vigor的防火墙设置主要包含数据包过滤,拒绝服务(dos)防御和url(universal resource locator,统一资源定位)内容过滤工具。防火墙功能不仅帮助保护您的内部网络免受来自外部的攻击,它也提供了一种方法来限制本地网络的用户访问internet。并且,它能够过滤掉一些特殊的数据包,防止它们触发路由器进行拨号连接。
数据包过滤功能包含两种类型的过滤:呼叫过滤和数据过滤。呼叫过滤用于那 些企图建立一条从局域网端到internet的连接的用户。在wan连接已经建立的时候,数据过滤用来决定哪些种类的的ip数据包被允许通过路由器。
从概念上讲,当一个外出的数据包将要被路由到wan时,ip过滤将决定该数据包是否应该被转发到呼叫过滤或数据过滤。如果wan链接还没建立,数据包将进入呼叫过滤。如果该数据包不被允许触发路由器拨号,它将被丢弃。否则它将发起一个连接来建立wan连接。
如果wan链接已经建立,数据包将通过数据过滤。如果该数据包类型被设置为阻挡,该数据包将被丢弃。否则它将被发送到wan接口。相反地,如果一个数据包从wan接口进入,它将直接通过数据过滤。如果该数据包类型被设置为阻挡,它将被丢弃。否则,它将被发送到内部网络。过滤结构如图7-1所示。
在启用防火墙功能的ip过滤前,用户必须创建一个组,这个组包含许多过滤规则。过滤规则可以链接到子组中以便进行进一步的过滤处理。这些组将排列并维护过滤规则。您必须选择一个起始组并指派其它组作为下一个组,或在过滤规则里分支到另一个组。原理如图7-2所示。
7.2 防火墙设置概述
以下部分将介绍如何配置防火墙。在web配置界面点击防火墙;您可以看到ip过滤,dos和url过滤。
首先您必须在ip过滤] 组列表里创建至少一个组。然后您就能够启用数据过滤并在基本设置里选择起始过滤组。dos防御功能能够侦测并减轻dos攻击。url过滤提供了阻挡不恰当网站的能力以保护在学校或家里的小孩。
7.3 ip过滤设置
以下部分详细解释了ip过滤功能。
7.3.1 基本设置
7.3.2 组列表设置
点击“组列表”,将显示以下页面。
点击“添加”以添加一个新的组。在“组名称”,“下一组”和“注释”栏里填入相应的信息。然后点击“应用”以保存设定,或点击“取消”以放弃设定。
点击“应用”以完成设定。
点击“编辑”以修改ip过滤表格配置,您就能更改该屏幕的任意设定。
在编辑模式下用户不能修改组名栏。
点击“应用”以完成设定。
点击“删除”以移除ip过滤表格配置里的一个组。
如果该条目已经被指定为启动组,我们就不能删除该条目,除非我们在基本设置页面里关闭数据过滤功能。
7.3.3 添加过滤规则设置
点击防火墙-]ip过滤-]添加过滤规则
(操作符)
操作符列指定了端口号的设定。如果起始端口是空的,那么起始端口列和结束端口列都将被忽略。过滤规则将过滤掉任意端口号。
= : 如果结束端口是空的,那么过滤规则将把起始端口设为端口号。否则,端口号将在起始端口和结束端口范围之间。(包含起始端口和结束端口)。
!= : 如果结束端口是空的,端口号将不等于起始端口的值。否则,端口号不在起始端口和结束端口范围之间。(包含起始端口和结束端口)。
]: 指定端口号大于起始端口的值(包含起始端口)。
[ : 指定端口号小于起始端口的值(包含起始端口)。
注意:不要忘记点选“启用”复选框以启用该规则。
7.4 拒绝服务攻击设置
dos防御功能帮助您侦测并减轻dos 攻击。那些攻击包括淹没类型的攻击和弱点攻击。淹没类型的攻击企图耗尽您系统的资源,而弱点攻击试图通过攻击协议或操作系统的弱点以使系统瘫痪。
点击dos条目,将显示以下页面。
dos防御机根据攻击信号数据库检查每一个进入的数据包。任何可能使安全区域里的主机瘫痪的数据包将被阻挡。dos防御机也监控传输行为。任何违反dos配置的异常状况将被报告,相应的防御功能将被执行以减轻攻击。
以下描述将更详细地说明如何用web配置工具设置dos防御。它是ip过滤的子功能。总共有15种防御功能用于dos 防御设置。默认地,dos防御功能是关闭的。
此外,一旦dos防御功能被启用,在某些功能里存在的threshold和timeout值默认被分别设置为300数据包每秒和10秒。对dos防御功能里每个条目的简短描述如下所示。
点击应用以完成该设定。
7.5 url过滤设置
7.5.1介绍
internet 包含广泛的资源,其中一些资源可能是攻击性的,在某些国家甚至是违法的。不像传统的媒体,internet 没有任何明显的工具来隔离基于url字串或内容的资源。url内容过滤系统被视为一种工具,它为了限制访问一些特殊的资源将提供等同于物理隔离的网络空间。通过评定一个站点为“令人讨厌的”,并拒绝把它显示在用户的电脑屏幕上,url内容过滤工具可以被用来防止小孩看到一些他们的父母认为是“令人讨厌的”资源。在阻止访问方面,url内容过滤工具担当自动化形式的便利店职员,他们拒绝向中学生出售成人杂志。url内容过滤工具也被企业用来防止员工访问与工作无关的或被认为是不恰当的internet资源。
