|
|
LBHIDDEN[0]LBHIDDEN[这个贴子最后由alanlql在 2004/04/22 07:01pm 第 1 次编辑]
[watermark]最近的断流问题,使大家忙得不亦乐乎。但是我认为这里存在几个误区,在这里提个醒,免得大家劳而无功。首先指出的是,以下观点都是我个人的看法,没有经过更深一步的考证。如有不对之处,请各位大侠及时指正,免得误人子弟。嘿嘿
误区1:刷FW
这个本来不属于配置的范围,但我认为这是对安全性配置不了解而引发的操作,所以在此提出。也因为这个操作搞不好会影响MODEM的使用,所以放在第一个提出。
我个人认为,刷新FW只有在明确知道使用的FW存在问题,或者实在找不出其他办法的时候比较合适。比如,当我们的配置已用正确的方法保存后,系统掉电重启后还是需要重新设定;在正常登录MODEM的WEB进行配置,此时广域网端口未正常连接,基本可以排除存在功击的可能性,而MODEM也会莫明其妙地当机;或者点击标签后得不到我们需要的WEB页,在确保PC没有病毒,重启PC后还是老样子;或者已经明确该版本的BUG影响使用,等等等等。总之不到万不得已,不要轻易升级FW。但是,如果确实想试试某些新FW的新功能,或者为了测试目的,手头上又有备货,经常刷个不同的版本FW试试也未尚不可。不过这也不能随便乱刷,必竟刷坏了损失是自已的。再说,新的FW往往存在未知BUG,要等大家使用后才能知道,而且反馈给软件厂商的才能在再次更新的版本中排除。
刷新用的FW最好是原厂提供的。虽然本人也在ASUS 的G3上使用着Solwise SAR130的FW,但我还是认为尽量不要这么做。不同芯片组的FW不能混用,这一点不用我说大家都知道,但是FW必竟和硬件的关系很紧密,即便FW本身没问题,硬件也没有故障,不配套的软、硬件放在一起可能会使某些功能不能正常工作,甚至由此造成当机、断线、效率得不到提升。
有些朋友在升级了FW后不再断线了,这不是因为新的FW才不断线,而是新的FW在缺省配置时加上了防止功击的相关规则而已。
误区2:改端口
大家都知道最近的断流是因攻击而起,因而纷纷改了MODEM各个服务的守护端口,以为这样别人就不能攻击到自已的MODEM了。
实际上标准端口号只是为了使用上的方便而规定的,不具有任何其他的意义,使用标准端口对正常访问相应服务带来了很大的方便,而不使用标准端口对于安全性没有任何意义。试想想,现在因特网上端口扫描程序随随便便就可以下一个,只要找到了端口号,随后的攻击行为一般是试探性的,即使攻击者在经过了若干次试探后没有得到何结果,但这时MODEM已经受到攻击,更何况一般的攻击行为都会利用标准应用的安全漏洞,功击者会使用同一方法对不同端口实施攻击。正确的方法应该是将不安全的访问禁止掉。
也许有人会问,改端口这个功能有什么用呢,为何要在MODEM上放置这个功能。实际上,这个功能只有在我们已经利用ADSL建立了一个WEB访问网站,同时又有必要在因特网上访问ADSL路由器的WEB界面对MODEM进行配置的情况下才有用。因为不可能在一个IP的同一个端口上绑定二个服务。实际上,如果使用非标准端口建WEB服务,也不需要改MODEM配置服务的端口号。
误区3:将80、23、21等口NAT到一个不存在的IP上,或者干脆使用BIMAP
首先我不是很喜欢BIMAP这个功能,如果不是出于调试目的,也不是万不得已,我是不会使用BIMAP这个功能的。因为这种方式下的安全等级与桥接方式下用PC拨号软件建立连接基本相同,除非在PC上再用防火墙软件,否则没有安全可言。而在我的观念中,WINDOWS不是一个非常健壮的系统,在网络应用软件与通信底层软件之间插入一个防火墙,我不认为这种做法很合适。更何况,防火墙软件功越来越复杂,而很多附加的功能不是很有用,造成系统资源的不必要浪费,使用系统变得越来越慢。如果是使用小猫拨号,我更喜欢用W2K、XP自带的简易IP过滤功能。
将服务端口NAT到不存在的IP上的缺点在于,当外来数据包访问这个端口时,会建立一个NAT表项,这个表项即使用没有被使用,也要等到超时后才被删除。如果恶意来访者不断发送连接数据包,或者多个IP地址同时发包到MODEM,则MODEM同样会因为NAT表溢出而断流、当机。
如果从资源的角度分析,如果来访的数据包的目标端口在MODEM上没有服务程序守护,又没有哪条NAT配置项与此数据包相匹配,MODEM基本上在不消耗任何资源的情况下就将数据包拒绝了。
从效率上来说,象ADSL MODEM这样软硬结合的防火墙总比纯软件的防火墙效率高,而且ADSL MODEM的防火墙具备防火墙的一个重要特征:不可穿透性,纯软件防火墙就不可能做到为一点。
[/watermark] |
|
/1 
44152102000001
发表于 2004-4-22 18:39:25
发表于 2004-4-22 19:01:33
