总是需要一些温暖。哪怕是一点点自以为是的纪念。 注册 | 登陆
浏览模式: 标准 | 列表2009年02月的文章

网络安全应用不求人


      DNS代理故障
读者KAIX:公司网络内有一台拨号服务和一台域管理服务器,在拨号时使用ping命令,总是发生丢包现象。取消DNS代理后,情况马上恢复正常。QQ连接使用正常,但网页打不开。请问,这可能是什么原因造成的?既然取消DNS代理后问题得以解决,估计是DNS代理或选择的DNS服务器有问题。实际上,不管使用何种代理服务器或防火墙,只要允许DNS端口通讯,就可以直接使用外网的DNS服务器,而无须使用DNS代理。另外,既然QQ可以连接,只是不能访问Web网站,说明Internet连接没有问题,而故障的原因,自然就是DNS解析故障。事实上,QQ可以直接指定服务器的IP地址,而无需经过DNS解析。上网导致死机 读者风光:我的电脑是ADSL上网。不上网时工作正常。只要一上网,电脑很快就会死机。只能按Reset重启。电脑是TCL锐翔K3681。Modem是华为SmartAX MT800。系统是Windows XP,用星空极速2.0客户端,重装系统和网卡驱动也没用。应当如何解决?导致电脑死机有很多种原因。
建议采用以下方法进行判断:
第一、先让ADSL拨号连接到ISP,但不打开IE,也不运行QQ之类的Internet应用软件。如果能够稳定运行,而不会死机,说明Internet连接没有问题。
第二、如果只要ADSL拨号就死机,说明是ADSL与计算机不兼容。可能是网卡或ADSL硬件故障,也有可能是PPPoE协议或驱动程序软件故障。可以采取的措施包括:
* 卸载星空极速2.0客户端,使用Windows XP内置的ADSL拨号程序。
* 将ADSL设置为路由方式,而不采用虚拟拨号方式。
* 更换网卡插槽,或更换新的网卡。
* 更换ADSL Modem。
第三、如果在打开Internet Explorer并浏览网页时死机,说明是Internet Explorer或操作系统有问题,建议重新安装或修复系统。
第四、也有可能是感染了蠕虫病毒,建议安装系统补丁和病毒防火墙。
无法显示自定义表情
读者ajksd:我的QQ在发送或接收自定义表情时会出现“卡机”现象,过几分钟后就好了。不过,自定义表情和图片对方仍然收不到,别人发过来的也打不开。将天网和Windows自带的防火墙关掉以后,再试仍然不行。可能是什么原因?应当如何解决?导致该故障的原因可能是Internet连接速度太慢,建议更换Internet接入方式或者Internet共享方式。当经过2级以上的代理服务器或宽带路由共享Internet连接时,将无法收到并显示图片。可以更换ADSL或小区宽带等宽带Internet接入方式,或者取消2级以上代理的连接共享方式,甚至试着直接拨号上网。如果问题解决,说明是上网方式的问题。
被恶意网站修改主页
读者diker:有一次通过搜索链接到了某个网站后,该网站就自动成了我的主页,连Internet选项中的主页项也变成了这个网站,并且灰化了。我用QQ聊天时,每次开始和人聊,就会现有这么一段话“你为什么要骂我?我哪里惹你了?我希望你对你的留言负责。你自己来给我解释,hxxp://恶意网站的URL”。后来,采用手动修改注册表的方法,修改了

HKEY_LOCAL_USER\Software\Microsoft\InternetExplorer\Main中的StartPage键值名(用来设置默认首页),仍然无法解决。应当如何处理?
导致该故障的原因是感染了脚本漏洞病毒,可以使用新版本的Symantec、KV2005来清除,或者借助3721的上网助手(hxxp://www.3721.com)来解决。由于许多病毒都在自动运行键值中设置了注册表恢复,因此,仅仅修改上述键值是不够的,还必须查看并修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项,删除不必要的应用程序。另外,建议将Internet Explorer升级至6.0 SP1,并且更新系统的补丁。需要注意的是,如果系统是Windows 98,一定要升级到Internet Explorer6.0 SP1,如果系统是Windows2000/XP,则一定要及时升级系统补丁。作为一个临时解决方案,可以用“记事本”程序修改c:\WINDOWS\system32\drivers\etc\hosts文件,在里面添加如下一行:127.0.0.1 恶意网站的URL 或者把其中的127.0.0.1换为其他默认主页的IP地址。

