实习总结2

防攻击

IDS防范：在复杂网络环境中，常常由于计算机异常或中毒，导致其不断地发送一些攻击报文，造成路由器资源和网络带宽不必要的消耗。防攻击主要的目的就是发现并丢弃非法的报文，以保证整体网络的稳定性。通过“启用IDS防范功能”，设备对来自外网和内网的常见攻击类型进行防护，丢弃攻击报文。同时，IDS防范可以对相应的攻击事件以日志形式记录下来。包括：WAN口ping扫描、UDP扫描、TCP SYN扫描、TCP NULL扫描、TCP Stealth FIN扫描等。

报文源认证：本功能将对内网发送的报文进行源IP和源MAC认证，如果报文的源IP或源MAC来自不存在的主机，该报文将被丢弃。 开启本功能可防止内网的欺骗报文，提高网络稳定性。包括启用静态路由的报文源认证、启用基于ARP绑定、DHCP分配ARP防护下的报文源认证功能、启用基于动态ARP的报文源认证功能。

异常流量防护：开启异常主机流量防护功能后，可以保证设备受到异常流量攻击时仍可正常工作。为了更准确的区分流量的合法性，建议开启报文源认证页面的相关功能。下挂路由器的流量不在异常流量防护功能处理范围之内。异常主机流量防护阀值可自由设定，防护等级分为高中低三类，高：流量超过设定的阈值，将异常的主机添加到攻击列表，生效时间5分钟；中：流量超过设定的

VPN

      IPSEC VPN

安全联盟：通过安全联盟SA，IPSec能够对不同的数据流提供不同级别的安全保护。在这里可以查询到相应隧道当前状态，了解隧道建立的各个参数。

虚接口：虚接口的配置修改后，需要重新启用(先禁用再启用)引用该虚接口的IPSEC安全策略或重新使能IPSEC功能，新的配置才能生效。

IKE安全协议：安全提议的配置修改后，需要重新启用(先禁用再启用)引用该安全提议的IPSEC安全策略或重新使能IPSEC功能，新的配置才能生效。

IKE对等体：对等体的配置修改后，需要重新启用(先禁用再启用)引用该对等体的IPSEC安全策略或重新使能IPSEC功能，新的配置才能生效。

IPSEC安全提议：安全提议的配置修改后，需要重新启用(先禁用再启用)引用该安全提议的IPSEC安全策略或重新使能IPSEC功能，新的配置才能生效。

IPSec安全策略：虚接口、IKE安全提议、IKE对等体和IPSEC安全提议的配置都修改完成后，只需要重新启用(先禁用再启用)相关的IPSEC安全策略一次或重新使能IPSEC功能一次，新的配置就能生效；另外，修改IPSEC安全策略的配置也能使新的配置生效。

      L2TP VPN

                 L2TP状态：显示L2TP连接的状态，对端信息，隧道ID等。

                            L2TP客户端：LAC，配置用户名密码、服务器地址、隧道认证密码等

L2TP 服务端：LNS，配置服务器名称，服务器地址池，及隧道认证密码。Hello报文间隔：为了检测LAC和LNS之间隧道的连通性，LAC和LNS会定期向对端发送Hello报文，接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时，重复发送，如果重复发送6次仍没有收到对端的响应信息则认为L2TP隧道已经断开，需要重新建立隧道连接 LNS端可以配置与LAC端不同的Hello报文间隔。

LNS用户管理：设置LNS的用户名和密码，LAC中输入的用户名和密码需要存在于该列表中，隧道才能建立连接。

Qos设置

         流量管理

IP流量限制：路由器支持以下两种IP流量限制方式：•允许借用空闲的带宽：即弹性带宽限制，在带宽使用不紧张时（比如：早上，上网人数较少时），允许每个限速通道自由地使用系统带宽，其实际流量可以超过限速值；•只能使用预设的带宽：即固定带宽限制，每个限速通道的实际流量不能超过限速值。即使系统还有空闲的带宽，也不能利用。

                            可设置上行、下行限速，通过打双向流量，验证限速是否符合预期。

绿色通道管理：绿色通道以区分服务的方式对业务数据流进行转发。设备支持根据报文大小和端口号来区分数据业务流。通过设置“绿色专用通道”，为特定的数据业务流分配一定的带宽，以达到对控制数据流、游戏数据流的带宽进行保证的目的。

限制通道管理：可以将特定的数据业务流通过限制通道转发，从而可以限制大流量P2P应用（比如：BT、迅雷下载等）带宽的目的。设备支持根据端口号来区分数据业务流。通过设置“限制通道”，为特定的数据业务流分配一定的带宽，以达到对该数据流的带宽进行限制的目的。

         连接限制

网络连接数限制：路由器作为局域网内的统一出口，如果局域网内其中一部分计算机占用了大部分网络连接资源（比如：使用BT下载），其他上网用户将会受到影响。此时，您可通过对网络连接数进行限制，保证网络资源的有效利用。设置网络连接数时，除总连接数上限以外您还可以设置TCP连接数上限和UDP连接数上限。通过设置UDP连接数上限，您可以有效解决BT和视频播放等软件建立过多UDP连接，导致网页访问缓慢等问题(连接数过多，TCP连接无法建立)。通过起始IP和结束IP地址来进行限制，每IP网络连接数上限、每IP TCP连接数上限、每IP UDP连接数上限。

