路由器對內外網攻擊防御解決方案

路由器的性能要求對於網吧來說也在進行相應提高：首先，越來越多的功能要求以硬件方式來實現；其次，要求路由器采用分布式處理技術，以提高路由處理能力和速度；第三，逐漸拋棄易造成擁塞的共享式總線，采用交換式路由技術，保障網絡的穩定性。下面我們來看看內外網攻擊影響網吧掉線的主要原因：

內外網攻擊造成掉線

網吧經營競爭激烈，有外網的攻擊、同行的搗亂、設備廠商危機銷售式的惡性破壞，病毒的樣本在網上隨手一抓一把，防不勝防。大多數網吧沒有配置昂貴的防火牆，對外網攻擊無能為力，而內網的洪水攻擊等卻又因為上網環境人群復雜。很難排查。主要常見的有以下幾種：

內網洪水攻擊

外網DDOS攻擊

內網病毒及一些軟件大量建立NAT連接，耗盡路由器NAT資源

內網網絡應用大量占用帶寬

具體現象：

現在網絡應用眾多，BT、電驢、迅雷、FTP、在線視頻等，都是非常占用帶寬，以一個200台規模的網吧為例，出口帶寬為10M，每台內部PC的平均帶寬為50K左右，如果有幾個人在瘋狂的下載，把帶寬都占用了，就會影響其他人的網絡速度了，另外，下載的都是大文件，IP報文最大可以達到1518個BYTE，也就是1.5k，下載應用都是大報文，在網絡傳輸中，一般都是以數據包為單位進行傳輸，如果幾個人在同時下載，占用大量帶寬，如果這時有人在玩網絡游戲，就可能會出現卡的現象。

NAT功能是在網吧中應用最廣的功能，由於IP地址不足的原因，運營商提供給網吧的一般就是1個IP地址，而網吧內部有大量的PC，這麼多的PC都要通過這唯一的一個IP地址進行上網，如何做到這點呢？答案就是NAT（網絡IP地址轉換）。內部PC訪問外網的時候，在路由器內部建立一個對應列表，列表中包含內部PC的IP地址、訪問的外部IP地址，內部的IP端口，訪問目的IP端口等信息，所以每次的ping、QQ、下載、WEB訪問，都有在路由器上建立對應關系列表。

現在有幾種網絡病毒，會在很短時間內，發出數以萬計連續的針對不同IP的鏈接請求，這樣路由器內部便要為這台PC建立萬個以上的NAT的鏈接。由於路由器上的NAT的鏈接是有限的，如果都被這些病毒給占用了，其他人訪問網絡，由於沒有NAT鏈接的資源了，就會無法訪問網絡了，造成斷線的現象，其實這是被網絡病毒把所有的NAT資源給占用了。路由器的NAT資源很快就被耗盡，導致了其他正常上網的計算機無法與外網通訊，從而產生網速慢或網絡卡的現象。

路由器對內外網病毒攻擊的解決方案

1、NATEASY路由器基於IP地址限速的功能，可以給整個網吧內部的所有PC進行速度限制，可以分別限制上傳和下載速度，既可以統一限制內部所有PC的速度，也可以分別設置內部某台指定PC的速度。速度限制在多少比較合適呢？和具體的出口帶寬和網吧規模有關系，不過一般來講，最好不要小於40K的帶寬，可以設置在60-400K比較合適。

2、內部PC限制NAT的鏈接數量

路由器提供了可以設置內部PC的最大的NAT鏈接數量的功能，可以統一的對內部的PC進行設置最大的NAT的鏈接數量設置，也可以給每台PC進行單獨限制。

同時，NATEASY路由器還可以查看所有的NAT鏈接的內容，看看到底哪台PC占用的NAT鏈接數量最多，同時網絡病毒也有一些特殊的端口，可以通過查看NAT鏈接具體內容，把到底哪台PC中毒了給揪出來。

路由器對內外網攻擊的防御的分析就是如上敘述內容，路由器從的功能上說存在差異，所以選擇適合的路由是很重要的，本文就作為一個參考幫您解決選購問題。