在“ 安全设置” 菜单下面，共有“ 防火墙设置” 、“ ip 地址过滤” 、“ 域名过滤” 、“ mac 地址过滤” 和“ 攻击防护” 五个子项。单击某个子项，您即可进行相应的功能设置，下面将详细讲解各子项的功能。

    5.7.1 防火墙设置

    选择安全设置下的防火墙设置，您将进入下面的设置界面。本节介绍防火墙的各个过滤功能的开启与关闭设置。只有防火墙的总开关是开启的时候，后续的“ ip 地址过滤” 、“ 域名过滤” 、“ mac 地址过滤” 才能够生效，反之，则失效。

   

    1 开启防火墙:请您选择是否开启防火墙功能。这是防火墙的总开关，当该开关关闭时，“ ip 地址过滤” 、“ 域名过滤” 、“ mac地址过滤” 功能将全部失效。

    2 开启ip 地址过滤:请您选择是否开启防火墙的ip 地址过滤功能，只有选择该项时，ip 地址过滤设置才能生效。

    3 开启域名过滤:请您选择是否开启防火墙的域名过滤功能，只有选择该项时，域名过滤设置才能生效。

    4 开启mac 地址过滤:请您选择是否开启防火墙的mac 地址过滤功能，只有选择该项时，mac 地址过滤设置才能生效。

    5 开启攻击防护:请您选择是否开启防火墙的攻击防护功能。

    5.7.2 ip地址过滤

    选择安全设置下的ip 地址过滤，您将进入下面的设置界面。本页显示已设的ip 地址过滤列表。您可以利用按钮—“ 添加新条目” 来增加新的过滤规则；或者通过“ 编辑” 、“ 删除” 链接来修改或删除旧的过滤规则；甚至可以通过按钮—“ 移动”来调整各条过滤规则的顺序，以达到不同的过滤优先级。

   

    ip 地址过滤条目表:显示ip 地址过滤条目信息。

    1 生效时间:显示规则生效的起始时间和终止时间。格式为hhmm，例如0803，表示8 时3 分。

    2 局域网ip 地址:显示局域网中被控制的计算机的ip 地址，为空表示对局域网中所有计算机进行控制。这里可以是一个ip 地址段，例如192.168.1.100－192.168.1.200。

    3 （局域网）端口:显示局域网中被控制的计算机的服务端口，为空表示对该计算机所有服务端口进行控制。这也可以是一个端口段，例如1024－8080。

    4 广域网ip 地址:显示广域网中被控制的网站的ip 地址，为空表示对整个广域网进行控制。这也可以是一个ip 地址段，例如222.88.88.20－222.88.88.222。

    5 （广域网）端口:显示广域网中被控制的网站的服务端口，为空表示对该网站的所有服务端口进行控制。这也可以是一个端口段，例如：10-110。

    6 协议:显示被控制的数据包所使用的协议。

    7 通过:显示符合本条目设置规则的数据包是否可以通过路由器。

    8 状态:显示本条目状态，即是否使本条过滤规则生效。

    9 配置:显示对该条目操作的超级链接——编辑或删除。

    10 添加新条目:点击该按钮，您可以在过滤列表中添加新的过滤条目。详见后面所述。

    11 使所有条目生效:点击该按钮，您可以设置表中所有过滤条目的状态为“ 生效” 。

    12 使所有条目失效:点击该按钮，您可以设置表中所有过滤条目的状态为“ 失效” 。

    13 删除所有条目:点击该按钮，您可以删除当前表中已设的所有过滤条目。

    14 移动:通过条目序号，您可以将某条记录移动到另一个位置，以达到不同的过滤优先级。

    5.7.2.1 添加或编辑ip地址过滤规则

    点击上图所示界面中的添加新条目或条目右侧的编辑按钮，您将进入下面的设置界面。界面中的各参数说明，请见上面ip 地址过滤条目表所述。

   

    若您需要添加新的ip 地址过滤条目或修改已存的条目，只需要正确设置上面各参数，然后点击保存按钮即可。下面将举例说明。

    举例：

    设置局域网中ip 地址为192.168.1.7 的计算机在8:00-21:00 时段内不能收发邮件；ip 地址为192.168.1.8 的计算机全天均不能访问ip 为202.96.134.12 的网站，对局域网中的其它计算机则不做任何限制。