帮您轻松封杀不良站点


      [zt]   欲善其事,必先利其器。先给大家讲一点Windows的知识,在Windows中有个叫Host的文件(如果你的操作系统是Windows 98,就到c:\Windows目录中去找,如果是Windows 2000,就到c:\Windows\System32\DRIVERS\etc目录中查找),“host”这个英文单词本身就是主机的意思,这个文件保存的是域名与IP地址之间的映射内容,也就是某个IP地址与某个域名的一一对应关系。   举个例子说吧,当你的在IE浏览器的地址栏中输入“http://www.yesky.com”(不包括引号的)回车后,IE就会先到本机的这个HOST文件中查找有无与“www.yesky.com”这个域名相对应的IP地址,有的话就直接将其解析为类似于“219.239.88.233”格式的IP地址并访问其上的index.htm文件,其实仔细的看的话,你就会IE左下角看到这个IP地址,不过是一闪而过。如果HOST文件中没有这个映射的话,IE就会向DNS进行进一步的查询。  在Internet上有成千上万个DNS,他们的作用都一样,即都保存着类似于HOSTS这样的文件群,查到后就与刚才说的一样了,查不到的话就说明你所输入的域名还未申请,IE就会返回“Http 404”错误,就是网页找不到那个提示。  好,说了这么多基础知识,我们就开始正式的讲今天的主题了,就是利用本机的HOSTS文件的功能来实现对不良站点的屏蔽作用,进而把不良站点引入黑名单里。首先我们在刚才找到的HOSTS文件上右击鼠标,选择“打开”,在“打开方式”对话框里选择“记事本”程序(因为HOST文件的图标是Windows所不认识的,但其实质是文本文件,这样做的目的是防止用户随意更改)上面的一大堆就不用细看了,观察下面的一行,有一行是这样写的:“127.0.0.1 Localhost”(要注意中间必须用空格的啊),开头的“127.0.0.1”就是一个IP地址,不过它很特殊的,代表的意义是“localhost”,就是“本机”的意思,也就是操作者当前使用的机器,然后我们在这行后面回车,并按照这个格式再输入“127.0.0.1 www.xxx.com”,并存盘退出,再到IE地址栏中输入“http://www.xxx.com”这个地址并回车,想想,会出现什么事情呢?也许你猜对了 ,是的,就是此时IE就不能再把你带到这个域名所对应的真正IP地址中去了,而是把你拐带到“127.0.0.1”这个IP地址中去了,就是说你转了一个圈子又跑了回来了,是不是知道了?这样操作不就把不良站点给屏蔽掉了吗?  好的,再起一行,接着输入“127.0.0.1 www.yyy.com”等映射,就会把所有的不良站点域名统统的都映射成一个IP地址---127.0.0.1了 ,这样的话,以后不管你在本地计算机用IE浏览器访问已经被你列入了黑名单的哪个站点,IE都会叫你在自己家门口转,进不去是肯定的。  笔者把自己知道的不良站点域名一一加入到了HOSTS文件后,再把它COPY至每一个工作站的响应目录中并严格保护。事实证明,效果十分好。  这个法子很适合家庭,学校,或者网吧,希望各位家长,老师,网管能管理好自己的“一亩三分地”,因为现在的不量站点实在是太可恶了 ,所以必须制止住。不过吗,这个也有一点不好的地方,就是我们不可能一次把所有的不良站点都给屏蔽了,因为我们谁都办法知道所有不良站点的域名。但我认为瑕不掩瑜,只要大家时刻更新,勤动手,时刻更新HOSTS这个文件就行了。因为毕竟这个不需要我们花费银子就可以达到目的的啊。

          

          

            

          

          

实例介绍以太网MAC地址的获取更改应用


      

                        以太网MAC地址唯一地标识了世界上的每个以太网设备。每一个生产网络设备的厂商都要将MAC地址预先写进其设备中(如:以太网网卡,路由器,交换机等)。各种媒体已有很多文章介绍获得MAC地址的方法。今天我们主要讨论怎样在Cisco的IOS获得、改变MAC地址,并使用MAC地址进行网络通信过滤。



获得MAC地址

在交换机的命令输入窗口,输入“show mac-address-table”可以获得MAC地址表,例如:











