网友提问:我们的企业用的路由器是vigor 2200e,公司想控制部分局域网内的机器上网和QQ聊天,但我每次在防火墙里的设定都不可以,是不是我设定有错误,请给些详细资料。
【IT168报道】数据包过滤功能包括两种过滤集:呼叫过滤器和数据过滤器。呼叫过滤器被用来过滤那些来自内网想尝试拨号连入互连网的用户,数据过滤器被用来决定哪些IP数据包被允许通过路由器 。一般地,当一个外出数据包被路由往广域网时,IP过滤器将决定数据包是否应被转发到呼叫过滤器还是数据过滤器。当WAN线路断掉时,IP数据包不被允许触发路由器拨号,它将被丢弃。当WAN线路是连通时,数据包将通过数据过滤器,假如这个数据包类型被设置成封锁,它将被丢弃,不然,它将被发送到WAN接口。假如一个从WAN接口进来数据包,它将被直接送到数据过滤器,假如包类型是被封锁的,它将被丢弃,否则,它将被发送到内网。
下面是VIGOR2200E的IP过滤器和防火墙架构(见图1)。我们将介绍:基本设置(General Setup),过滤器设置(Filter Setup)。这两个设置在VIGOR2200E的基于WEB页面的“IP过滤器和防火墙设置(IP Filter/Firewall Setup)”配置里。VIGOR2200E提供12个过滤集(器),每个过滤集(器)有7个过滤规则。缺省的情况下,拨号过滤规则定义为过滤集(器)1,数据过滤定义为过滤集(器)2
•General Setup(基本设置): 设置在这个链路中的最基本设置。
•DoS defense(拒绝服务攻击防御):点击它设置DoS 防御工具检测和减轻DoS攻击。
•Content Filter(内容过滤):在这里能封锁不良网站,保护未成年人。
•Filter Setup(过滤器设置):在这里有12个过滤集,可用来设置IP数据包过滤。
•Set to Factory Default(回厂缺省设置):点击这将恢复出厂缺省设置。
#$[*140848.jpg*#图1(点击看大图)*#0*#0*#center*]$#
Vigor 2200e简要介绍
CPU:50MHZ ,Flash:1M ,RAM:4M。一个10Base-T的RJ45 WAN口 四个10/100Base-Tx交换口。支持ADSL/Cable/FTTx共享上网。内置拔号程序,可自动拔号,自动断线。提供远程访问、局域网互拔。支持VPN Server、VPN Client。支持静态或动态路由。具有NAT、DHCP、DNS、DDNS、DMZ。中文WEB页面设置,便于管理。内置可设置IP数据包过滤和防火墙和PAP/CHAP认证功能。可通过拔入或Internet远程维护,能即时监测使用状态。设置使用权限及使用时间。
Vigor2200E IP过滤器和防火墙帮助管理员反击来外部对内局域网的攻击,它也提供一个限制内部内网用户访问互联网的权限,另外它能在对路由器外出口处过滤掉指定数据包。
Vigor2200E 路由器IP过滤器和防火墙包括:数据包过滤,拒绝服务攻击抵御,URL过滤。本文将着重介绍数据包过滤,因为读者的问题出在这里。
基本设置(General Setup)
在基本设置页,你可以允许或禁止(enable/disable)呼叫过滤或者数据过滤并为它们每个分配一个启动过滤器,配置日志,设置一个主机MAC地址,用于在这台主机上备份日志文件(见图2)
•Call Filter(拨号过滤):选中Enable来激活拨号过滤功能,分配一个启始过滤集。
•Data Filter(数据过滤):选中Enable来激活数据过滤功能 ,分配一个启始过滤集。
•Log Flag(日志标志):为了维护的需要,你可以在这里指定过滤日志记录。None表示该功能不启用,Block表示所有的封锁的包将被记录入日志,Pass表示所有的通过的包将被记录入日志,No Match表示日志功能将记录所有不匹配的包。
•MAC Address for Packet Duplication(备份主机MAC地址):如果你需要记录上述条件封包的日志,请在此输入执行记录的电脑的AC位址,如不需要,请全输入0即可。
#$[*140859.jpg*#图2(点击看大图)*#0*#0*#center*]$#
编辑过滤集 (见图3)
比如,这里编辑第三号过滤集SET 3。
•Comments(注释):输入过滤集的注释或描述,最大字符长度为23个字符。
•Filter Rule(过滤规则):点击1 ~ 7按钮号来开始编辑过滤规则。
•Active(激活):允许或禁止过滤规则。
•Next Filter Set(下一页过滤集):指定隐藏在当前页的下一页过滤集。
#$[*140866.jpg*#图3(点击看大图)*#0*#0*#center*]$#
以下设置页面显示的是Call Filter和Data Filter缺省设置,你可以看到Call Filter被分配为Set 1(第一集),Data Filter被分配为Set 2(第2集)。(见图4、5)
#$[*140871.jpg*#图4(点击看大图)*#0*#0*#center*]$#
#$[*140877.jpg*#图5(点击看大图)*#0*#0*#center*]$#
编辑过滤规则
点击编辑过滤集中的过滤规则索引按钮进入每个过滤规则页面。下面详细介绍每个配置项目。(见图6)
•Comments(注释):输入过滤注释,最大字符长度14个字符。
•Check to enable the Filter Rule(选中允许过滤规则):允许过滤规则。
•Pass or Block(通过或者封锁):指定当包匹配过滤规则时通过或者封锁行为被执行。
•Block Immediately(封锁立即执行):数据包匹配规则时立即被丢弃。
•Pass Immediately(通过立即执行):数据包匹配规则时立即通过。
•Block If No Further Match(假如不甚匹配时封锁):一个数据包匹配规则,又不是很匹配规则时,将被丢弃。
•Pass If No Further Match(假如不甚匹配时通过):一个数据包匹配规则,又不是很匹配规则时,将通过。
•Branch to Other Filter Set(分流到另一过滤器):假如包匹配过滤一个规则,下一过滤规则将被分支到指定过滤集。
•Duplicate to LAN(复制到局域网):假如你想把匹配的包记录到另外的一个网络设备,选中这个单选框,MAC地址就是在General Setup > MAC Address for Logged Packets Duplication中定义的。.