    设置步骤：

    首先请您在“防火墙设置”中打开防火墙总开关，然后再开启“ip 地址过滤”，并设置“缺省过滤规则”为“凡是不符合已设ip 地址过滤规则的数据包，允许通过本路由器”。最后，在添加或编辑界面中按照以上数据要求添加新的过滤条目，添加设置界面如上图所示。下面为添加后的ip 地址过滤条目表。

   

    5.7.3 域名过滤

    选择安全设置下的域名过滤，您将进入下面的设置界面。本页显示已设的域名过滤列表。您可以利用按钮—“ 添加新条目” 来增加新的过滤规则；或者通过“ 编辑” 、“ 删除” 链接来修改或删除旧的过滤规则。

   

    1 域名过滤条目表:显示域名过滤的条目信息。

    2 生效时间:显示规则生效的起始时间和终止时间。格式为hhmm，例如0803，表示8 时3 分。

    3 域名:显示您希望控制的域名。

    4 状态:显示本条目状态，即过滤规则是否生效。

    5 配置:显示对该条目操作的超级链接——编辑或删除。

    6 添加新条目:点击该按钮，您可以添加新的过滤条目。

    7 使所有条目生效:点击该按钮，您可以将列表中的所有过滤条目的状态设置为“ 生效” 。

    8 使所有条目失效:点击该按钮，您可以将列表中的所有过滤条目的状态设为“ 失效” 。

    9 删除所有条目:点击该按钮，您可以删除该列表中的所有过滤条目。

    5.7.3.1 添加或编辑域名过滤规则

    点击上图所示界面中的添加新条目或条目右侧的编辑按钮，您将进入下面的设置界面，界面中各参数说明见前面域名过滤条目表中所述。

   

    举例：

    设置局域网中的计算机在08:00-21:00 时段内不能访问“www.yahoo. com.cn”，08:00-24:00 时段内不能访问“sina.com”，全天不能访问所有以“.net”结尾的网站，这时您需要设置如下的域名过滤表：

    设置步骤：

    首先在“防火墙设置”中打开防火墙总开关，然后开启“域名过滤”，最后，点击添加新按钮，在添加或编辑界面中按照以上数据要求设置新的域名过滤条目，设置界面如上图所示。下面为添加后的ip 地址过滤条目表。

   

    5.7.4 mac地址过滤

    选择安全设置下的域名过滤，您将进入下面的设置界面。本页显示已设的mac 地址过滤列表。您可以利用按钮—“ 添加新条目” 来增加新的过滤规则；或者通过“ 编辑” 、“ 删除” 链接来修改或删除旧的过滤规则。

   

    1 mac 地址过滤表:显示mac 地址过滤条目信息。

    2 mac 地址:显示您希望控制的计算机的mac 地址。

    3 描述:显示对该计算机的适当描述。

    4 状态:显示本条目状态，即本条过滤规则是否生效。

    5 配置:显示对该条目操作的超级链接——编辑或删除。

    6 添加新条目:点击该按钮，您可以在过滤列表中添加新的过滤条目。

    7 使所有条目生效:点击该按钮，您可以将该列表中所有过滤条目的状态设为“ 生效” 。

    8 使所有条目失效:点击该按钮，您可以将该列表中所有过滤条目的状态设为“ 失效” 。

    9 删除所有条目:点击该按钮，您可以删除当前已设的所有过滤条目。

    5.7.4.1 添加或编辑mac地址过滤规则

    点击上图所示界面中的添加新条目或条目右侧的编辑按钮，您将进入下面的设置界面，界面中各参数说明见前面mac 地址过滤条目表中所述。

   

    举例：

    设置局域网中mac 地址为00-13-8f-a9-e6-cb 和00-13-96-6b-6e-a9 的计算机不能访问internet，局域网中的其它计算机能访问internet，这时您需要设置如下的mac 地址过滤表。

    设置步骤：

    首先在“防火墙设置”中打开防火墙总开关，然后开启“mac 地址过滤”，设置“缺省过滤规则”为“禁止已设mac 地址列表中已启用的mac 地址访问internet，允许其它mac 地址访问internet”。然后，点击添加新条目按钮，类似上面界面所示设置各条目参数，设置完后点击保存。最后形成的mac 地址过滤条目表为：

   

