1.定期扫描
定期扫描现有的网络主节点,清查可能存在的安全漏洞,对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽,是黑客利用的最佳位置,因此,对这些主机本身加强安全是非常重要的。而且,连接到网络主节点的都是服务器级别的计算机,所以定期扫描漏洞就很重要。
2.过滤没用的服务和端口
可以使用Inexpress、Express、Forwarding等工具过滤不必要的服务和端口,即在路由器上过滤假IP。如CEF(Cisco Express Forwarding)可以针对封包Source IP和Routing Table做比较,并加以过滤。只开放服务端口,成为目前很多服务器的流行做法,例如,WWW服务器只开放80而将其他所有端口关闭或在防火墙上做阻止策略。
3.检查访问者来源
使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法,检查访问者的IP地址是否是真,如果是假的,它将予以屏蔽。许多黑客攻击常采用假IP地址方式迷惑用户,很难查出它来自何处。因此,利用Unicast Reverse Path Forwarding可减少假IP地址的出现,有助于提高网络安全性。
4.过滤所有RFC1918 IP地址
RFC1918 IP地址即私有网络地址分配,是内部网的IP地址,像10、172、192.168开头的这些IP,可以把这些IP通过访问控制禁止,等于私有IP就不能通过了。但如果要是接入层,设置了过滤这些IP,就都上不了网了。
其实个人设置ddos防护是比较费力的,效果也不一定好。建议使用西部数码的ddos高防服务,让网络安全有保障。详情链接点击西部数码ddos高防。