•Log(日志):选中这个单选框启用日志功能。在Telnet终端用命令log-f 可以显示这些日志。
•Direction:设置包流量的进出方向。对于Call Filter这个设置没有作用;对于Data Filter,IN指过滤进来的数据包,OUT指过滤出去的数据包。
•Protocol(协议):指这个过滤规则将应用的网络通信协议。
•IP Address(IP地址):指这个过滤规则使用的源IP地址和目的IP地址。但可使用“!”设定,代表相反的意思,如同(not)。
•Subnet Mask(子网掩码):指定上述IP地址的相应IP掩码。
•Operator(操作):Operator栏指定端口设置。当Start Port(启始端口)是空的,Start Port 和End Port(结束端口)将被忽略。这个过滤规则将通过所有端口
(1)“= ”指当结束端口是空时,过滤规则将被设置为过滤匹配启始端口的数据包 ,或过滤匹配从启始到结束端口之间的数据包。
(2)“!=”指当结束端口是空的时,过滤规则将被设置为过滤不匹配启始端口的数据包,或过滤不匹配从启始到结束端口之间的数据包。
(3)“>”指端口号大于启始端口,包括启始端口。
(4)“<”指端口号小启始端口,包括启始端口。
•Keep State(状态保持):当选中时,关于TCP/UDP/ICMP协议通信会话的信息将被 IP Filter/Firewall保持。
•Fragments: 指定包片断启动,这里一般我们选择Do not Care就行了,也就是在这个过滤规则不指定片断选项。
#$[*140887.jpg*#图6(点击看大图)*#0*#0*#center*]$#
限制未经授权的的INTERNET访问和QQ聊天实例
这一小节我们将介绍一个限制未经授权的的INTERNET访问和QQ聊天实例。我们假定禁止的主机的IP是192.168.1.10。这个过滤规则在Data Filter set(数据过滤集)里创建。我们将设置一个过滤集SET2,这个过滤集里包括5个过滤规则。设置方法如下:
(1)对于禁止上网的情况来说,由于80端口是WWW服务的HTTP协议端口号。所以我要做的是过滤掉所有外出的端口为80的包请求。(见图7)
#$[*140893.jpg*#图7(点击看大图)*#0*#0*#center*]$#
(2)对于禁止QQ聊天的情况,QQ登录会使用UDP/4000进行通讯。而且这些聊天软件都能支持代理服务器,而目前的代理服务器主要使用TCP 8080、TCP 3128(HTTP代理)和TCP1080(socks)这三个端口。所以我们要对这些端口进行限制。(见8-11图)
#$[*140896.jpg*#图8(点击看大图)*#0*#0*#center*]$#
#$[*140898.jpg*#图9(点击看大图)*#0*#0*#center*]$#
#$[*140902.jpg*#图10(点击看大图)*#0*#0*#center*]$#
#$[*140904.jpg*#图11(点击看大图)*#0*#0*#center*]$#
小结
现在的企业一般都不愿员工在工作时间上网或聊QQ,除非必须要这样,所以主管会想到要限制网络的使用,这就是对不同工作岗位的员授于不同的网络访问权限。在小型企业中采用带有IP数据包过滤功能的宽带路由器就能非常经济地解决这个问题。所以只要选择合适的有IP数据包过滤功能的宽带路由器就可以损掉大型防火墙软件或设备的投资,非常适合小型企业的低成本营运的要求。这方面的产品我们还可在市面见到很多其他品牌的设备,比如:
![#$[*140848.jpg*#图1(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=140851.jpg){kind=link}
![#$[*140859.jpg*#图2(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=140860.jpg){kind=link}
![#$[*140866.jpg*#图3(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=140868.jpg){kind=link}
![#$[*140871.jpg*#图4(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=140875.jpg){kind=link}
![#$[*140877.jpg*#图5(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=140881.jpg){kind=link}
![#$[*140887.jpg*#图6(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=140890.jpg){kind=link}
![#$[*140893.jpg*#图7(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=140895.jpg){kind=link}
![#$[*140896.jpg*#图8(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=140897.jpg){kind=link}
![#$[*140898.jpg*#图9(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=140900.jpg){kind=link}
![#$[*140902.jpg*#图10(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=140903.jpg){kind=link}
![#$[*140904.jpg*#图11(点击看大图)*#0*#0*#center*]$#](./showBigPic.asp?cDocid=(*)&picid=140905.jpg){kind=link}