    5.7.5 攻击防护

    选择安全设置下的攻击防护，您将进入下面的攻击防护的设置界面。攻击防护是防火墙通过对数据包的检查，以应对一些恶意的攻击。攻击检查和防护分为四类：

    扫描类攻击防护

    拒绝服务（dos）攻击防护

    可疑包攻击防护

    含有ip 选项的包的攻击防护

    如果在数据包中查到符合指定的攻击模式，则进行相应的防护处理。设置界面如下图所示。

   

    5.7.6 区域设置

    区域设置表明，后续的攻击防护设置项，是对应来自指定区域的数据包进行监控。

    如选中lan，则表示对来自局域网的数据包进行监控，如上图：

    5.7.6.1 扫描类攻击防护

    扫描类攻击防护包括三种类型：ip 扫描、端口扫描、ip 欺骗。

    ip 扫描

    该项用来检查在小于规定的时间内，是否存在从一个源ip 地址发送icmp 请求包到10 个不同的目的ip 地址的现象。如果有，则认为此源ip 正在进行ip 扫描攻击。

    选中ip 扫描复选框，表明对来自指定区域（见区域设置节）的包进行ip 扫描攻击的检查，设置阈值指明规定的时间间隔。阈值选择范围为2000-1000000 微秒。如果欲取消对来自指定区域的包进行ip 扫描攻击的检查，则清除ip 扫描选择即可。

    端口扫描

    该项用来检查在小于规定的时间内，是否存在从一个源ip 地址发送tcp syn 包到同一目的地址的10 个不同端口的现象。如果有，则认为此源ip 正在进行端口扫描攻击。选中端口扫描复选框，表明对来自指定区域的包进行端口扫描攻击检查，设置阈值指明规定的时间间隔，阈值选择范围为2000-1000000 微秒。如果欲取消对来自指定区域的包进行端口扫描攻击检查，则清除端口扫描选择即可。

    ip 欺骗（仅针对局域网）

    发出攻击的主机通常使用假ip 地址作为自己的源地址，从而使得被攻击方不能查到真正的攻击者。选中ip 欺骗复选框，表明对来自指定区域的包进行ip 欺骗检查。

    如果欲取消对来自指定区域的包进行ip 欺骗检查，则清除ip 欺骗选择即可。

    本功能仅在区域为lan 时有效，在区域为wan 时是无效的。

    5.7.6.2 dos类攻击防护

    dos 类攻击防护包括五种类型：icmp flood、udp flood、syn flood、land attack、winnuke。

    icmp flood 攻击

    该项用来检查在一秒钟内，一个目的ip 是否收到超过规定数量的icmp 请求包。如果收到超过规定数量的包，则认为此目的ip 正受到icmp flood 的攻击。选中icmp flood 复选框，表明对来自指定区域的包进行icmp flood 攻击检查。设置阈值指明一秒内收到的包数（packets per second），其范围为10-99999 pps。如果欲取消对来自指定区域的包进行icmp flood 攻击检查，则清除icmp flood 选择即可。

    udp flood 攻击

    该项用来检查在一秒钟内，一个目的ip 的某一端口是否收到超过规定数量的udp包。如果收到超过规定数量的包，则认为此目的ip 的此端口正受到udp flood 的攻击。选中udp flood 复选框，表明对来自指定区域的包进行udp flood 攻击检查。设置阈值指明一秒内收到的包数，范围为10-99999 pps。如果欲取消对来自指定区域的包进行udp flood 攻击检查，则清除udp flood 选择即可。

    syn flood 攻击

    该项用来检查在一秒钟内，一个目的ip 的某一端口是否收到超过规定数量的tcp syn 包。如果收到超过规定数量的包，则认为此目的ip 的此端口正受到syn flood 的攻击。选中syn flood 复选框，表明对来自指定区域的包进行syn flood攻击检查。设置阈值指明一秒内收到的包数，范围为10-99999 pps。如果欲取消对来自指定区域的包进行syn flood 攻击检查，则清除syn flood 选择即可。

    land 攻击

    该项用来检查将syn flood 攻击和ip 欺骗结合在一起的攻击，当攻击者发送含有受害者ip 地址的欺骗性syn 封包，将其作为目的和源ip 地址时，就发生了land攻击。选中land attack 复选框，表明对来自指定区域的包进行land 攻击检查。

