LAN設置為:IP:192.168.0.1 子網(wǎng):255.255.255.0 DNS:1.1.1.1 (WAN口和LAN口IP不在同一網(wǎng)段)。計算機連接LAN口,設置為:192.168.0.X 子網(wǎng):255.255.255.0 網(wǎng)關:192.168.0.1 DNS:192.168.0.1和1.1.1.1都可以.反正192.168.0.1中轉(zhuǎn)后的地址還是1.1.1.1 所以兩個DNS都可以。
