许多ADSL Modem都内置有防火墙,可以有效地保护计算机的安全,不受来自内部和外部恶意攻击。甚至还实现对攻击进行监控,并以E-mail形式及时通知用户。因此,如果没有在计算机中安装网络防火墙,或者想摆脱为网络内的计算机逐一设置防火墙的麻烦,可以直接启用ADSL Modem的防火墙。在使用时你会发现,简洁而实用的安全策略,正是我们所梦寐以求的。
下面以中兴ZXDSL 831(Globespan芯片)为例,简单介绍一下ADSL Modem内置防火墙的设置。默认状态下,防火墙的所有安全设置全部处于禁用(Disable)状态,若欲启用某项功能,则应当选择“Enable”选项。
Blacklist Status 启用黑名单功能。当系统确认某个数据包具有攻击性时(即违反防火墙或IP过滤设定的规则),将在指定的时间段内(在“Blacklist Period”中指定,单位为“分钟”),对发送该数据包的源IP地址进行封锁,从而保护计算机不致遭受频繁的恶意攻击。
Attack Protection 启用内置防火墙保护,并可有效地防止以下各种类型的攻击:IP欺骗(IP Spoofing)、撕毁攻击(Tear Drop)、Smurf攻击和Fraggle攻击、陆地攻击(Land Attack)和死亡之Ping(Ping of Death)。
DoS Protection 启用DoS(拒绝服务)保护,从而有效地避免遭遇SYN DoS、ICMP DoS和Per-host DoS等攻击。若欲搭建虚拟网站,需启用该功能;对于普通计算机而言,该选项意义不大。
Max Half Open TCP Conn 当半开放会话数量较大时,往往意味着正在发生DoS攻击或端口扫描。设置半开放状态时所允许的并发IP会话百分数。在TCP通信过程中,只有当连接的发起时,包才暂时处于半开放状态。当包开始交换时,其状态改变为活动;或者在交换完成后,状态改变为关闭。处于半开放状态的TCP连接可以使用最大可利用的IP会话。如果超过该百分数,半开放会话将被关闭,并由新的会话进行代替。建议将该值设置为30左右。
Max ICMP Conn 设置使用ICMP消息时所允许的并发IP会话数。如果超过该百分数,旧的ICMP IP会话将被新的会话所代替。由于ICMP并不是网络通讯所必须的,所以,可以将该值设置得低一些。
Max Single Host Conn:设定单独一台计算机所允许的并发IP会话百分数。设置该值时,应当考虑局域网内计算机的数量。当连接的计算机数量较多时,该值应当适当较少;当连接的计算机数量较少时,则可以设置得较大。
Log Destination:用于在记录上列出攻击防火墙的事件,这些事件的记录可以形成报告,并通过网络或电子邮件发送给系统工具(Trace)或指定的管理员信箱(Email)。电子邮件报告信息中包括攻击时间、进行攻击的计算机的源IP地址、目标IP地址、使用的协议等。管理员的电子邮件地址在“E-mail ID of Admin 1/2/3”中进行指定。
除了使用内置防火墙(FireWall)保障计算机和网络的安全外,还可以借助“IP过滤”(IP Filter)和“屏蔽协议”(Blocked Protocols)功能,只开放经常使用的TCP/UDP端口(如Web端口80、FTP端口21、RM端口554、E-mail端口25和110、QQ端口8000等)或禁用某些严重危险的端口(如蠕虫病毒使用的134~139、445、9995、4444、5554等),只使用TCP/IP和PPPoE协议,从而拒绝蠕虫病毒和黑客的攻击。
本文转自
刘晓辉 51CTO博客,原文链接:http://blog.51cto.com/liuxh/42342 ,如需转载请自行联系原作者
