1、当在“网络安全”“攻击防御”“内网防御”中启用“内网病毒防御”和“广播风暴抑制”功能以后,路由器会显示当前拦截到的内网病毒包和广播包的数量,拦截这些包的主要目的是保证内网整体的可靠性和可用性。网络攻击报警:路由器一旦遭遇来自内网或者外网的网络攻击,便会在此做出相应提示。方便网络管理员排查故障。 产品型号:路由器的型号。本例是VE1560 V4N。版本型号:路由器的当前固件版本。本例是Beta 10052008-12-15 02:22:30 PM。产品序列号:路由器的序列号。路由器序列号是每个路由器的唯一标识。策略库版本:路由器内置的电信策略包和网通策略包,当前版本是081031。点击“立即更新
2、”按钮可以自动更新策略路由包的版本。客户机网络连接数排行:在这里可以显示当前占用网络连接数最多的10台内网主机的排行情况。在正常使用情况下,单台内网主机的网络连接数在300以内,如果某台内网主机网络连接数长时间明显大于这个值,请检查该主机是否感染网络病毒。一旦某台内网主机作为服务器对外开放,则网络连接数会显著上升。可以通过“网络安全”“攻击防御”“网络连接数限制”功能对每台内网主机能够占用的最大网络连接数进行限制,以保证网络整体的可靠性和可用性。 在实际应用中,一台计算机正常情况下一般只有10-50条NAT连接。某些感染了蠕虫病毒或滥用P2P下载工具的内网计算机会对外发起众多的连接请求,严重干
3、扰网络的正常运行,通过查看客户机网络连接数排行榜,可以轻松定位到染毒主机,为网络故障的排查带来方便。如果染毒的内网主机网络连接数过大,需要及时将染毒主机断网并杀毒,从而保护其他主机的正常网络使用。5.2.2网络接口显示路由器当前网络接口详细信息。可以通过本界面观察路由器的广域网和局域网的连接状态以及接口信息。其中包括:设备接口的物理地址(MAC地址),IP地址,子网掩码,网关地址,接受/发送数据量等信息。对于ADSL PPPoE拨号线路,提供手动断开与连接按钮,并显示已连接的时间。通过使用飞鱼星独有的“流量实时监测”功能,相应的WAN口带宽使用情况便一目了然地展现出来。下图是查看WAN1口“十
4、分钟”的带宽使用情况:5.2.3系统日志本界面提供的功能是将网络日志和系统日志通过标准协议传输到日志服务器上进行保存。日志服务器运行“飞鱼星日志管理服务器软件”接收日志信息。启用系统日志服务:启用并保存后,重启路由器,将会在本界面中的“系统日志”选项看到系统日志。启用日志服务器:指定日志服务器的IP地址,在日志服务器上结合飞鱼星日志管理服务器软件接收路由器产生的日志信息。请在官方网站下载该软件。 在路由器上查看系统日志信息,点击“系统日志”即可。如下图所示:5.2.4网络检测本界面提供两个使用频率最高的网络命令,ping和tracert,命令的发起端都是路由器。使用ping可以检测目标地址是否
5、可以到达。比如,ping 61.139.2.69的结果如下图所示:(ping包个数选择3个)由于61.139.2.69是一个外网地址,根据使用ping命令的结果得出的结论是:从路由器发出的数据包可以到达外网,并且路由器可以收到外网回应的数据包,说明外网是通的;只要路由器没有配置任何限制规则,内网的用户就可以通过路由器上网。再举个例子来说明tracert的使用情况, tracert 61.139.2.69的结果如下图所示:根据使用tracert命令的结果,得出的结论是:从路由器发出的数据包在到达61.139.2.69(电信地址)之前经过了4个网关的转发。通常我们只关心所到达的第一个网关,在这里是
