在“安全设置”菜单下面，共有“防火墙设置”、“ip地址过滤”、“域名过滤”、“mac地址过滤”和“攻击防护”五个子项。单击某个子项，您即可进行相应的功能设置，下面将详细讲解各子项的功能。

    5.7.1 防火墙设置

    选择安全设置下的防火墙设置，您将进入下面的设置界面。本节介绍防火墙的各个过滤功能的开启与关闭设置。只有防火墙的总开关是开启的时候，后续的“ip地址过滤”、“域名过滤”、“mac地址过滤”才能够生效，反之，则失效。

   

    1 开启防火墙:请您选择是否开启防火墙功能。这是防火墙的总开关，当该开关关闭时，“ip地址过滤”、“域名过滤”、“mac地址过滤”功能将全部失效。

    2 开启ip地址过滤:请您选择是否开启防火墙的ip地址过滤功能，只有选择该项时，ip地址过滤设置才能生效。

    3 开启域名过滤:请您选择是否开启防火墙的域名过滤功能，只有选择该项时，域名过滤设置才能生效。

    4 开启mac地址过滤:请您选择是否开启防火墙的mac地址过滤功能，只有选择该项时，mac地址过滤设置才能生效。

    5 开启攻击防护:请您选择是否开启防火墙的攻击防护功能。

    5．7．2 ip地址过滤

    选择安全设置下的ip地址过滤，您将进入下面的设置界面。本页显示已设的ip地址过滤列表。您可以利用按钮—“添加新条目”来增加新的过滤规则；或者通过“编辑”、“删除”链接来修改或删除旧的过滤规则；甚至可以通过按钮—“移动”来调整各条过滤规则的顺序，以达到不同的过滤优先级。

   

    1 ip地址过滤条目表:显示ip地址过滤条目信息。

    2 生效时间:显示规则生效的起始时间和终止时间。格式为hhmm，例如0803，表示8时3分。

    3 局域网ip地址:显示局域网中被控制的计算机的ip地址，为空表示对局域网中所有计算机进行控制。这里可以是一个ip地址段，例如192．168．1．100-192．168．1．200。

    4 (局域网)端口:显示局域网中被控制的计算机的服务端口，为空表示对该计算机所有服务端口进行控制。这也可以是一个端口段，例如1024-8080。

    5 广域网ip地址:显示广域网中被控制的网站的ip地址，为空表示对整个广域网进行控制。这也可以是一个ip地址段，例如222．88．88．20-222．88．88．222。

    6 (广域网)端口:显示广域网中被控制的网站的服务端口，为空表示对该网站的所有服务端口进行控制。这也可以是一个端口段，例如：10-110。

    7 协议:显示被控制的数据包所使用的协议。

    8 通过:显示符合本条目设置规则的数据包是否可以通过路由器。

    9 状态:显示本条目状态，即是否使本条过滤规则生效。

    10 配置:显示对该条目操作的超级链接——编辑或删除。

    11 添加新条目:点击该按钮，您可以在过滤列表中添加新的过滤条目。

    详见后面所述。

    12 使所有条目生效:点击该按钮，您可以设置表中所有过滤条目的状态为“生效”。

    13 使所有条目失效：点击该按钮，您可以设置表中所有过滤条目的状态为“失效”。

    14 删除所有条目：点击该按钮，您可以删除当前表中已设的所有过滤条目。

    15 移动：通过条目序号，您可以将某条记录移动到另一个位置，以达到不同的过滤优先级。

    5.7.2.1. 添加或编辑ip地址过滤规则

    点击上图所示界面中的添加新条目或条目右侧的编辑按钮，您将进入下面的设置界面。界面中的各参数说明，请见上面ip地址过滤条目表所述。

   

    若您需要添加新的ip地址过滤条目或修改已存的条目，只需要正确设置上面各参数，然后点击保存按钮即可。下面将举例说明。

   

    设置局域网中ip地址为192.168.1.7的计算机在8：00-21：00时段内不能收发邮件；ip地址为192.168.1.8的计算机全天均不能访问ip为202．96．134．12的网站，对局域网中的其它计算机则不做任何限制。

