如何關閉路由器不需要的協議

　　在某些特定的網絡環境中，我們可以通過關閉某部分不需要的協議來防御病毒攻擊，增加網絡安全，以華為路由器介紹這部分的內容，以關閉TCP連接為例，關閉其他協議與此類似。

　　一、TCP建立連接的三次握手過程中，一方向另一方發送的第一個報文設置了SYN位，當某台設備接收到一個請求服務的初始報文時，該設備響應這個報文，發回一個設置了SYN和ACK位的報文，並等待源端來的ACK應答。

　　二、如果發送方並不回復ACK，主機就會因為超時而結束連接。當主機在等待這個連接超時的過程中，連接處於半開狀態，半開連接消耗了主機的資源。在等待三次握手過程中耗盡主機資源就形成了SYN攻擊，尤其是將成千上萬的SYN發往某台主機，則該主機將很快崩潰掉。

　　三、在TCP連接請求到達目標主機之前，TCP攔截通過對其進行攔截和驗證來阻止這種攻擊，也就是說，路由器會代替主機進行連接，這時我就需要在路由器上配置TCP攔截來防止這種攻擊了。

　　四、TCP攔截可以在兩種模式上工作：攔截和監視，在攔截模式下，路由器攔截所有到達的TCP同步請求，並代表服務器建立與客戶機的連接，並代表客戶機建立與服務器的連接。如果兩個連接都成功地實現，路由器就會將兩個連接進行透明的合並，路由器有更為嚴格的超時限制，以防止其自身的資源被SYN攻擊耗盡，在監視模式下，路由器被動地觀察half-open連接的數目。

　　五、當一個路由器因為其所定義的門限值被超出而確認服務器正遭受攻擊時，路由器就主動刪除連接，直到half-open的連接值降到小於門限值，有兩個因素用來判斷路由器是否正在遭受攻擊，如果超過了兩個高門限值中的一個，則表明路由器正遭受攻擊，直到門限值已經降至兩個低門限值以下。

　　六、half-open連接總數與每分鐘half-open連接的數量比率是相聯系的。任何一個最大值到達，TCP攔截就被激活並且開始刪除half-open連接，一旦TCP攔截被激活，這兩個值都必須下降到TCP攔截的低設置值，以便停止刪除連接。

　　最後說一下，攔截模式下，路由器響應到達的SYN請求，並代替服務器發送一個響應初始源IP地址的SYN、ACK報文，然後等待客戶機的ACK，如果收到ACK，再將原來的SYN報文發往服務器，路由器代替原來的客戶機與服務器一起完成三次握手過程。