ADSL Modem防火墙完全攻略

许多 ADSL Modem 都内置有防火墙，可以有效地保护计算机的安全，不受来自内部和外部恶意攻击。甚至还实现对攻击进行监控，并以 E-mail 形式及时通知用户。因此，如果没有在计算机中安装网络防火墙，或者想摆脱为网络内的计算机逐一设置防火墙的麻烦，可以直接启用 ADSL Modem 的防火墙。在使用时你会发现，简洁而实用的安全策略，正是我们所梦寐以求的。

下面以中兴 ZXDSL 831 （ Globespan 芯片）为例，简单介绍一下 ADSL Modem 内置防火墙的设置。默认状态下，防火墙的所有安全设置全部处于禁用（ Disable ）状态，若欲启用某项功能，则应当选择“ Enable ”选项。

 

     Blacklist Status  启用黑名单功能。当系统确认某个数据包具有攻击性时（即违反防火墙或 IP 过滤设定的规则），将在指定的时间段内（在“ Blacklist Period ”中指定，单位为“分钟”），对发送该数据包的源 IP 地址进行封锁，从而保护计算机不致遭受频繁的恶意攻击。

 

    Attack Protection  启用内置防火墙保护，并可有效地防止以下各种类型的攻击： IP 欺骗（ IP Spoofing ）、撕毁攻击（ Tear Drop ）、 Smurf 攻击和 Fraggle 攻击、陆地攻击（ Land Attack ）和死亡之 Ping （ Ping of Death ）。

 

     DoS Protection  启用 DoS （拒绝服务）保护，从而有效地避免遭遇 SYN DoS 、 ICMP DoS 和 Per-host DoS 等攻击。若欲搭建虚拟网站，需启用该功能；对于普通计算机而言，该选项意义不大。

Max Half Open TCP Conn  当半开放会话数量较大时，往往意味着正在发生 DoS 攻击或端口扫描。设置半开放状态时所允许的并发 IP 会话百分数。在 TCP 通信过程中，只有当连接的发起时，包才暂时处于半开放状态。当包开始交换时，其状态改变为活动；或者在交换完成后，状态改变为关闭。处于半开放状态的 TCP 连接可以使用最大可利用的 IP 会话。如果超过该百分数，半开放会话将被关闭，并由新的会话进行代替。建议将该值设置为 30 左右。

 

     Max ICMP Conn  设置使用 ICMP 消息时所允许的并发 IP 会话数。如果超过该百分数，旧的 ICMP IP 会话将被新的会话所代替。由于 ICMP 并不是网络通讯所必须的，所以，可以将该值设置得低一些。

Max Single Host Conn ：设定单独一台计算机所允许的并发 IP 会话百分数。设置该值时，应当考虑局域网内计算机的数量。当连接的计算机数量较多时，该值应当适当较少；当连接的计算机数量较少时，则可以设置得较大。

Log Destination ：用于在记录上列出攻击防火墙的事件，这些事件的记录可以形成报告，并通过网络或电子邮件发送给系统工具（ Trace ）或指定的管理员信箱（ Email ）。电子邮件报告信息中包括攻击时间、进行攻击的计算机的源 IP 地址、目标 IP 地址、使用的协议等。管理员的电子邮件地址在“ E-mail ID of Admin 1/2/3 ”中进行指定。

   除了使用内置防火墙（ FireWall ）保障计算机和网络的安全外，还可以借助“ IP 过滤”（ IP Filter ）和“屏蔽协议”（ Blocked Protocols ）功能，只开放经常使用的 TCP/UDP 端口（如 Web 端口 80 、 FTP 端口 21 、 RM 端口 554 、 E-mail 端口 25 和 110 、 QQ 端口 8000 等）或禁用某些严重危险的端口（如蠕虫病毒使用的 134~139 、 445 、 9995 、 4444 、 5554 等），只使用 TCP/IP 和 PPPoE 协议，从而拒绝蠕虫病毒和黑客的攻击。

本文出自 “刘晓辉” 博客，谢绝转载！