【IT168 应用】随着网络应用的日益增多，网络攻击行为也越来越频繁。网吧网络具有流量大、协议种类多、流量复杂等特点，所以对攻击和病毒的防范显得尤为重要。本文通过介绍几种常见的攻击原理，着中分析网吧攻击防范的应用和布局。最初的网关设备中没有对网络进行任何过滤和防治措施，受到攻击时用户出现网速非常慢，时常掉线的情况。后期增加了简单的包过滤防火墙。它可以抵御一些针对固定应用端口病毒的进攻，但是无法实现对Dos攻击和一些探测类flood攻击的抵抗。在一些flood的攻击下，大量网络带宽被攻击流量占用，用户上网速度明显变慢。现在，华为-3COM公司推出AR18-63-1路由器采用包过滤、攻击防范以及安全日志管理等特性构建安全体系。

    一、包过滤防火墙
    一般网吧中存在大量的“冲击波”、“震荡波”等病毒，这类病毒会不断地变化源IP或目的IP进行扫描和发送攻击数据，这会极大地消耗网络设备的资源。笔者曾在一个网吧的实际环境中测试发现56％的上行报文都是“震荡波”病毒的扫描报文。这些病毒一般使用固定的端口，比如TCP/135、TCP/4444、UDP/1434、TCP/5554、TCP/9996等。我们可以通过ACL对匹配这些目的端口的报文进行过滤会大大提高网络设备的安全性。

   此外，在现今的网络上，还充斥着大量的网络扫描。 基于UDP 137, 138 端口的扫描是常见的扫描，UDP 137和UDP138是netbios 的数据报和名字服务。通常情况下，进入到路由器的137和138包是广播包，而路由器在默认情况下是不转发这些广播包的。但在某些情况下，一些扫描工具扫描UDP 137 和UDP138的端口，以图找出主机上的共享文件夹。这种情况下，进入路由器的数据包会是unicast的137和138，而且通常目的地址不停变化。我们可以将这些UDP 137和138的数据包通过ACL 挡断，保护用户和网络的安全。