Switch# show mac-address-table

          Mac Address Table

-------------------------------------------



Vlan    Mac Address       Type        Ports

----    -----------       --------    -----

All    0014.1c40.b080    STATIC      CPU

All    0100.0ccc.cccc    STATIC      CPU

All    0100.0ccc.cccd    STATIC      CPU

All    0100.0cdd.dddd    STATIC      CPU

   1    000f.1fd3.d85a    DYNAMIC     Fa0/14在思科路由器上,可以使用“show interfaces”来查看MAC地址。例如:











RouterB# show interfaces

Ethernet0/0 is up, line protocol is up

Hardware is AmdP2, address is 0003.e39b.9220 (bia 0003.e39b.9220)

Internet address is 1.1.1.1/8在第二行,可以看到:“bia 0003.e39b.9220”,bia即“烧录地址”(burned in address),MAC地址即0003.e39b.9220。



改变MAC地址



改变MAC地址实质上其否定含义就是MAC欺骗。特别是对于无线网络的攻击,改变MAC地址是常用的方法。改变MAC地址也可以用于合法的用途,如测试MAC过滤。



要改变设备在路由器上的MAC地址,需在Interface Configuration Mode(界面配置模式)下,使用“mac –地址”命令。例如:











RouterB# conf t

Enter configuration commands, one per line.  End with CNTL/Z.

RouterB(config)# int e0/0

RouterB(config-if)# mac-address 0000.0000.0001

RouterB(config-if)#^Z

RouterB#

RouterB# show int e0/0

Ethernet0/0 is up, line protocol is up

Hardware is AmdP2, address is 0000.0000.0001 (bia 0003.e39b.9220)

Internet address is 1.1.1.1/8在改变MAC地址以后,可以使用show interface命令来查看新的地址。



基于MAC地址的通信过滤



通过协议分析仪,可以发现一些网络中某些设备非正常的数据通信。例如,某设备通过多个IP地址发送数据包。

这种情况,可以使用show mac-address-table命令来查看它所使用的交换机端口,并可以关闭此端口。但是,如果此端口连接的是一个集线器,而集线器又连接了许多其它设备那该怎么办呢?

有一个方法便是使用MAC地址过滤来对路由器或交换机的数据通信进行过滤。下面是一个例子:











Cat3750Switch(config)# mac access-list ext filtermac

Cat3750Switch(config-ext-macl)# deny host 0000.0000.0001 any

Cat3750Switch(config-ext-macl)# permit any any

Cat3750Switch(config-ext-macl)# exit

Cat3750Switch(config)# int g1/0/40

Cat3750Switch(config-if)# mac access-group filtermac in此命令在Cisco Catalyst 3750 Gigabit Ethernet switch交换机上完成。我们创建了一个名为“filtermac”的ACL(访问控制表)。这个ACL拒绝了与源地址为0000.0000.0001(十六进制非二进制)的所有数据通信,但是却允许其它地址的数据通信。将这个ACL运用到界面1/0/40,这就防止了拥有这个MAC地址的设备与本端口的数据通信,而不管它的IP地址是什么。

但是,不管怎么说,MAC地址过滤并非安全措施,因为他人可以轻易地改变MAC地址。

严守七道关口 保证Web数据库的安全性


      

                        关于网络数据库里一些商业数据被盗窃后公布于网上;公司商业网站的产品价格数据又被恶意修改……类似这样的案例,在网上搜索了一下,实在不少。其原因只有一个,就是来自网络上对Web数据库攻击。那么,在Web环境下的数据库是否能有足够的安全为企业服务呢?答案是肯定的。

Web数据库是基于Internet/Intranet的应用系统,由于互连网开放性和通信协议的安全缺陷,以及在网络环境中数据存储和对其访问与处理的分布性特点,网上传输的数据容易受到破坏、窃取、篡改、转移和丢失。这些危害通常是对网络的攻击引起的。到现在,针对Web数据库的应用级入侵已经变得越来越猖獗,如SQL注入、跨站点脚本攻击和未经授权的用户访问等。所有这些入侵都有可能绕过前台安全系统并对数据库系统攻击。如何保证Web数据库的安全性已成为新的课题。