    如果欲取消对来自指定区域的包进行land 攻击检查，则清除land attack 选择即可。

    winnuke

    winnuke 是针对网上运行windows 的任何计算机的dos 攻击。攻击者将tcp 片段（通常给设置了紧急[urg]标志的netbios 端口139）发送给已建连接的主机。这样就产生netbios 碎片重叠，从而导致运行windows 的机器崩溃。选中winnuke 复选框，表明对来自指定区域的包进行winnuke 攻击检查。如果欲取消对来自指定区域的包进行winnuke 攻击检查，则清除winnuke 选择即可。

    5.7.6.3 可疑包类防护

    可疑包类防护包括五类：大的icmp 包（大于1024 字节）、没有flag 的tcp 包、同时设置syn 和fin 的tcp 包、仅设置fin 而没有设置ack 的tcp 包、未知协议。

    大的icmp 包（大于1024 字节）

    正常的icmp 数据包长度较小，一般不会大于1024 字节。选中大的icmp 包（大于1024 字节）复选框，表明对来自指定区域的包进行icmp 包合法性检查。如果欲取消对来自指定区域的包进行大的icmp 包（大于1024 字节）检查，则清除相应选项的选择即可。

    没有flag 的tcp 包

    正常的tcp 包的包头至少设置有一个标志（flag）。未设置任何控制标志的tcp 包是一个可疑包。选中没有flag 的tcp 包复选框，表明对来自指定区域的包进行没有flag 的tcp 包检查。如果欲取消对来自指定区域的包进行没有flag 的tcp 包检查，则清除相应选项的选择即可。

    同时设置syn 和fin 的tcp 包

    tcp 包头的syn 标志同步发起tcp 连接的序列号，fin 标志表示完成tcp 连接的数据传输的结束。两个标志的用途是互相排斥的。在同一tcp 片段包头中同时设置syn 和fin 控制标志是异常的tcp 包。选中同时设置syn 和fin 的tcp 包复选框，表明对来自指定区域的包进行同时设置syn 和fin 的tcp 包检查。如果欲取消对来自指定区域的包进行同时设置syn 和fin 的tcp 包检查，则清除相应选项的选择即可。

    仅设置fin 而没有设置ack 的tcp 包

    含有ack 标志的tcp 包是确认接收到的前一个包。含有fin 标志的tcp 包是发送会话结束信号并终止连接，它通常也设置了ack 标志。设置了fin 标志，而未设置ack 标志的tcp 包是异常的tcp 包。选中仅设置fin 而没有设置ack 的tcp 包复选框，表明对来自指定区域的包进行仅设置fin 而没有设置ack 的tcp包检查。如果欲取消对来自指定区域的包进行仅设置fin 而没有设置ack 的tcp包检查，则清除相应选项的选择即可。

    未知协议

    目前，ip 包头的协议类型（protocol type）字段保留大于135（包括135）的数值未定义。正是由于这些协议未定义，就无法事先知道某一特定的未知协议是善意的还是恶意的。对这些非标准协议，谨慎的态度是封锁这类未知的元素进入受保护网络。选中未知协议复选框，表明对来自指定区域的包进行未知协议检查。如果欲取消对来自指定区域的包进行未知协议检查，则清除相应选项的选择即可。

    5.7.6.4 含有ip选项的包防护

    在internet protocol 协议（rfc 791）中，指定了一组选项以提供特殊路由控制、诊断工具和安全性。它是在ip 包头中的目的地址之后。协议认为这些选项“ 对最常用的通信是不必要的” 。在实际使用中，它们也很少出现在ip 包头中。这些选项经常被用于某些恶意用途。

    ip 选项包括：

    1 ip timestamp option:表明是否检查来自指定区域的ip 包含有internet timestamp 项

    2 ip security option:表明是否检查来自指定区域的ip 包含有security 项

    3 ip stream option: 表明是否检查来自指定区域的ip 包含有stream id 项

    4 ip record route option: 表明是否检查来自指定区域的ip 包含有record route项

    5 ip loose source route option: 表明是否检查来自指定区域的ip 包含有loose source route 项

    6 ip strict source route option: 表明是否检查来自指定区域的ip 包含有strict source route 项

    7 非法ip 选项:表明是否检查来自指定区域的ip 包的完整性或正确性选中一项ip 选项的复选框，则检查；清除选项的选择，则取消检查。