硬件防火墙技术

9.2.1　硬件防火墙技术

随着路由器技术的发展，目前越来越多的路由器中均集成了防火墙技术。我们以TP-LINK的TL-R480多功能宽带路由器为例，介绍硬件防火墙的设置方法。

一、TL-R480路由器的主要特性

1．支持Web界面的管理；

2．提供一个10M/100M以太网WAN接口，可以接ADSL/Ethernet；

3．内部集成四口的交换机（有4个LAN的RJ-45口）；

4．内置防火墙功能。

二、TL-R480路由器的防火墙功能的设置

TLR-480路由器默认的IP地址为192.168.1.1，掩码为255.255.255.0，这些参数可以改变。将路由器的一个LAN端口与计算机的网卡相联，然后打开计算机的IE浏览器，在地址栏输入：192.168.1.1，按回车键（注意：计算机的IP地址必须与该IP地址在同一个段中），提示输入管理的用户名和密码，如图9-1所示。

输入用户名和密码后，进入TL-R480路由器的配置主界面，如图9-2所示。

在图9-2中，单击左侧菜单的“安全设置”菜单中的“防火墙设置”选项，出现图9-3所示界面。在图9-3中，可以设置防火墙的数据包过滤项目。

图9-1　输入路由器的用户名与密码

图9-2　TL-480路由器配置主界面

图9-3　防火墙设置界面

防火墙设置案例：

1．局域网内IP地址为192.168.1.5主机的80端口的TCP协议在早上8︰00至12︰00不能访问广域网中的主机198.198.1.5的80端口，其他主机却没有这种限制。防火墙的具体设置如图9-4所示。

图9-4　防火墙设置案例

2．防火墙不仅可以根据IP地址实现过滤功能，而且可以根据域名实现过滤功能，如：所有主机在早上8︰00至12︰00均不得访问www.sina.com.cn网站。其设置方法为：在图9-3的左侧菜单的“安全设置”下拉菜单中选择“域名过滤”，出现如图9-5所示界面，在图9-5中选中“域名过滤”，并在防火墙设置项目中输入限制条件即可，设置完毕后参见图9-5。当然细心的朋友会发现，不能通过域名方式访问新浪网，但若知道新浪网的IP地址，则可以通过IP地址访问新浪网。

图9-5　设置域名过滤

3．除了根据域名和IP地址过滤外，防火墙还支持根据MAC地址过滤包。假设财务处小李的计算机的MAC地址为00ec00efabf0，由于小李长期上网，不务正业，所以他的经理决定，禁止小李上Internet，而其他的人没有此限制，设置方法为：在图9-3左侧的“安全设置”下拉菜单中选择“MAC地址过滤”选项，出现如图9-6所示界面，在图9-6中依图设置相关项目即可。但这真的就把小李防住了吗？否，若通过修改小李的MAC地址，依然可达到绕过防火墙的目的。在讲述防火墙的理论知识时我们讲过，防火墙仅是保护网络的一部分手段，要使网络的安全性更高，必须通过多种安全策略方可实现。

对于TL-R480路由器附带的防火墙还可以设置一些高级安全功能。如在图9-7中，可以进行防止DOS攻击、防止ICMP-FLOOD攻击、防止UDP-FLOOD过滤、防止TCP-SYN-FOOLD攻击、防止内网或外网Ping本路由器等设置。

图9-6　设置MAC地址过滤

图9-7　防火墙的高级安全设置