第一关、对用户安全管理

Web数据库是个极为复杂的系统,因此很难进行正确的配置和安全维护,当然,必须首先要保证的就是数据库用户的权限的安全性。当用户通过Web方式要对数据库中的对象(表、视图、触发器、存储过程等)进行操作时,必须通过数据库访问的身份认证。多数数据库系统还有众所周知的默认账号和密码,可支持对数据库资源的各级访问。因此,很多重要的数据库系统很可能受到威协。用户存取权限是指不同的用户对于不同的数据对象有不同的操作权限。存取权限由两个要素组成:数据对象和操作类型。定义一个用户的存取权限就是要定义这个用户可以在哪些数据对象上进行哪些类型的操作。权限分系统权限和对象权限两种。系统权限由DBA授予某些数据库用户,只有得到系统权限,才能成为数据库用户。对象权限是授予数据库用户对某些数据对象进行某些操作的权限,它既可由DBA授权,也可由数据对象的创建者授予。

第二关、定义视图

为不同的用户定义不同的视图,可以限制用户的访问范围。通过视图机制把需要保密的数据对无权存取这些数据的用户隐藏起来,可以对数据库提供一定程度的安全保护。实际应用中常将视图机制与授权机制结合起来使用,首先用视图机制屏蔽一部分保密数据,然后在视图上进一步进行授权。

第三关、数据加密

数据安全隐患无处不在。一些机密数据库、商业数据等必须防止它人非法访问、修改、拷贝。如何保证数据安全?数据加密是应用最广、成本最低廉而相对最可靠的方法。数据加密是保护数据在存储和传递过程中不被窃取或修改的有效手段。数据加密系统包括对系统的不同部分要选择何种加密算法、需要多高的安全级别、各算法之间如何协作等因素。在系统的不同部分要综合考虑执行效率与安全性之间的平衡。因为一般来讲安全性总是以牺牲系统效率为代价的。如果要在Internet上的两个客户端传递安全数据,这就要求客户端之间可以彼此判断对方的身份,传递的数据必须加密,当数据在传输中被更改时可以被发觉。

第四关、事务管理和故障恢复

事务管理和故障恢复主要是对付系统内发生的自然因素故障,保证数据和事务的一致性和完整性。

故障恢复的主要措施是进行日志记录和数据复制。在网络数据库系统中,分布事务首先要分解为多个子事务到各个站点上去执行,各个服务器之间还必须采取合理的算法进行分布式并发控制和提交,以保证事务的完整性。事务运行的每一步结果都记录在系统日志文件中,并且对重要数据进行复制,发生故障时根据日志文件利用数据副本准确地完成事务的恢复。

第五关、数据库备份与恢复

计算机同其他设备一样,都可能发生故障。计算机故障的原因多种多样,包括磁盘故障、电源故障、软件故障、灾害故障以及人为破坏等。一旦发生这种情况,就可能造成数据库的数据丢失。因此数据库系统必须采取必要的措施,以保证发生故障时,可以恢复数据库。数据库管理系统的备份和恢复机制就是保证在数据库系统出故障时,能够将数据库系统还原到正常状态。加强数据备份非常重要,数据库拥有很多关键的数据,这些数据一旦遭到破坏后果不堪设想,而这往往是入侵者真正关心的东西。不少管理员在这点上作得并不好,不是备份不完全,就是备份不及时。数据备份需要仔细计划,制定出一个策略测试后再去实施,备份计划也需要不断地调整。

第六关、审计追踪机制

审计追踪机制是指系统设置相应的日志记录,特别是对数据更新、删除、修改的记录,以便日后查证。日志记录的内容可以包括操作人员的名称、使用的密码、用户的IP地址、登录时间、操作内容等。若发现系统的数据遭到破坏,可以根据日志记录追究责任,或者从日志记录中判断密码是否被盗,以便修改密码,重新分配权限,确保系统的安全。

第七关、重点在服务器

Web数据库的三层体系结构中,数据存放在数据库服务器中,大部分的事务处理及商业逻辑处理在应用服务器中进行,由应用服务器提出对数据库的操作请求。理论上,既可以通过Web页面调用业务处理程序来访问数据库,也可以绕过业务处理程序,使用一些数据库客户端工具直接登录数据库服务器,存取操作其中的数据。所以,数据库服务器的安全设置至关重要。用IDS(入侵检测系统)保卫数据库安全逐步普及,这种安全技术将传统的网络和操作系统级入侵探测系统(IDS)概念应用于数据库。应用IDS提供主动的、针对SQL的保护和监视,可以保护预先包装或自行开发的Web应用。

木马最新趋势 从大面撒网到重点攻击


      