    设置步骤：

    首先请您在“防火墙设置”中打开防火墙总开关，然后再开启“ip地址过滤”，并设置“缺省过滤规则”为“凡是不符合已设ip地址过滤规则的数据包，允许通过本路由器”。最后，在添加或编辑界面中按照以上数据要求添加新的过滤条目，添加设置界面如上图所示。下面为添加后的ip地址过滤条目表。

   

    5．7．3 域名过滤

    选择安全设置下的域名过滤，您将进入下面的设置界面。本页显示已设的域名过滤列表。您可以利用按钮—“添加新条目”来增加新的过滤规则；或者通过“编辑”、“删除”链接来修改或删除旧的过滤规则。

   

    1 域名过滤条目表:显示域名过滤的条目信息。

    2 生效时间:显示规则生效的起始时间和终止时间。格式为hhmm，例如0803，表示8时3分。

    3 域名:显示您希望控制的域名。

    4 状态:显示本条目状态，即过滤规则是否生效。

    5 配置:显示对该条目操作的超级链接——编辑或删除。

    6 添加新条目:点击该按钮，您可以添加新的过滤条目。

    7 使所有条目生效:点击该按钮，您可以将列表中的所有过滤条目的状态设置为“生效”。

    8 使所有条目失效:点击该按钮，您可以将列表中的所有过滤条目的状态设为“失效”。

    9 删除所有条目:点击该按钮，您可以删除该列表中的所有过滤条目。

    5.7.3.1. 添加或编辑域名过滤规则

    点击上图所示界面中的添加新条目或条目右侧的编辑按钮，您将进入下面的设置界面，界面中各参数说明见前面域名过滤条目表中所述。

   

   

    设置局域网中的计算机在08：00-21：00时段内不能访问“www.yahoo.com.cn”，08：00-24：00时段内不能访问“sina.com”，全天不能访问所有以“.net”结尾的网站，这时您需要设置如下的域名过滤表：

    设置步骤：

    首先在“防火墙设置”中打开防火墙总开关，然后开启“域名过滤”，最后，点击添加新按钮，在添加或编辑界面中按照以上数据要求设置新的域名过滤条目，设置界面如上图所示。下面为添加后的ip地址过滤条目表。

   

    5．7．4 mac地址过滤

    选择安全设置下的域名过滤，您将进入下面的设置界面。本页显示已设的mac地址过滤列表。您可以利用按钮—“添加新条目”来增加新的过滤规则；或者通过“编辑”、“删除”链接来修改或删除旧的过滤规则。

   

    1 mac地址过滤表:显示mac地址过滤条目信息。

    2 mac地址:显示您希望控制的计算机的mac地址。

    3 描述:显示对该计算机的适当描述。

    4 状态:显示本条目状态，即本条过滤规则是否生效。

    5 配置:显示对该条目操作的超级链接——编辑或删除。

    6 添加新条目:点击该按钮，您可以在过滤列表中添加新的过滤条目。

    7 使所有条目生效:点击该按钮，您可以将该列表中所有过滤条目的状态设为“生效”。

    8 使所有条目失效:点击该按钮，您可以将该列表中所有过滤条目的状态设为“失效”。

    9 删除所有条目:点击该按钮，您可以删除当前已设的所有过滤条目。

    5.7.4.1. 添加或编辑mac地址过滤规则

    点击上图所示界面中的添加新条目或条目右侧的编辑按钮，您将进入下面的设置界面，界面中各参数说明见前面mac地址过滤条目表中所述。

   

   

    设置局域网中mac地址为00-13-8f-a9-e6-cb和00-13-96-6b-6e-a9的计算机不能访问internet，局域网中的其它计算机能访问internet，这时您需要设置如下的mac地址过滤表。

    设置步骤：

    首先在“防火墙设置”中打开防火墙总开关，然后开启“mac地址过滤”，设置“缺省过滤规则”为“禁止已设mac地址列表中已启用的mac地址访问internet，允许其它mac地址访问internet”。然后，点击添加新条目按钮，类似上面界面所示设置各条目参数，设置完后点击保存。最后形成的mac地址过滤条目表为：

   

