以下是我本人的方案,基本的思路是:
1、常用端口封堵;2、 重点服务器IP封堵;3、流入、流出数据封堵结合。
现在的运作证明,没有人能突破这个封锁。
一、域名过滤
对所有进出路由器的数据包中,包含下列域名的数据均作丢弃处理:
QQ.COM TENCENT.COM
二、报文过滤
流出过滤:(使用8条规则即可)
1、所有内网IP的UDP4001-4009端口发出的报文全部丢弃。
2、所有内网IP的8000端口发出的报文全部丢弃。
3、所有目标IP为218.18.95.220的报文全部丢弃。
4、所有目标IP为61.144.238.145的报文全部丢弃。
5、所有目标IP为61.141.194.227的报文全部丢弃。
6、所有目标IP为218.17.209.23的报文全部丢弃。
7、所有目标IP为218.18.95.153的报文全部丢弃。
8、所有目标IP为218.18.75.171的报文全部丢弃。
流入过滤:(使用6条规则即可)
1、所有从外部发往内部网络中目标端口为UDP4000-4009的报文全部丢弃。
2、所有从外部发往内部网络中目标端口为433的报文全部丢弃。
3、所有从外部发往内部网络中目标端口为UDP8000的报文全部丢弃。
4、所有从218.18.95.220(端口80)发往内网端口80的报文全部丢弃。
5、所有从218.18.95.220(端口443)发往内网端口443的报文全部丢弃。
转载地址:http://www.net130.com/CMS/Pub/network/network_security/2007_05_20_483.htm
