入门介绍之Modem的安全和性能
在ADSL普及的今天,ADSL客户端设备——Modem进入了中国千千万万的家庭,然而这台小小的设备却并不为大多数人所了解。如何提高Modem的性能,安全以及使用寿命呢?本文试图用通俗易懂的语言,为大家揭开Medom的神秘面纱,让大家的Modem都能发挥出最大的性能,提供最大的网络安全保障。首先做个设定:本文所讨论,仅限于带路由功能的Modem。
安全篇
要讲安全,首先需要说明下内网与外网,以及Modem在整个网络中所处的位置。外网;顾名思义就是相对于您电脑所处网络之外的网络,内网就是您电脑所在的网络。以您的Modem为界限,Modem的DSL接口(与电话线相连)连接的就是外网,Ethernet接口(与您电脑相连,或者与Hub相连)连接的就是内网。在这里有个方向的约定,从外网到内网叫做入局(Incoming),从内网到外网叫做出局(Outcoming)。当您的Modem拨号成功后,您的Modem就被分配了一个全球唯一的IP地址,叫做公网IP或者外网IP,这意味着您的电脑就能通过Modem与外网进行信息交流,相反的,外网的电脑(假设外网只存在个人用PC)也能通过Modem与您的电脑进行信息交流。这就像你住着一个三室二厅的房子,你家房子与楼梯连接的铁门就是Modem,拨号就是开门,开了门您就能出去,外面的人也能进来。当然,您肯定不希望只要开了门什么人都能进来吧,所以Modem提供一个IP过滤(IP Filter)的功能,它就像蹲在你家门口的一条聪明,忠实的狗。它只让你的亲人,朋友,同事,送礼的,办事的进来,一当有坏人小偷之类的想要进你家,它就狂叫,甚至咬死他。:lol
在我们正式开始了解IP过滤之前,我想请大家把Modem看成一台简单的电脑。它有自己的处理芯片;有自己的操作系统;开放了自己的端口(Port)——以供我们与Modem通信。在这里,操作系统就是我们所说的固件(Firmware),唯一不同的是,它不像电脑,什么操作系统都能装,它只能安装适合它处理芯片的“操作系统”。它的端口只开放了四个(在这里为了简单我们只考虑Modem的Ethernet接口),默认端口号为80(http端口,可以理解为与PC的Web浏览器进行通信的端口);23(telnet端口);21(ftp端口);69(tftp端口)。
好了,假设你MOdem的外网IP地址为202.96.134.134。现在从外网有一个IP数据包发送到这个地址,它请求与这个地址的设备在80端口进行通信(这个数据包不关心在这个地址到底是台电脑,还是台Modem),从方向上讲这叫做入局。这个时候我们的IP过滤器根据我们设置的规则开始审查这个请求。以下是IP过滤器审查的二种情况:
一:当它发现有一条规则与这个请求行为匹配时,它会根据这个规则来选择,假如这个规则规定允许这样的数据包通过,那么这个请求就被放行与Modem的80端口通信,这也意味着外网的电脑能成功打开您Modem的Web设置页面。如果碰巧您管理Modem的用户名密码还是默认的出厂设置,那后果将会非常严重。
二:当它发现没有一条规则与这个请求行为匹配,他会根据默认的全局规则(Public Default Action)来选择放行还是拒绝。一般情况下,Modem将会允许我们对这条规则进行编辑的。
在这里还需要了解的是,IP过滤器根据规则号从小到大逐条进行匹配比较,当它发现一条匹配规则时则不再往下继续匹配比较。到这我想大家应该明白IP过滤器对于入局的数据包的处理流程了,至于出局的处理流程与入局的处理流程则是一样。只不过我们需要注意的是,内部网络内的PC通过Modem相互访问也是属于出局的过程,这也就是为什么我们需要设定一些出局的规则来防止内部网络内的ARP欺骗攻击或者其他病毒攻击了。