    5．7．5 攻击防护

    选择安全设置下的攻击防护，您将进入下面的攻击防护的设置界面。攻击防护是防火墙通过对数据包的检查，以应对一些恶意的攻击。攻击检查和防护分为四类：

    1 扫描类攻击防护

    2 拒绝服务(dos)攻击防护

    3 可疑包攻击防护

    4 含有ip选项的包的攻击防护

    如果在数据包中查到符合指定的攻击模式，则进行相应的防护处理。设置界面如下图所示。

   

    5.7.5.1.1. 区域设置

    区域设置表明，后续的攻击防护设置项，是对应来自指定区域的数据包进行监控。如选中lan，则表示对来自局域网的数据包进行监控，如上图：

    5.7.5.1.2. 扫描类攻击防护

    扫描类攻击防护包括三种类型：ip扫描、端口扫描、ip欺骗。

    ip扫描

    该项用来检查在小于规定的时间内，是否存在从一个源ip地址发送icmp请求包到10个不同的目的ip地址的现象。如果有，则认为此源ip正在进行ip扫描攻击。选中ip扫描复选框，表明对来自指定区域(见区域设置节)的包进行ip扫描攻击的检查，设置阈值指明规定的时间间隔。阈值选择范围为2000-1000000微秒。如果欲取消对来自指定区域的包进行ip扫描攻击的检查，则清除ip扫描选择即可。

    端口扫描

    该项用来检查在小于规定的时间内，是否存在从一个源ip地址发送tcp syn包到同一目的地址的10个不同端口的现象。如果有，则认为此源ip正在进行端口扫描攻击。选中端口扫描复选框，表明对来自指定区域的包进行端口扫描攻击检查，设置阈值指明规定的时间间隔，阈值选择范围为2000-1000000微秒。如果欲取消对来自指定区域的包进行端口扫描攻击检查，则清除端口扫描选择即可。

    ip欺骗(仅针对局域网)

    发出攻击的主机通常使用假ip地址作为自己的源地址，从而使得被攻击方不能查到真正的攻击者。选中ip欺骗复选框，表明对来自指定区域的包进行ip欺骗检查。如果欲取消对来自指定区域的包进行ip欺骗检查，则清除ip欺骗选择即可。

    本功能仅在区域为lan时有效，在区域为wan时是无效的。

    5.7.5.1.3. dos类攻击防护

    dos类攻击防护包括五种类型：icmp flood、udp flood、syn flood、land attack、winnuke。

    icmp flood攻击

    该项用来检查在一秒钟内，一个目的ip是否收到超过规定数量的icmp请求包。如果收到超过规定数量的包，则认为此目的ip正受到icmp flood的攻击。选中icmp flood复选框，表明对来自指定区域的包进行icmp flood攻击检查。设置阈值指明一秒内收到的包数(packets persecond)，其范围为10-99999 pps。如果欲取消对来自指定区域的包进行icmp flood攻击检查，则清除icmp flood选择即可。

    udp flood攻击

    该项用来检查在一秒钟内，一个目的ip的某一端口是否收到超过规定数量的udp包。如果收到超过规定数量的包，则认为此目的ip的此端口正受到udp flood的攻击。选中udp flood复选框，表明对来自指定区域的包进行udp flood攻击检查。设置阈值指明一秒内收到的包数，范围为10-99999 pps。如果欲取消对来自指定区域的包进行udp flood攻击检查，则清除udp flood选择即可。

    syn flood攻击

    该项用来检查在一秒钟内，一个目的ip的某一端口是否收到超过规定数量的tcp syn包。如果收到超过规定数量的包，则认为此目的ip的此端口正受到syn flood的攻击。选中syn flood复选框，表明对来自指定区域的包进行syn flood攻击检查。设置阈值指明一秒内收到的包数，范围为10-99999 pps。如果欲取消对来自指定区域的包进行syn flood攻击检查，则清除syn flood选择即可。

    land攻击

    该项用来检查将syn flood攻击和ip欺骗结合在一起的攻击，当攻击者发送含有受害者ip地址的欺骗性syn封包，将其作为目的和源ip地址时，就发生了land攻击。选中land attack复选框，表明对来自指定区域的包进行land攻击检查。如果欲取消对来自指定区域的包进行land攻击检查，则清除land attack选择即可。

    winnuke

    winnuke是针对网上运行windows的任何计算机的dos攻击。攻击者将tcp片段(通常给设置了紧急[urg]标志的netbios端口139)发送给已建连接的主机。这样就产生netbios碎片重叠，从而导致运行windows的机器崩溃。选中winnuke复选框，表明对来自指定区域的包进行winnuke攻击检查。如果欲取消对来自指定区域的包进行winnuke攻击检查，则清除winnuke选择即可。

