|
|
本帖最后由 Matrix 于 2017-8-3 10:31 编辑
以下结论,基于K2P的固件功能来探讨。当然有些功能可能依旧软路由有了,但是没有集成进来而已。
1.邮件报警
特定的指标(例如CPU占用)到达一定数值一定时间后,触发邮件告警。
2.HOSTS
这个用途很大,企业里面主要可以用来解析内网的域名,也可以做拦截危险连接(恶意软件实验室HOSTS列表),也有很多你懂得用途。
3.TCP DNS
这个可以有效防止劫持,并且大幅度降低解析时间和失败率,提高解析能力和成功率,在阿里,腾讯等公司,早以采用TCP DNS作为主要解析的方式,UDP 53传统成为了备用。
4.虚拟局域网VLAN
这个是必须的功能,VLAN功能在企业网里面是必须的,可以用来更好的管理网络,提高网络整体性能和降低网络风险。
5.GUEST网络随意IP上网(npnp服务支持)
这个用来开放给来宾访问,来宾无论设置任何的IP和网关,都不影响访问外网,但是务必做好内网的安全策略,默认只有WAN权限。
6.增强防火墙的拦截能力
例如DNS 攻击防御、IP 碎片(Fragment) 攻击防御等。DNS 攻击防御控制每个IP每秒最大允许发起的 DNS 请求数,超过部分自动丢弃。用以防止 DNS 请求超出了服务器承载范围,很多中大企业网有专门的自建DNS。
防止外部源路由欺骗:防止攻击者通过自封包和修改网络节点的IP地址,冒充某个可信节点的IP地址,进行攻击。
防止 Smurf DoS 攻击:防止由ICMP应答请求(ping)数据包,来淹没受害主机,或拒绝服务而导致网络阻塞。
SYN Cookie 功能:SYN Flood 攻击发送了大量伪造的TCP连接请求,使得被攻击方资源耗尽,无法及时回应或处理正常的服务请求。
防止 TCP Land 攻击:TCP Land 攻击会产生源端口和目的端口相同的ICMP echo 报文或TCP syn 请求报文,导致主机不断地向自己发送报文,最终导致系统崩溃。通过报文的源地址和目的地址是否相等来判断 TCP Land 攻击。
Proxy ARP 功能:代理ARP能够将一个主机作为对另一个主机ARP进行应答。使得在不影响路由表的情况下添加一个新的Router
7.加强关键词过滤能力
加强对中文关键词,特定后缀等方面的过滤,可以防止随意下载exe,bat等文件。
8.端口镜像
端口镜像可以用来审计用途,也可以方便进行故障时候的问题定位,例如我经常用的科来网络分析系统,几乎大部分的故障都可以直接镜像问题链路到科来系统找到发生原因。
9.加强对UPNP的多线支持能力。
企业很多都是多线接入,并且很多业务需要UPNP支持。
10.加入对syslog日志服务器的支持
系统各类日志和WEB访问记录都可以转发至syslog服务器方便管理和监管。
11.DHCP功能增强
支持自定义分配WINS地址和NTP地址等。
12.增强L2TP.PPTP等远程接入服务功能
例如单独自定义传输和接收的MTU,LCP数据包发送间隔,LCP未响应断开时间,允许VPN客户端之间互访等。
13.加入对OPENVPN的支持
很多企业都已经采用OPENVPN作为异地组网的方式,并且流行趋势明显。
14.加入SSH服务支持
这个用来在非信任网络远程连接路由器,并且可以限制仅允许内网IP或者特定IP连接。
15.SNMP支持(中大型企业)
方便统一网管系统进行管理和监控,不适合小白用户。
16.VRRP协议支持(中大型企业)
防止单一路由崩溃或者故障导致网络瘫痪,不适合小白用户或者初级网络管理人员。
17.动态路由协议(RIP和OSPF)支持
用途懂得人自然懂,不适合小白用户或者初级网络管理人员。
18.IP地理位置信息支持
路由器内所有显示IP的地方均可以支持显示对应的IP地理位置。方便分析和监控。
19.NTP服务强制代理
由于WIN系统内置的NTP服务器位于国外,经常同步失败,为了方便统一时间,可以有该功能,任意IP地址都可以进行全网时间同步。
20.待续
|
|
发表于 2017-8-3 10:15:12
发表于 2017-8-3 10:37:55