您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 销售管理 > 路由器防火墙功能应用实例
路由器防火墙功能应用实例企业用户使用路由器共享上网,常常需要对内网计算机的上网权限进行限制,如限制某些计算机不能上网,限制某些计算机可以收发邮件但是不可以浏览网页,限制计算机不能访问某个站点,而一些计算机有高级权限,不受任何限制。路由器具有防火墙功能,功能可以灵活组合成一系列控制规则,形成完整的控制策略,有效管理员工上网,能方便您对局域网中的计算机进行进一步管理。“数据包过滤”功能可以控制局域网中计算机对互联网上某些网站的访问;“MAC地址过滤”是通过MAC地址过滤来控制局域网中计算机对Internet的访问;“域名过滤”可以限制局域网中的计算机对某些网站的访问。下面以TL-R490路由器为例,说明设置的方法。局域网内有8台计算机,计算机1(IP:192.168.1.2)不能上网,计算机2(IP:192.168.1.3)可以收发邮件但是不可以浏览网页,计算机3(IP:192.168.1.4)不能访问这个站点(219.134.132.61),计算机4(IP:192.168.1.5)不可以收发邮件但是可以浏览网页,其他计算机不受任何限制。以下是通过数据包过滤的方式对访问互联网的权限进行设置,因为对于其他的计算机是不做任何限制,所以把缺省过滤规则设置为允许通过;如果不允许其他计算机上网,那么应该把缺省过滤规则设为禁止通过(当然你的IP过滤条目的操作方法应该是允许通过的):上面的第一条条目的目的是让计算机都能够通过DNS服务器解释到某个域名的IP地址,这样电脑才能够正常连接,当然本例不添加也行,因为默认规则是允许通过。在缺省过滤规则是禁止通过的情形下这个条目是一定要添加上去。对于限制某些计算机不能上网的情况,除了上面介绍的“数据包过滤”设置外,还可以通过“MAC地址过滤”方式实现。端口服务对应表:FTP--21,HTTP(浏览网页)---80,SMTP(发送邮件)---25,POP(接收邮件)----110,DNS(域名服务)--------53。问:路由器配置指南答:对路由器进行基本配置,使电脑通过路由器实现共享上网,过程相对来说比较容易实现。这篇文档下面的内容,主要讲述如下几部分:1,收集并判断信息,为配置路由器做准备;2,进入路由器管理界面,对路由器进行配置;3,配置过程简单的故障定位排除;让我们快快开始,进入正题!1,配置路由器前的准备工作(如果您对您自己的连接方式清楚,可以直接跳到第2点);第一个需要确认的就是您的“宽带接入方式”是怎样的?当然,最简捷的办法就是给您的ISP(互联网服务提供商)打个电话咨询一下;也可以通过您购买路由器以前的网络连接方式进行快速判断。常见的硬件连接方式有下面几种:1),电话线—ADSLMODEM—电脑2),双绞线(以太网线)—电脑3),有线电视(同轴电缆)—CableMODEM—电脑4),光纤—光电转换器—代理服务器—PCADSL/VDSLPPPoE:电脑上运行第三方拨号软件如Enternet300或WinXP系统自带的拨号程序,填入ISP提供的账号和密码,每次上网前先要拨号;或者您的ADSLMODEM已启用路由功能,填入了ISP提供的账号和密码,拨号的动作交给MODEM去做;(这种宽带接入方式典型的比如南方电信提供的“网络快车”)静态IP:ISP提供给您固定的IP地址、子网掩码、默认网关、DNS;动态IP:电脑的TCP/IP属性设置为“自动获取IP地址”,每次启动电脑即可上网;(这种宽带接入方式典型的比如深圳“天威视讯”)802.1X+静态IP:ISP提供固定的IP地址,专用拨号软件,账号和密码;802.1X+动态IP:ISP提供专用拨号软件,账号和密码;WEB认证:每次上网之前,打开IE浏览器,先去ISP指定的主页,填入ISP提供的用户名密码,通过认证以后才可以进行其他得上网操作;(上面的黑体字就是您的宽带接入方式,但是接入方式和硬件连接方式并不是固定搭配的)上面提到的这些连接认证方式只是普及率比较高的一些宽带接入方式,当然还会有其他的拓扑连接以及认证方式的存在;所以,当您不能肯定自己的宽带方式的时候,最好向ISP咨询:自己装的宽带接入,IP地址是静态的还是动态的?