    5.7.5.1.4. 可疑包类防护

    可疑包类防护包括五类：大的icmp包(大于1024字节)、没有flag的tcp包、同时设置syn和fin的tcp包、仅设置fin而没有设置ack的tcp包、未知协议。

    大的icmp包(大于1024字节)

    正常的icmp数据包长度较小，一般不会大于1024字节。选中大的icmp包(大于1024字节)复选框，表明对来自指定区域的包进行icmp包合法性检查。如果欲取消对来自指定区域的包进行大的icmp包(大于1024字节)检查，则清除相应选项的选择即可。

    没有flag的tcp包

    正常的tcp包的包头至少设置有一个标志(flag)。未设置任何控制标志的tcp包是一个可疑包。选中没有flag的tcp包复选框，表明对来自指定区域的包进行没有flag的tcp包检查。如果欲取消对来自指定区域的包进行没有flag的tcp包检查，则清除相应选项的选择即可。

    同时设置syn和fin的tcp包

    tcp包头的syn标志同步发起tcp连接的序列号，fin标志表示完成tcp连接的数据传输的结束。两个标志的用途是互相排斥的。在同一tcp片段包头中同时设置syn和fin控制标志是异常的tcp包。选中同时设置syn和fin的tcp包复选框，表明对来自指定区域的包进行同时设置syn和fin的tcp包检查。如果欲取消对来自指定区域的包进行同时设置syn和fin的tcp包检查，则清除相应选项的选择即可。

    仅设置fin而没有设置ack的tcp包

    含有ack标志的tcp包是确认接收到的前一个包。含有fin标志的tcp包是发送会话结束信号并终止连接，它通常也设置了ack标志。设置了fin标志，而未设置ack标志的tcp包是异常的tcp包。选中仅设置fin而没有设置ack的tcp包复选框，表明对来自指定区域的包进行仅设置fin而没有设置ack的tcp包检查。如果欲取消对来自指定区域的包进行仅设置fin而没有设置ack的tcp包检查，则清除相应选项的选择即可。

    未知协议

    目前，ip包头的协议类型(protocol type)字段保留大于135(包括135)的数值未定义。正是由于这些协议未定义，就无法事先知道某一特定的未知协议是善意的还是恶意的。对这些非标准协议，谨慎的态度是封锁这类未知的元素进入受保护网络。选中未知协议复选框，表明对来自指定区域的包进行未知协议检查。如果欲取消对来自指定区域的包进行未知协议检查，则清除相应选项的选择即可。

    5.7.5.1.5. 含有儒选项的包防护

    在internet protocol协议(rfc 791)中，指定了一组选项以提供特殊路由控制、诊断工具和安全性。它是在ip包头中的目的地址之后。协议认为这些选项“对最常用的通信是不必要的”。在实际使用中，它们也很少出现在ip包头中。这些选项经常被用于某些恶意用途。

    ip选项包括：

    1 ip timestamp option:表明是否检查来自指定区域的ip包含有internet timestamp项

    2 ip security option:表明是否检查来自指定区域的ip包含有security项

    3 ip stream option:表明是否检查来自指定区域的ip包含有stream id项

    4 ip record route option:表明是否检查来自指定区域的ip包含有record route项

    5 ip loose source route option:表明是否检查来自指定区域的ip包含有loose source route项

    6 ip strict source route option:表明是否检查来自指定区域的ip包含有strict source route项

    7 非法ip选项:表明是否检查来自指定区域的ip包的完整性或正确性

    选中一项ip选项的复选框，则检查；清除选项的选择，则取消检查。