6、221.237.64.1,它是WAN口电信线路的网关,本例是在使用电信和网通双线接入的情况下测试tracert,输出结果验证了访问电信的资源从电信的线路出访,实现了策略路由。5.2.5内网监控内网监控功能采用高速网络流量采集和分析技术,精确统计内网每个IP的累计流量、实时速度、网络连接数等关键指标,并可以按任意指标排名分析;实时分析各IP的网络连接详情,轻松掌握网络资源分配情况,定位问题易如反掌。内网监控的“管控”功能可以一键禁止内网异常活动IP上网。启用内网分析:将分析服务状态选择为“启用”,并保存。排序方式:可以将内网的活动主机按照累计下载、累计上传、下载速度、上传速度、网络连接数等指标排
7、名,本例是按照主机IP地址排名。点击蓝色字体“主机”即可。管控:当您发现某个IP活动异常时,可以使用管控功能,单击管控列的绿色按钮即可一键阻断其访问外网。当您阻断某个IP地址上网后,您可以在禁止列表中看到该IP:当您删除所有规则以后,此IP地址又可以正常上网了。刷新:点击“刷新”按钮后,路由器每5秒刷新一次排序列表。通过点击相应的主机IP地址或者该主机的网络连接数,可以查看该主机的NAT连接数详情。点击“192.168.0.61”出现如下图所示的界面:5.2.6报文捕获 报文捕获功能提供在路由器上直接抓取经过路由器LAN口或WAN口的数据包,便于分析当前网络运行情况。数据包文件:点击“开始抓包
8、”后,被捕获的数据包会形成名为packet.cap的文件,该文件可以使用wireshark(ethereal)等软件打开。类型:希望捕获哪种类型的数据包。可选项有,ARP、ICMP、TCP、UDP或者ALL(全部类型)。默认捕获全部类型的数据包。源IP地址:被捕获的数据包的源地址。目标IP地址:被捕获的数据包的目的地址。源端口与目标端口:被捕获的数据包的源端口与目的端口。接口:希望捕获哪个接口的数据包。可选项有LAN、WAN、ALL(全部)。数量:每次捕获数据包的个数,每次最多可以捕获1000个数据包。设置并点击“开始抓包”后,系统会提示剩余包个数,当剩余包为0个时,系统自动停止本次抓包。5.
9、3基础设置5.3.1配置向导通过快速配置向导可以轻松地完成上网所需要的基本设置,直接点击“下一步”进行操作,按照系统提示正确输入参数即可。5.3.2基本选项本界面包含路由器系统的一些基本配置信息,通常情况下,基本选项保持默认配置即可。注意:如果您将本界面的配置参数(除手动设置时间)做了修改以后需要重新启动路由器才生效。主机名称:路由器的名称。可以在这里给路由器设定一个名称,默认是volans域名:路由器作为内网DHCP服务器时所使用的名称。时间服务器地址:路由器通过时间服务器获取准确的系统时间。手动设置时间:如果时间服务器故障导致不能正常更新路由器系统时间,用户可以自己设置时间。最大数据分段:
10、对于某些特殊地区的ISP,用户只有手动设置最大数据分段以后才能更流畅地使用网络。最大数据分段的范围是536-1460字节,通常情况下保持默认即可,错误的数据分段会导致您的网络无法正常使用。支持端口回流:当您访问内网主机对公网提供的服务时,可能出于习惯使用路由器WAN口IP地址进行访问,此时就需要端口回流功能来支持您的应用,打勾表示启用此功能;如果不启用此功能您只能使用服务器内网IP地址访问内网服务器。要试试远程的问题 是不是这样做了 我就可以远程公网ip地址来管理了5.3.3内网配置本界面用于配置内网接口参数,如下图所示:如果您将本界面的配置参数做了修改以后需要重新启动路由器才生效。IP地址:
11、设置路由器内网口的IP地址,这个地址就是内网计算机的网关地址。该地址出厂时设置为192.168.0.1,可以根据需要改变它,如果改变了路由器内网IP地址,重新启动路由器后才能生效。重启成功后,必须用新设置的IP地址才能登录路由器进行WEB界面管理。局域网中所有主机的IP地址需与路由器内网口IP地址在同一网段,并且默认网关设置为路由器内网口IP地址才能正常上网。子网掩码:根据内网规模选择,一般填255.255.255.0即可。路由器默认使用的子网掩码是255.255.255.0,可以根据需要更改。内网扩展IP地址:本路由器内网口允许配置多个IP地址,当内部有多于一个子网时可能会使用到该功能。可以