url内容过滤这个名称来自检查url字串的内容。传统的防火墙检查数据包区域基于tcp/ip首部,而url内容过滤检查url字串或tcp/ip数据包的负载。在路由器里,url内容过滤工具检查url字串和一些藏在tcp数据包负载里的http数据。
7.5.2 url内容过滤概述
这一系列的宽带安全路由器里的url内容过滤工具根据关键字列表检查从内部发起的http请求里的每个url字串。如果整个或部分url字串(譬如,http://www.draytek.com, 如图7-12 所示)匹配任意启用的关键字,与它关联的http请求将被路由器阻挡。任何尝试检索恶意代码的请求都将被系统丢弃。
url 内容过滤工具防止用户访问不恰当的web 站点,它们的url字串被识别为禁止访问的。
注意在您访问一个web页面之前,您必须首先清除您的浏览器的缓存,以便url内容过滤工具能正确地工作。
7.5.3 url内容过滤配置
以下部分介绍了用于设定url内容过滤工具的web配置,包括特殊的配置信息和它们具有的任何限制。
路由器支持的url内容过滤工具由url接入控制,ip地址接入控制,限制web功能,例外网络类别,和过滤时间表功能组成。url接入控制的目标是控制访问web站点的权利,方法是根据用户定义的关键字检查url字串。限制网络功能是要阻挡隐藏在web页面里的恶意代码,譬如java applet,active x,cookies,代理服务器, 压缩文件, 和可执行文件。为了控制使用带宽,它也能阻挡所有从web页面下载的多媒体文件。
ip地址接入控制这个功能被用来防止那些不适当的站点,可以通过在url地址栏里直接使用ip地址访问,即使它们的url字串匹配用户定义的关键字。例外网络类别这个功能允许管理员指定某一个组的主机不受url接入控制的限制。这个组的主机可以被定义为一组ip地址或子网。最后,路由器支持过滤时间表功能以控制什么时候应该执url内容过滤工具。现在,让我们继续阅读每个项目用法的具体描述。
点选url 过滤项目,将显示以下页面。
7.5.3.1 url 接入控制设置
实例– 如果您想要过滤任何url字串包含“sex”, “fuck”, “gun”, 或“drug”的web站点,您应该将这些关键字添加到框架里。所以,如果web站点关联的url字串里包含任何一个列表里的关键字,系统都将自动拒绝对它们的访问。考虑用户尝试访问www.backdoor.net/images/sex /p_386.html的情况,路由器将断开此连接,因为该站点是被禁止的。但是,用户可以访问web站点www.backdoor.net/firewall/forum/d_123.html. 此外,url内容过滤工具也允许您在阻挡关键字列表里指定一个完整的url字串(譬如,“www.whitehouse.com” 和“www.hotmail.com”)或url字串的一部分(譬如, “yahoo.com”)。因此,路由器将识别被禁止的url并通过切断相应的连接来为这些web站点执行阻挡动作。
7.5.3.2 约束网络特征
提供保护机制以禁止从web页面下载恶意代码将是很有价值的。这些恶意代码可能嵌入在某些可执行对象里,譬如activex, java applet, 压缩文件, 可执行文件, 代理服务器, 和多媒体。如果它们已经从网站上被下载下来,将给用户的系统带来威胁。譬如,activex对象可以从web页面被下载和运行,如果该activex对象本身存在某些恶意代码,它可能会拥有对用户的系统不受限的访问。
7.5.3.3 过滤时间表设定
指定何时执行url 内容过滤工具。
7.5.4 警告信息
当一个http 请求被拒绝,您的浏览器将显示一个警告页面,如下图所示。
7.6 绑定ip到mac设定
该功能用来将局域网内的ip地址和mac地址进行绑定,以便对网络加强管控。当启用该功能后,如果修改ip 或mac 地址,将无法上网。
对于此功能,vigor3300b+最多支持300组的绑定设定。
点击防火墙菜单,并点击绑定ip到mac打开配置页面。
可以使用手工输入的方式来输入ip,mac地址的绑定。
对于大量的添加时,手动输入的效率就很低,因此可以使用批量添加的功能,在所有电脑都联网的情况下,arp 表会记录所有ip的arp信息,在列表中全选,然后点击“添加”就可以一次性添加所有的ip mac信息。
在选择强制绑定之前,请至少先绑定一台pc的ip mac信息,否则,任一pc都会无法上网,并无法进入路由器配置页面。