由于本贴只是讨论Modem的安全与性能,所以在这就不提供IP过滤规则的实例了,有需要的朋友可以参照本版的另一篇帖子。接下来我们该进入性能的话题了。
性能篇
由于Modem的处理芯片计算能力毕竟不是很强大,当我们为了网络的安全设置了过多的过滤规则时就会严重影响我们的Modem对IP数据包的处理速度,曾经有人为了追求极致的性能而把Modem的IP过滤功能取消,也有人为了安全而设置了几十条各式各样的过滤规则。我们究竟该如何取舍呢?我觉得首先搞清楚几个问题,一:安全问题,安全问题其实有2种,一是Modem的安全,通俗的讲就是Modem的控制权,二是网络的安全,网络安全又可分为外网的安全问题,以及内网的安全问题。搞清楚这些我们才能用最少的资源确保最高的安全。
首先,Modem的安全问题。Modem的四个开放端口不能让外网访问。
第二,外网的病毒攻击不能影响内部网络的电脑。
第三,内网的病毒不能通过Modem攻击内部网络的其他电脑。
第四,内网的病毒不能攻击外网的电脑。
要做到以上四点,还要保证其他应用程序的正常使用以及Modem的高性能,相信很多朋友都曾经对Modem的配置做出过各种各样的修改,到底应该如何设置呢??呵呵,别急,听我慢慢道来。
假如您的内部网络只有您一个人的电脑,看清楚,我并不是说只有一台电脑。那么恭喜您,您可以用最少的资源得到最高的安全以及Modem最大的性能。办法是,减轻Modem的工作压力。嗯嗯,具体为,关闭IP过滤功能,利用NAT来转移外网对Modem端口的访问,利用电脑的软件防火墙来实现对外网以及内网病毒攻击的保护,最重要的是,养成良好的上网习惯,及时打补丁避免自己的电脑中毒。关闭其他一切可以关闭的功能,比如DHCP;SNTP;SNMP(要这些玩意儿干嘛?)。做到这些,我可以保证,只要不是线路问题,您掉线的几率将会减少至97%,至于另外的3%是因为,一个您同时开BT,电驴,迅雷,在线看电影,以及看帖不回帖。二,您在线时间大于您外网IP的租约时间而导致ISP(网络运营商)把您给踢下线了,三,您共享上网被ISP封了。
假如您的内部网络电脑多,而且并不是您一个人的电脑,建议您开启IP过滤,添加规则阻止内网的病毒攻击。其他同上。
一些其他的,有人说电脑的防火墙属于软件防火墙,Modem的IP过滤属于硬件级的防火墙,硬件防火墙远比软件防火墙可靠,速度快。所以开启IP过滤功能不存在对芯片处理速度的影响很大。可是问题是,大部分Modem的IP过滤也是软件级的,并不是硬件级的,所以我觉得到底是用Modem的IP过滤还是电脑的防火墙是很明显的事情,用第一种带来的安全保障级别和第二种带来的安全保障级别相差不大(有些专业级别的防火墙功能比IP过滤好),然而却消耗了Modem的资源,影响了Modem的性能,稳定,寿命。如果您觉得这样做还是不安全,那我只好告诉您,连美国国防部的网络都可以被攻克,就别说我们的网络,我们这样的安全级别配得上我们的身份就好。一般的小毛贼能防就行了,通天大盗也不会找上我们的。
由于时间关系,在性能篇中出现的其他没有详细解释的东东(比如NAT,DHCP,SNMP,SNTP)请在本版查找相关帖子获得帮助。由于本人也属于菜鸟飞飞的级别,所以有不讲的不对的地方请各位回帖指正,我会修改,先在这谢谢了。最后,我希望这个帖子能够帮助大家,就像我来这个坛子没多久就得到了版主YES东以及其他热心朋友的无私帮助一样。希望坛子越来越深,深的卧虎藏龙,希望坛子越来越大,大的海纳百川!
注:转载请注明出处。
[ 本帖最后由 samejiejie 于 2007-12-25 22:10 编辑 ] 讲的不错
虽然比较大概了点 哈哈
页:
[1]