12、在“内网扩展IP地址”中添加3个地址,其功能与路由器内网地址基本一致,通常作为相应子网的网关使用。5.3.4 外网配置本界面用于配置WAN口的接口参数。每个WAN口都支持三种连接方式,静态地址线路,PPPOE拨号线路,动态获取地址线路。1静态地址线路申请的线路的广域网IP地址,由网络服务商提供,可以向网络服务商询问获得。当前IP所对应的子网掩码,由网络服务商提供,可以向网络服务商询问获得。缺省网关:当前IP所对应的网关,由网络服务商提供,可以向网络服务商询问获得。DNS服务器1/DNS服务器2:填入网络服务商提供的DNS服务器IP地址,可以向网络服务商询问获得。网络服务商:您申请线路的ISP,
13、比如中国网通或者中国电信。如果选择“不指定”,则该线路需与静态路由功能配合使用。线路带宽:申请的WAN1口静态线路的带宽,可以向网络服务商询问获得。MTU设置:MTU(最大传输单元),系统默认使用1500字节。通常情况下这个参数不用设置,保留“自动”即可。不恰当的MTU设置可能导致网络性能变差甚至无法使用。工作模式:本路由器对于WAN1口提供四种工作模式。 1NAT(网络地址转换)模式。如果内网使用了一个私有的网络地址段,比如10.x.x.x/172.16.x.x/192.168.x.x,并且需要访问互联网,则路由器需要工作在NAT模式下。路由器工作在NAT模式时,内网中的出访数据包的源地址将
14、被转换为路由器WAN口配置的合法IP地址。目前绝大多数用户使用的是这种工作模式。2路由模式。如果内网的主机全部是合法的公网地址,可以配置路由器工作在路由模式下。路由器工作在路由模式时,内网中出访数据包的源地址将使用本机的合法公网地址,不会被转换为路由器WAN口配置的IP地址。目前使用这种工作模式的客户比较少。3透明桥模式。该模式只针对WAN1使用;如果内网每台主机都是同一ISP(比如网通)公网地址,又增加一条宽带线路(比如电信),电信线路具备一个或多个公网地址,在这种情况下,可以配置路由器工作在透明桥模式。路由器工作在透明桥模式时,内网的主机不需要修改任何配置,就可以实现“访问电信数据走电信线
15、路,访问网通数据走网通线路”的策略路由,还可以实现线路备份等功能。目前使用这种工作模式的客户也比较少。4桥接模式。启用该模式后,路由器的LAN口和WAN1口实现纯桥功能。LAN侧PC的网关应指到WAN侧的真实网关地址,路由器可对LAN侧的PC进行流控和上网行为管理等控制。通断检测:如果为不启用,则路由器不对此条线路的通断作判断。网关检测:如果WAN口到网关这一跳有故障,则选择网关检测效率最高。这个也是默认配置,推荐大多数客户使用。ARP检测:与网关检测功能几乎一样,用于特殊地区的ISP。DNS检测:用于第N(N=1)跳的故障。使用时必须正确配置静态线路的DNS地址,并填写检测域名。定时切换:某
16、些地区ISP存在零点断网问题。比如双线接入,WAN1线路每天凌晨0:00断网,早上7:00通网,则配置定时切换断线时间为:23:59,上线时间为:7:02。在断线期间,内网所有的上网数据全部由另外一条未断的线路出访,内网不会产生由于零点断网引起的“掉线”问题。试试 ? 看看还可以设置时间段的2PPPOE拨号线路PPPOE帐号:填入网络服务商提供的PPPOE线路帐号,可以向网络服务商询问获得。PPPOE口令:填入网络服务商提供的PPPOE线路口令,可以向网络服务商询问获得。按需拨号:当使用计时收费类型的PPPOE线路时,可以配置这个功能。配置该功能后,如果内网有上网请求,路由器会自动拨号连接,无
