当宽带用户在享受网络多媒体服务、交互式应用程序或远程学习时，安全一直是他们最关心的问题。vigor路由器的防火墙功能可以帮助您的本地网络防范来自外界的非法攻击。它也可以用于限制本地用户访问internet。此外，它还可以用于过滤掉某些能够触发路由器向外界建立连接的数据包，而在有些时候，这种连接是用户并不需要的。

    最基本的安全观念就是在安装路由器的时候设置用户名和密码，使得只有网络管理员才能访问路由器的配置页面，杜绝其它未经授权的非法访问。

   

    如果您忘了在安装路由器的时候设置密码，您还可以去系统维护里设置您的密码。

   

    防火墙机制

    vigorpro 100路由器提供给局域网以下防火墙机制：

    1 可供用户自由配置的ip过滤规则（call filter/ data filter）

    2 状态包检测（spi）：它能够追踪数据包并能拒绝一切未经许可的主动连接数据

    3 可供用户自由选择的攻击防御功能（dos），以及分布式攻击防御功能(ddos)

    4 url内容过滤器

    5 及时通讯软件过滤

    6 p2p软件过滤

    7 web内容过滤

    8 绑定ip到mac

    ip过滤概述

    根据是否存在internet连接或者wan口状态是连接还是未连接，可以将ip过滤分为两种：一种是呼叫过滤器，另一种是数据过滤器。

    1 呼叫过滤器 - 当路由器没有连接internet时，呼叫过滤器用于检查所有外出的数据流。它将根据用户设定好的过滤规则检查数据包。如果是规则允许的，数据就被允许通过。然后路由器就会“发起一个呼叫”以建立internet连接，并将此数据包发送到internet。

    2 数据过滤器 - 当路由器已经连接了internet时，数据过滤器就用于检查进出的数据。它将根据用户设定好的过滤规则检查数据包。如果是规则允许的，数据就被允许通过。

    下面的流程图用于解释路由器如何处理进出的数据包。

   

   

    状态包检测（spi）

    状态检测是一种工作在网络层的防火墙功能。和传统的状态包过滤不同，它是基于包头信息检测的。状态检测增进了状态机制以追踪穿越防火墙每个连接，并确认它们是有效的。vigor路由器的状态检测机制不仅检测头信息，而且监视连接状态。

    即时消息(im) 软件和点到点软件阻挡

    当各种即时聊天软件的不断涌现并逐渐流行起来的时候，通讯就变得不那么容易了。然而，当一些行业以此做为联系客户的一种利器时，另一些行业则因为要减少他们的雇员在上班时间滥用这些工具而影响正常工作或者不知名的安全漏洞，而对此持保留态度。因此，vigor路由器中提供该功能，可以让管理员通过简单的选择来实现对即时消息软件的阻挡和通过。

    同样，通过p2p软件阻挡，可以避免bt，电驴等软件大量使用给企业网络带来的低效。

    拒绝服务攻击防御功能（dos）

    dos防御功能可以帮助您侦测并防御dos攻击。这些攻击通常分为两种，即flooding-type 攻击和vulnerability攻击。前者是一种企图耗尽您的系统资源的攻击方式，后者则是攻击通讯协议或作业系统的弱点从而使整个系统瘫痪。

    dos防御功能能使vigor路由器对照攻击特征资料库检查每个流入的封包。任何可能使主机瘫痪的封包会被封锁，此时如果您已设置了syslog服务器，一个系统记录会被作为警告马上被发送出去。

    vigor路由器也会监视流量的变化，任何违反设定好的规则的不正常的流量，例如临界值，都会被当作攻击，并且vigor路由器会实时的启用它的防御体系来减轻攻击。

    下面显示的是dos 攻击防御功能所能够侦测出的攻击类型：

    1. syn flood攻击

    2. udp flood攻击

    3. icmp flood攻击

    4. tcp flag扫描

    5. 路由追踪

    6. ip选项

    7.不明封包通讯协定

    8. land攻击

    9. smurf攻击

    10. syn分片攻击

    11. icmp分片攻击

    12. tear drop攻击

    13. fraggle攻击

    14. ping of death攻击

    15. tcp/udp port扫描

    url内容过滤

    为了提供一个合适的网络空间给用户，vigor路由器配备了url内容过滤功能，它不仅可以用于限制非法访问不当网站，也可以用于禁止那些隐藏了恶意代码的网站。

    当用户输入或点击一个已经存在于url内容过滤里的链接时，url关键字阻塞工具将会拒绝http请求，该网页也会被限制访问。您可以把url内容过滤想象成一个训练有素的便利店员不会将成为杂志卖给十几岁的孩子一样。同样，在办公室里，url内容过滤也能够提供一个和工作有关的环境，以提高雇员的工作效率。怎么样才能使url内容过滤在过滤领域比传统的防火墙工作的好呢？因为它检查url字符串或是http数据的一些tcp数据的附载，而传统防火墙则只是基于tcp/ip包头来检查数据包。

    另一方面，vigor路由器可以阻止用户意外的下载来自网页里的恶意代码。恶意代码包含在可执行文件里这是十分常见的，比如activex、java程序，压缩文件以及其它可执行文件。当您从网站上下载这些类型的文件时，这将会对您的系统带来威胁。例如，activex控件常常被用于提供交互式的网页特性。如果恶意代码隐藏在里面的话，它将占据用户的系统。

    web内容过滤

    internet上的网络资源包罗万象，对于父母来说，一定不希望孩子接触到很多色情的内容；而对于企业主来说，也不会希望员工在上班时间访问游戏站点，新闻站点，而影响正常的工作。通过vigor和网站分类服务提供商合作推出的web内容过滤功能，您可以轻松实现上述的目标。

    当您开启了vigor路由器上的web内容过滤服务并且设置了您想要限制的网站的分类，每一个url地址请求将会依照由surfcontrol提供的服务器数据库的记录来检查。这个数据库里包含了超过70种语言以及200个国家，超过10亿个网页，并将其分成40种容易理解的类别。这个数据库每天都会由internet研究员的全球小组更新。这个服务器将查寻url并返回一个类型给您的路由器。您的vigor路由器然后将会根据您选择的类别以决定是否允许访问这个网站。请注意，这个部分将不会引入任何的延迟在您要访问的网站里，因为每一个多种负载平衡数据库服务器可以处理数百万的分类请求。