能够处理IP欺骗攻击的非WiFi网络路由器

Question

我经营一家小公司，通过我的商业互联网帐户处理信用卡销售点交易。

根据信贷处理公司的一些最新规定，他们现在有了一项要求，即在我的业务中使用的硬件必须受到保护，以免受到某些攻击。

以下是具体要求：

“实施反欺骗措施，以检测和阻止伪造的源IP地址进入网络(1.3.4)：为了绕过防火墙，网络攻击者将试图利用网络的内部IP范围来欺骗数据包，使其看起来像是来自内部的请求。在防火墙上启用IP欺骗功能将有助于防止此类攻击。”

我目前正在使用Linksys BEFSX41网络路由器，它有一个基于固件的防火墙。但是，我很难确定"IP欺骗功能“是否已经是Linksys固件的一部分，或者我是否需要为这个功能购买一个新的路由器。到目前为止，我的研究表明，有一些企业级别的思科设备明确提到了这一功能，但它们似乎超出了我的价格范围。

有哪些型号具有这一特点，比企业级设备价格更合理？

我公司的网络是几个工作站、一些网络附加存储、一台打印机和一些销售点设备。在路由器固件上启用了DHCP。

如果我能提供更多的信息，请告诉我。在这个计算领域，我有点天真。

Answer 1

您需要的是一个防火墙，它可以进行数据包检查，从而防止IP欺骗.

。

您的Linksys BEFSX41 (假设v2)“执行”数据包检查，并且可以防止IP欺骗(见数据表)。尽管如此，这个路由器/防火墙是从2004年(超过12岁)开始的，据我所知，这个特定模型没有更新；这意味着它不适合解决当前的威胁。

我推荐pfSense.

这个平台的美妙之处在于，你只需花300美元就可以买到一台完整的硬件设备，如果你有一台备用的PC，你也可以自己制造。有一些YouTube上的视频向您展示了如何做到这一点。

数据包归一化--来自pf过滤文档的描述-- "'Scrubbing‘是数据包的规范化，因此在解释数据包的最终目的地时不存在任何歧义。from指令还会重新组装零碎的数据包，保护一些操作系统不受某些形式的攻击，并丢弃具有无效标志组合的TCP数据包。“

作为一家小企业，我很感激你最大限度的投资并以一美元获得最大的价值。我向我的许多客户推荐了pfSense，我在办公室和家里都亲自使用它。我想你会发现它很有能力满足你的需要。