VLAN网络连接限数：VLAN网络连接限数即通过设置每个VLAN的连接数上限，从而有效解决了部分VLAN占用大量网络连接资源的问题，实现了网络资源的合理利用。

高级设置

         地址转换

NAT设置：NAT可以实现局域网内的多台计算机通过1个或多个公网IP地址接入因特网，即用少量的公网IP地址代表较多的私网IP地址，节省公网的IP地址。

一对一NAT：当有多个公有IP地址时，可以固定地把局域网内某台计算机的私有IP地址与公网IP地址建立映射关系。在这种模式下，您局域网里的计算机以及Internet上的计算机都可以通过访问该公网IP地址来访问对应的计算机。内网IP与公网IP建立一对一对应关系。

虚拟服务器：出于缺省的安全的角度考虑，本设备会阻断从外部（因特网）发起的请求。然而，如果您需要在因特网上能够访问到在内部LAN网络内的服务器，您就需要设置虚拟服务器的参数，设置外部端口、内部端口、内部服务器IP。DMZ主机实际上就是一个缺省的虚拟服务器，如果本设备收到一个来自外部网络的请求，它首先根据外部请求所请求服务的端口号，查看虚拟服务列表，看是否有匹配的。如果有，就把请求消息发送到对应的IP地址上去，如果没有查到匹配的，就转发到DMZ主机上去。当然，您也可以设置为不转发到DMZ主机而直接丢弃请求消息。

端口触发：当局域网内的客户端访问因特网上的服务器时，对于某些应用（比如：IP电话、视频会议等），客户端向服务器主动发起连接的同时，也需要服务器向客户端发起连接请求。而缺省情况下，路由器收到WAN侧主动连接的请求都会拒绝，此时通信会被中断。

通过设置路由器的端口触发规则，当客户端访问服务器并触发规则后，路由器会自动开放服务器需要向客户端请求的端口，从而可以保证通信正常，需设置触发端口与外来端口。当客户端和路由器长时间没有数据交互时，路由器自动关闭之前对外开放的端口，既保证应用的正常使用，又能最大限度地保证局域网的安全。

 ALG应用：ALG（ApplicationLevel Gateway，应用层网关）主要完成对应用层报文的处理。通常情况下，NAT只对报文头中的IP地址和端口信息进行转换，不对应用层数据载荷中的字段进行分析。然而一些特殊协议，它们报文的数据载荷中可能包含IP地址或端口信息，这些内容不能被NAT进行有效的转换，这就需要ALG来完成载荷字段信息的转换，以保证后续数据连接的正确建立。有：1、SIP；2、H323；3、FTP；4、TFTP；5、MMS；6、RTSP。

阈值，将主机上行流量控制在阈值范围内；低：流量超过设定的阈值，仅记录日志，仍然允许其访问本设备和Internet。

路由设置

静态路由：静态路由是一种特殊的路由，需要手工设置。设置静态路由后，去往指定目的地的报文将按照指定的路径进行转发。在组网结构比较简单的网络中，只需设置静态路由就可以实现网络互通。恰当地设置和使用静态路由可以改善网络的性能，并可为重要的网络应用保证带宽。要设置目的地址、子网掩码、下一跳地址、出接口。

策略路由：策略路由是一种依据所制定的策略进行路由选择的机制。需配置协议类型，源IP地址段、目的IP地址段、出接口。

         应用服务

DDNS：设备通过PPPoE或动态获取IP地址上网时，获取到的IP地址通常不固定，这给想访问内网服务器的因特网用户带来很大的不便，Dynamic DNS（DDNS）可以很好的解决这个问题。本设备在DDNS服务器上会建立一个IP与域名（需要预先注册）的关系表，当WAN口IP变化时，本设备会自动向指定的DDNS服务器发起更新请求，DDNS服务器上更新域名与IP地址的对应关系。保证了无论本设备的WAN口IP地址如何改变，因特网上的用户仍可以通过域名对其进行访问。

 UPNP：UPnP（UniversalPlug and Play)通用即插即用，是针对设备彼此间的通讯而制定的一组协议的统称。本设备作为UPnP网关，主要功能是完成端口自动映射，设备启用UPnP后，可以为支持UPnP的应用程序自动添加端口映射，加速点对点的传输，还可以解决一些传统业务（比如，MSN）不能穿越NAT的问题。但开启该功能同样会为支持UPnP功能的非法软件建立映射，存在安全隐患。通过UPnP实现端口自动映射需要满足三个条件：1.本设备必须启用UPnP功能；2.内网主机的操作系统必须支持并开启UPnP服务；3.应用程序必须支持并开启UPnP功能。开启UPNP功能，设备定时主动发送SSDP宣告，WAN口可抓到SSDP报文。

DNS Sever：本设备支持静态DNSServer功能，您可以手动指定网络设备的域名和IP的对应关系。

 

 

远程管理：Web远程管理：本设备支持静态DNSServer功能，您可以手动指定网络设备的域名和IP的对应关系。

                     远程Telnet管理：Telnet WAN口IP  2323。

                     本地Telnet管理：Telnet LAN口 IP。