                        有报告称,木马已不再漫无目的的大量散发蠕虫和病毒邮件,而开始更有针对性的攻击。

英国国家底层安全中心(NISCC)在一份报告中声称:有超过300个政府部门和公司成为邮件病毒攻击的热门目标。这些邮件似乎专门针对商业或经济部门,并收集敏感或有价值的信息,而不是到处蔓延,仅仅为了自我炫耀。这些攻击以木马程序为主,也有指到含木马文件网页的链接。安装后,木马在后台收集用户名、密码、系统信息、并扫描硬盘,向远程黑客的电脑传送数据和文件。“这些带毒邮件的主题通常是收件人感兴趣的新闻。”报告说,“这事实上是个骗局,使收件人误以为病毒来源于值得信任的新闻社或政府部门。” 电子邮件安全公司MessageLabs的马克·森内指出,该报告透露出木马的新趋势,即从发送大量无目的带毒邮件,到向某些特定的有价值目标集中下手。“在以前,人们发现的病毒通常漫无目的的散布大量蠕虫。”森内说,“但是现在的趋势是,病毒开始集中进攻特定的组织,并试图种木马。”去年,MessageLabs发现该类邮件的数量成倍增长。

另一个值得注意的信息是,“窃取信息正在成为木马的主要目的”。杀毒公司Sophos的经理里查德·王说:“NISCC提到的病毒中,一大部分的目的是窃取用户信息。”但是有关方面表示,这种新趋势并没有任何新的技术成分。只要及时升级病毒包,使用最新的杀毒软件,就能有效避免攻击。

动态智能QoS 整合路由器网络安全功能


      2007年4月2日侠诺科技推出了研发已久的“动态智能QoS”功能,让用户能以简单的配置,同时解决一般安全路由器用户需要的带宽管理功能,又能解决带宽使用的动态需求。Qno侠诺着眼于多WAN宽带路由器已为一般中小企业所接受,所以在产品易用度及方便性方面进行改善,推出名为SmartQoS的功能。

侠诺科技营销总监张建清说明:“很多企业用户升级到多WAN路由器,是希望解决带宽升级、网络攻击、占用带宽及网络安全的问题,而不是要学会如何配置各种复杂的路由器功能。‘动态智能QoS’就是基于这个想法开发的功能。QoS是网络服务质量(Quality of Service)的简写,代表用户要的就是稳定顺畅的宽带服务,路由器都可智能化地依情况来完成,用户只要作简单的四五个参数配置即可。”

张建清指出,传统的带宽管理受到一些限制。例如配置参数过多,需要配置很多规则,相对死板,而且耗费处理器能力;用户短期的带宽需要被限制,例如寄送大档案电邮、软件更新等,都会受到限制,造成不便;对于防火墙没有规范到的新式攻击形式,经常是没有发挥作用,造成带宽被耗用。“动态智能QoS”主要配置参数为整体对外带宽大小及单一用户最多可占用带宽大小,路由器就可进行动态的智能管理,突发的带宽需要会被允许,只有真的持续占用带宽的用户会被限制,同时又能提高路由器效能。

虽然配置简单,但“动态智能QoS”结合了联机数限制、SPI包检测、二次惩罚机制等多种先进技术来完成。其中二次惩罚机制也是Qno侠诺首先提出的概念,它容许内网用户短期间占用大带宽,但是若是持续占用,路由器会不断缩小其可使用的带宽,直至无法上网为止。这个机制对于新式攻击软件,可以起到有效管制的作法。

Qno侠诺研发人员表示,“动态智能QoS”功能已在全国不同地区完成测试,受到网管人员的支持及欢迎,主要是因为简化的配置,可以减少很多路由器管理的时间。而且很多网管也反应传统带宽管理规则前后顺序很关键,不能搞错。但是“动态智能QoS”只要一个画面即可完成,可节省很多时间。



附图:显示动态智能QoS功能配置画面,网管只要键入广域网带宽大小及内网用户可占用带宽比例,路由器即可自动完成其它的管制。另外也允许定时机制,可在带宽使用率较高时才启用管理功能,下班时间不需进行带宽管理。

采取措施安全配置 维护路由器的安全性


      

                        如果把企业的计算机网络看作是一个食物链的话,路由器处于这个链的顶端。网络中的不同设备其功能是不同的。客户端请求数据,服务器提供信息,交换机将客户端和服务器连接到一起。但却是路由器管理着网络。因此维护好路由器并保证其安全性是至关重要的,下面谈一下怎样采取措施维持路由器的安全性。