17、需人工干预;PPPOE线路空闲的时间达到设定的值后,系统自动切断PPPOE线路,节省费用。这个值应大于30秒,通常设置为300秒(5分钟)。申请的WAN1口PPPOE线路的带宽,可以向网络服务商询问获得。参考静态线路说明,默认使用“NAT模式”。参考静态线路说明。 3动态获取地址线路主机名:某些提供以太网动态获取地址线路的网络服务商可能需要,可以向服网络务商询问获得。申请的WAN1口以太网动态获取地址线路的带宽,可以向网络服务商询问获得。WAN2、WAN3、WAN4线路的参数说明与配置方法与WAN1线路的相同。当多WAN配置完毕以后,点击“外网设置”“智能均衡策略”,将模式设置为“智能均衡”:
18、智能均衡是飞鱼星路由器的一大特色,路由器将自动识别线路并调用路由策略,使多条线路工作在最佳状态下。 默认线路类型可选项有电信和网通。比如WAN1和WAN2口分别是网通与电信接入,此时如果内网访问教育网的资源,并且选择默认网络服务商“电信”,则访问教育网的数据从电信线路出访。 自定义策略,通过使用源地址路由、静态路由等选项来配置策略路由的高级路由方案,请参考源地址路由、静态路由的介绍。保存后如下图所示:5.3.5 DHCP服务器本界面主要提供DHCP服务器功能。如果内网计算机的TCP/IP协议配置为“自动获得IP地址”,并且在内网没有DHCP服务器的情况下,可以使用该功能。DHCP是Dynami
19、c Host Configuration Protocol(动态主机配置协议)的缩写,它是TCPIP协议簇中的一种,主要是用来给网络客户机分配IP地址。这些被分配的IP地址都是DHCP服务器预先保留的一个由多个地址组成的地址集,此地址集一般是一段连续的地址。起始IP地址:DHCP服务器自动分配的内部IP的起始地址。结束IP地址:DHCP服务器自动分配的内部IP的结束地址。默认网关:路由器给PC分配的网关地址。通常为路由器的LAN口IP。分配的DNS服务器地址。租期(小时):设定DHCP服务器为客户端租用IP地址保留的过期时间,系统默认留空。如果留空,租期默认为12小时。绑定:启用自动绑定IP/
20、MAC功能后,路由器会自动绑定已分配的IP地址与相应主机的MAC地址,避免内网由于ARP欺骗所带来的掉线问题。当前内网DHCP服务器: 当此路由器作为一台DHCP服务器时,他它会主动探测同一局域网是否也存在其他DHCP服务器,如果有则显示其IP和MAC地址,避免DHCP服务冲突。DHCP服务器支持静态IP地址分配。如果希望内网某台主机每次启动以后都会获取DHCP服务器分配的同一IP地址,可以使用此功能。比如:内网有台计算机的MAC地址是00:01:02:03:04:05,希望它每次启动以后都会获取IP 192.168.0.2。首先,点击“添加新规则”添加一条规则;然后填写相应的IP地址与MAC
21、地址,并保存。配置的结果如下图所示:您也可以批量的添加静态地址,如下图:添加好保存以后显示:5.3.6 DHCP地址池 DHCP地址池显示路由器的DHCP服务当前状态。可以看到的信息有,已经分配的IP地址、该IP所对应的MAC地址、获取该IP的计算机名称、IP地址租约到期时间。5.3.7端口管理本界面提供的功能是调整路由器WAN口的工作模式,改变路由器内网口与外网口的MAC地址。接口模式:可以调整路由器WAN口的工作模式。提供四种工作模式供选择:10M全双工模式、10M半双工模式、100M全双工模式、100M半双工模式。通常情况下网络接口之间自动协商工作模式,用户不需要手动配置,保留“自动模式