认证使用的协议是PPPoE、802.1X还是WEB认证?当上面的两个问题有了答案,就可以对路由器进行配置了;2,怎样进入路由器管理界面?先参照《用户手册》上面的图示,将ADSLMODEM、路由器、电脑连结起来;TL-R4XX系列路由器的管理地址出厂默认:IP地址:192.168.1.1,子网掩码:255.255.255.0(TL-R400和TL-R400+两款的管理地址默认为:192.168.123.254,子网掩码:255.255.255.0)用网线将路由器LAN口和电脑网卡连接好,因为路由器上的以太网口具有极性自动翻转功能,所以无论您的网线采用直连线或交叉线都可以,需要保证的是网线水晶头的制作牢靠稳固,水晶头铜片没有生锈等。电脑桌面上右键点击“网上邻居”,选择“属性”,在弹出的窗口中双击打开“本地连接”,在弹出的窗口中点击“属性”,然后找寻“Internet协议(TCP/IP)”,双击弹出“Internet协议(TCP/IP)属性”窗口;在这个窗口中选择“使用下面的IP地址”,然后在对应的位置填入:IP地址:192.168.1.X(X范围2-254)、子网掩码:255.255.255.0、默认网关:192.168.1.1,填完以后“确定”两次即可;“Internet协议(TCP/IP)属性”窗口如下:3,检查电脑和路由器能不能通讯?可采用如下办法查看,打开电脑的DOS界面:“开始”—“程序”,点击“MS-DOS”(Win98操作系统)“开始”—“程序”—“附件”,点击“命令提示符”(Win2000/XP操作系统)一是检查上面的IP地址配置是否生效?在DOS窗口输入:ipconfig/all并回车,当看到类似如下信息,表示配置生效,IPAddress..........................:192.168.1.10SubnetMast..........................:255.255.255.0DefaultGateway........................:192.168.1.1二是从电脑往路由器LAN口发送数据包,看数据包能不能返回?在DOS窗口运行:ping192.168.1.1–t并回车,如果出现如下类似信息,Replyfrom192.168.1.1:bytes=32time10msTTL=128Replyfrom192.168.1.1:bytes=32time10msTTL=128Replyfrom192.168.1.1:bytes=32time10msTTL=128如果回车后没有出现上面的信息,确提示输入的命令“不是内部命令或外部命令,也不是可运行的程序或批处理程序”,则说明命令输入有误,请检查空格之类的输入是否被忽略;4,进入路由器管理界面;出现上图的信息,表示电脑可以和路由器通讯了,打开IE浏览器,在地址栏输入192.168.1.1并回车,正常情况下会出现要求输入用户名和密码的对话框。当然,也有例外情况:如果打开IE浏览器地址栏输入地址回车,弹出“脱机工作”的对话框,点即“连接”后出现拨号的小窗口,请点击IE浏览器菜单栏的“工具”—“Internet选项”,在弹出的对话框内点击“连接”属性页,界面如下图:像上面点击“局域网设置”进入如下界面:进行了上面的操作,应该说进入路由器管理界面应该没有什么障碍了;5,开始配置路由器;有了刚开始时对宽带接入方式的信息准备,配置起来方便多了;刚进入路由器管理界面,会弹出一个类似下图“设置向导”界面,可以取消不理它;进入路由器管理界面,在左列菜单栏中点击“网络参数”—“WAN口设置”,就在这里配置路由器面向Internet方向的WAN口的工作模式,这是最关键的一步;假设您的宽带接入方式为ADSLPPPoE,那就选择“WAN口连接类型”为“PPPoE”,填入“上网账号”、