管理路由器从你怎样配置它们开始。如果你没有一个作为基准的配置文档来告诉你怎样具体配置你的路由器,你就需要创建一个。

如果你需要帮助,可以访问National Security Agency's guidelines(http://www.nsa.gov/snac/downloads_all.cfm) 。在这里,你可以得到一些内容广泛的指南,这些指导信息可以提供一个非常好的开始点。

创建和为路由器编制文档会在安全地管理路由器的配置方面为你提供最关键的步骤:安全地装载并存储初始的基准配置是基本要素。

理想情况下,你应该从一个控制台执行初始的配置并将其存储在一个网络驱动器上。最重要的是,不要将其存储在便携式电脑的本地驱动器上。移动计算设备(也就是说,便携式电脑,PDA设备,存储卡等)很易被窃取或丢失,这会损害整个网络的完整性和功能性。

在你装载了配置以后,下一步就是使运行配置与启动配置保持同步。但不要认为一旦路由器启动完成并可在网络上运行就万事大吉了,你需要维护这个配置并定期修改。

有一些管理人员喜欢在线修改,而另一些喜欢脱机修改,然后装载此配置。两者各有益处。

若在线修改,你可以获得即时反馈并能进行语法检查。举例来说,如果你拼错了命令,路由器会发出警告。此外,如果你对路由器作了修改,但却引起了网络故障,你就会立即了解这一点。

另一方面,如果你进行脱机修改,你就可以添加评论并能够使用路由配置编辑器。然而,此方法并不提供语法检查或对修改的反馈。

如果你决定使用脱机配置,确保使用安全的配置传输协议。简单文件传输协议(TFTP)并不是一个推荐的配置传输方法。只要你想配置用户名或口令,文件传输协议(FTP)或者安全复制协议(secure copy protocol)是传输新配置数据的最安全方法。

不管你怎样管理你的路由器配置更新,最基本的一条是你要保存每一次配置并为所有的修改编制文档资料。这允许你以及其他人能够更好地理解这些修改,并能够在出现故障时检查这些修改。

注意:

配置的数据有可能泄漏并有可能进入到他人之手。为防止这样的事件发生,千万不要将路由器的配置信息存储到可移动媒体上。要将其存储在一个网络驱动器的安全文件夹中,此文件夹的安全性用恰当的访问权限来保障。

=============================================

参考文章:David Davis 《Prevent IP spoofing with the Cisco IOS》

使用路由器仍然还需要防“病毒”措施


      

                        如果通过路由器接入互联网,不安装防病毒软件是否安全?是不是应该安装杀毒软件?即便使用路由器接入互联网,也一定要安装防病毒软件。路由器具有地址转换及开闭TCP/IP通信端口的功能。这些功能虽然可防止病毒传播等一些来自互联网的攻击,但其中仍有无法阻止的攻击。

路由器无法完全防止攻击

比如,路由器无法防御邮件附件中的病毒。因为病毒已作为邮件的一部分存入个人电脑。另外,无法检测出从网上下载的软件中包含的病毒。那么,路由器可防止何种攻击呢?互联网上的TCP/IP通信使用全球通用IP地址与联络方的个人电脑等终端交换数据。全球通用IP地址是用户接入互联网时服务提供商分配的IP地址。路由器具有可在多台个人电脑上共享这一通用IP地址的功能(称为IP伪装等,IP Masquerade)。如使用地址转换功能,则可在共用一条接入线路的各个人电脑上使用固定IP(Private )地址。固定IP地址是一种可在不直接接入互联网的lan中自由使用的IP地址,由路由器自动分配。

路由器的安全功能

几乎所有路由器都具有数据包过滤功能,可根据不同的端口号进行数据控制。固定IP不能在互联网中使用(不能路由),要想通过互联网直接访问分配有这种地址的个人电脑非常困难。也就是说,经路由器接入互联网的个人电脑受到外部入侵的可能性很小。另外,TCP/IP通信中还使用了端口号。数据通过IP地址传送至目标个人电脑,但为了分清目标个人电脑中哪个应用软件使用该数据,因此需要使用端口号。一般应用软件使用的端口号都是固定的,路由器根据端口号决定数据的通过或拦截(关闭端口等)。最近肆虐的W32/Msblaster等病毒利用的就是使用特定端口号的软件(服务)中存在的漏洞,因此只正确使用路由器的端口关闭功能可以有效防止此类病毒的感染。