22、”即可。也可查看其中某一端口的数据统计:MAC克隆:可以修改LAN口和WAN口的MAC地址,留空表示使用系统默认的MAC地址。某些网络服务商将提供给您的线路同某一个固定的MAC地址绑定起来,在这种情况下,MAC地址克隆就非常有用。5.4上网行为管理上网行为管理应用示例5.4.1 IP地址组 IP 地址组:用于将IP地址进行分组管理。这个IP组可以是内网的IP 段,也可以是公网的某些IP 段。设置好的IP组将与上网行为管理的各个子功能配合使用,可用于定义源IP或者目的IP。 比如企业研发部的IP段:192.168.0.20-192.168.0.30,将研发部配置为一个IP组的方法是,点击“添加新
23、规则”。1、 组名称:yanfabu2、 IP段:192.168.0.20-192.168.0.50,点击“添加”按钮。3、 描述:添加注释“研发部”。4、 点击“保存”后出现如下的界面。类似地,可以添加企业行政部、市场部,或者添加一组外网的不安全IP段221.50.50.0-221.50.50.254。5.4.2 网址分类管理 网址分类管理功能将大多数热门网站进行分类,用于对外网网站的访问进行管控,杜绝员工访问与工作无关网站。市场部同事由于业务需要,工作时间可以访问所有网站;但是在工作时间只允许其他部门员工访问合作伙伴网站,而不允许访问其他网站。配置如下: 将“启用网址分类管理功能”打勾。
24、在白名单中添加。 将“休闲娱乐” “其他网址”的所有分类全部“阻断”。 点击“保存”按钮。阻断:启用后,禁止用户访问“被阻断网站”,并将网址自动跳转到指定页面。记录:启用后,日志会记录某个IP什么时候访问过哪些网站。警告:启用后,当用户访问“被警告网站”时,浏览器会显示警告信息。在例外IP地址组,可以添加不受以上规则约束的IP地址组。如:市场部此时,市场部同事可以访问所有的网站,而其他组的同事只能访问。5.4.3域名安全域名安全功能可以禁止内网的计算机访问某些网站和不安全的IP地址组,并记录访问日志。比如禁止内网的除了市场部(shichangbu)的所有计算机访问目的IP是virus组(221
25、.50.50.0-221.50.50.254)和,。配置方法如下: 将“启用域名安全功能”打勾。 将“shichangbu”添加到例外IP地址组。 将“virus”添加到过滤目的IP组。 将“启用DNS访问日志”打勾。5、 添加和,每行填写一个网址。6、5.4.4 WEB安全 WEB安全可以实现禁止内网用户在论坛发帖子、防止企业信息外泄;禁止用户下载指定扩展名(比如exe;torrent)的文件、禁止用户访问URL包含指定关键字的网站等功能。 比如禁止除了市场部(shichangbu)的所有计算机在论坛发帖、下载扩展文件名为.exe、.torrent的文件、访问URL包含bbs、org的网站。
26、 将“启用WEB安全功能”打勾。 将“禁用WEB页面提交”打勾。 过滤文件扩展类型填写:torrent,exe。(用英文的逗号分隔) 过滤的URL关键字填写:bbs,org。5.4.5 电子公告 电子公告功能将按照管理员设置的公告周期定时向用户发送公告内容,内网用户可以通过浏览器查看到公告内容。 聊天软件过滤、P2P软件过滤和股票软件过滤采用深度协议分析技术,可以有效限制内网计算机使用MSN、飞信、skype、迅雷、电驴、BT、VAGAA、KUGOO、PPLIVE、PPSTREAM、股票行情软件等应用程序。对于QQ的封锁,除了可以封锁QQ通过代理登陆外,还可以针对QQ号码封锁,允许例外的QQ号码登陆。 注意:由于某些P2P软件或者聊天软件的版本不同或是有更新,可能应用软件过滤功能会对该版本的软件失效,飞鱼星科技会不定期更新软件特征库,确保过滤功能对绝大多数的软件版本有效。1、聊天软件过滤 聊天软件过滤提供对QQ、MSN、飞信、SKYPE、阿里旺旺软件的过滤。比如禁止所有计算机使用QQ、MSN、skype、飞信、阿里旺旺等聊天软件,并且只允许市场部登陆工作QQ12345678、23456789,其余私人Q
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1