建议您在设定防火墙功能时,最好具备有tcp/ip 的基本概念及相关的网络设定经验。
(1) 基本设定basic settings
这个网页提供防火墙功能的基本设定,包括有:
激活防火墙功能:当您激活防火墙功能时,lan-to-wan 的预设34联机功能为正常,而所有wan-to-lan、dmz-to-lan 存取将会被拒绝。
一分钟内允许tcp 联机次数:为避免骇客以不完整的tcp 封包攻击主机,因此当特定ip 一分钟发送二十次以上不完整tcp 请求封包时,该ip 位置将会被锁定禁止联机。
dos 攻击自我保护时间:当防火墙侦测到任何的dos 攻击时,它会自动保护您的局域网络,拒绝来自网际网络上任何新的tcp 联机请求,预设时间是5 分钟,您可以在「dos 攻击自我保护时间」字段中修改时间
允许tcp/udp 139 连接口:防火墙允许netbios 联机在通过局域网络时使用tcp/udp 139 连接口,您可以在「允许tcp/udp 139连接口」选项中选择「是」,激活这项功能。但某些dos 攻击,像是winnuke,也会使用这个连接口攻击windows 系统的计算机,基于安全考量,建议不要单独开启此功能。
允许广播讯息:某些网络服务采用广播形式进行讯息传递,如vod(vedio on demand)或是线上广播等,若您所使用的服务采用广播类型,您必须将「允许广播讯息」激活,才能正常使用。
ip source routing:允许来源ip 透过roter 进行routing。
远程管理功能:宽带防火墙路由器还具备远程管理功能。您可以选择打开「远程管理功能」,让网络管理者可以自远程网际网络上的ip 位置,用浏览器联机,登入到路由器的管理网页进行管理。
为了安全考量,强烈建议除非必要请勿单独激活「远程管理功能」。
当「远程管理功能」激活时,会与局域网络内的web server port 80冲突,您必须择一变更port no.,才能正常使用。
响应网际网络ping:您也可以设定路由器对于其它网际网络主机ping 请求的响应,尤其当您不在路由器旁边却又必须确认路由器是否正常时,这个工具会相当有用。
当防火墙功能激活时,「远程管理功能」与「响应网际网络ping 」两项功能仍可激活。
(2) 存取规则auess rules
您可以从网页上设定存取规则,评估网络资料的来源ip、目的ip以及通讯连接口,以决定是否让资料通过防火墙。存取规则一共有二种模式,包括「lan to wan」、「wan to lan」。
您在这边的设定将会定义在spi 的存取规则当中。
您可以根据所使用的通讯协议类型(tcp、udp、icmp 或any)、来源ip 位置、目的ip 位置、通讯口等资料,设定存取动作正常或是拒绝,新增规则后选「储存」,再执行「应用」即可。
网络存取规则是一项威力相当强大的工具,使用时可能会导致防火墙功能失效、造成防火墙安全漏洞或是使所有网络接取无效的状况,因此在制订规则时请格外小心。
网络存取规则不能隔绝dos 攻击,或像是synflood、ping ofdeath、port scan 等破坏,但有可能造成应用程序容易被攻击或破坏的漏洞。
(3) 网页存取规则content filter
您可以在字段中输入网址或是关键词,局域网络内的计算机将无法存取相关的站台资料。
例如您输入www.myweb.com,这个站台内所有的资料将无法被读取,您输入sex,所有名称内包括sex 的网址都将无法存取。
(4) e-mail 通知
此内建事件纪录器纪录相关网络状况,管理者可以在线上读取相关文字叙述或是依网络管理者需求以e-mail 方式告知,即可主动得知像dos 攻击等高度优先讯息。
当路由器受到dos 攻击时,系统将会立刻将讯息寄送给纪录中的e-mail 信箱。一旦资料寄出后,系统会将该资料自动从路由器上清除。
(5) 事件纪录event log
这个网页会纪录路由器相关的登入及攻击纪录。
按「寄出」时,路由器会将纪录自动寄发到「e-mail 通知」网页中所设定的e-mail 帐号,若您在网页中未设定e-mail 帐号,这个功能将会无效。