“上网口令”,如果您是包月用户,再选择连接模式为:“自动连接”,点击“保存”即完成配置;保存完后“上网口令”框内填入的密码会多出几位,这是路由器为了安全起见专门做的;然后您点击管理界面左列的“运行状态”,在运行状态页面“WAN口属性”,刚开始看不到对应的IP地址子网掩码默认网关DNS服务器等地址,就好像下面的这幅图,那说明路由器正在拨号过程中,等到这些地址都出现了相应的信息后,将其中的DNS服务器地址填入电脑“Internet协议(TCP/IP)”页面对应位置确定后,基本的设置就完成了,没有大碍的话可以冲浪了!正常情况下一两分钟内,上图椭圆形部分会出现一系列地址,表明拨号成功;6,故障情况列举;如果上图椭圆形区域一直都没有变,看不到任何地址,有下面几种原因导致,请逐一排除:1)ADSLMODEM上一般都会有一个ADSL灯,正常情况下MODEM加电并接好电话线后,这个灯会大致规律性地快慢闪烁,闪烁最终停止变为长亮;如果这个灯无休止的闪啊闪就是不长亮,请联系并告知ISP您的ADSLMODEM同局端的交换机不能同步,这个ADSL/DSL灯长亮的条件,是必须的;2)在配置过程中填入“上网口令”的时候不小心输错,不妨重新输入一遍;3)ADSLMODEM启用了“路由模式”,需要将ADSLMDOEM复位成“桥接模式”;怎么复位到桥接模式可以和MODEM厂家联系取得操作方法;也可以这样判断:电脑接MODEM,并且在电脑上拨号,拨号成功以后可以上网,如果是这种情况的话,则说明MODEM的工作方式是桥接模式,可以排除这一可能性;4)ISP将电脑网卡的MAC地址帮定到了ADSL线路上;解决的办法就是使用路由器的“MAC地址克隆”功能,将网卡的MAC地址复制到路由器的WAN口;如果上面的可能性都排除了,ADSLPPPoE拨号一般就没什么问题了,下面列举的是另2个值得关注的故障原因;5)您的宽带接入方式是那种以太网线直接引入,不是ADSL但同样需要拨号,拨号的软件不局限于一种,认证使用的协议也是PPPoE,但就是拨号成功不了;如果ISP承诺带宽是10Mbps,建议:找个10/100M自适应的集线器,将宽带进线接在集线器上,然后再连结集线器到路由器WAN口;经过这样一个速率适配的过程,拨号应该没有问题的;6)购买路由器前,您也是通过电脑运行拨号软件,填入用户名口令拨号。但拨号软件是ISP提供的专用软件,别的软件拨号是成功不了的;如果是这种情况,请联系ISP咨询一下:您的宽带接入,认证使用的协议是802.1X吗?如果是的,有种可能是认证系统在开发过程中加入私有信息,导致路由器拨号失败;7,其他配置1)安全设置当可以正常上网了,可能出于不同的原因,您想要对内部局域网的电脑上网操作,开放不同的权限,比如只允许登录某些网站、只能收发E-mail、一部分有限制、一部分不限制;用户在这方面需求差异较大,有些通过路由器可以实现,有些用路由器是没办法完全实现的,比如“IP地址和网卡地址绑定”这个功能,路由器不能完全做到;我们上网的操作,其实质是电脑不断发送请求数据包,这些请求数据包必然包含一些参数比如:源IP、目的IP、源端口、目的端口等等;路由器正是通过对这些参数的限制,来达到控制内部局域网的电脑不同上网权限的目的;下面我们会列举具有代表性的配置举例,来说明路由器“防火墙设置”、“IP地址过滤”这些功能是怎样使用的?列举的事例以及上面红字部分的解释,都是为了帮助您尽可能理解各个功能参数的含义,只有理解了参数的含义,您才可以随心所欲的配置过滤规则,迅速实现您预期的目的,而不会因为配置错误导致不能使用这些功能,也不会因为由于得不到及时的技术支持而耽误您的应用;上图是“防火墙设置”页面,可以看到这是一个总开关的设置页面,凡是没有使用的功能,就请不要在它前面打钩选中;除了总开关,再有就是两个过滤功能“缺省过滤规则”的确定,何谓缺省过滤规则?我们在具体规则设置页面里,定义一些特定
本文标题:路由器防火墙功能应用实例
链接地址:https://www.777doc.com/doc-4769058 .html