360路由器防火墙(热门三篇)

一、低端路由器提供了用于阻止和允许特定IP 地址和端口号的基本防火墙功能，并使用NAT 来隐藏内部IP 地址，它们通常将防火墙功能提供为标准的、为阻止来自Internet 的入侵进行了优化的功能，虽然不需要配置，但是对它们进行进一步配置可进一步优化它们的性能。

二、高端路由器可配置为通过阻止较为明显的入侵以及通过使用ACL 实现其他IP 地址和端口限制，来加强访问权限。也可提供其他的防火墙功能，这些功能在某些路由器中提供了静态数据包筛选。在高端路由器中，以较低的成本提供了与硬件防火墙设备相似的防火墙功能，但是吞吐量较低。

三、路由器可以过滤屏蔽的数据包类型，诸如一些即时聊天软件、P2P软件和一些网络游戏，说得简单点，路由器防火墙实现的是包的过滤，他能侦测所有进出端口的数据包并加之检测和过滤。这就是从根本上出发，保障信息网络的安全，路由器的防火墙能对一些常见的网络攻击进行防护，千万不要小看这些攻击，任何一个都有可能使你陷入断网甚至更糟的局面。

四、下面我们简单介绍一下常见的网络攻击手段，让大家心中有数。

1、SYN Flood：我们叫做SYN泛洪。SYN Flood是当前最流行的DoS与DdoS的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽的攻击方式。换句话说，这个攻击如果不加以防范的话会引起网络设备死机。

(1)TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：首先，请求端发送一个包含SYN标志的TCP报文，SYN即同步，同步报文会指明客户端使用的端口以及TCP连接的初始序号，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手。

(2)假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的，这种情况下服务器端一般会重试并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源，即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求。

2、Smurf攻击：Smurf攻击是以最初发动这种攻击的程序名Smurf来命名的，这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务，Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。

3、ARP攻击：ARP攻击，是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。

(1)ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

(2)ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过ARP欺骗手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

无线路由器的防火墙过滤主要有IP地址过滤、MAC地址过滤、端口过滤、域名过滤和网址过滤等。无线路由器怎么设置防火墙过滤呢?

在无线路由器的设置页面，点击“过滤设置”，进入防火墙过滤设置页面。“过滤设置”是IP 地址过滤、MAC 地址过滤、网址关键字过滤、域名关键字过滤和应用程序过滤的总开关。如果选择禁用，那就是不使用路由器的防火墙功能。只有启用过滤控制之后，才能实现过滤功能。具体如下：

1、IP地址过滤

局域网IP是控制局域网对因特网的访问，广域网IP是控制对远端 IP 地址的访问。它们可以分开使用，也可以组合运用。(如控制局域网IP地址为192.168.1.10?192.168.1.100，新的广域网的IP地址为58.63.236.1?58.63.236.1.63。这样就可以控制局域网IP地址为192.168.1.10到192.168.1.100的电脑不能访问新浪网。)这些说明了我们可以控制这个区域内的任何一个IP地址(PC终端)的上网和上网行为;局域网可以控制上网，广域网可以控制我们访问某个网站;

首先，进入IP地址过滤页面，点击“马上设置”，进入“NTP设置”，点击“与主机同步”??“应用”，(注：下面的每个过滤设置必须首先进行该设置才能正常生效)如下图：其次，返回到“过滤设置”，选择“IP地址过滤”(IP地址过滤的日期和时间可以自定义)，把要控制的IP地址和定义的规则名称填入进去，然后确定。

2.MAC地址过滤

根据 MAC 地址控制局域网主机对因特网的访问;填入要控制的局域网主机的MAC地址。在“过滤规则设置”处选择“启用”，填写“规则名称”及“MAC地址”，并设置好日期及具体时间段。

3.网址过滤

根据网址的关键字进行过滤。如：想过滤掉所有“新浪”的网站，请输入关键字“sina”，就会过滤掉所有包含“sina”等有关字样的网站;

4.域名过滤

根据域名的关键字过滤掉要过滤的关键字，如：关键字qq.com会过滤所含有qq.com等字样。

5.应用程序过滤

根据MAC地址或IP地址过滤某些计算机上的应用程序，也可以过滤所有计算机上的应用程序，这时仅指定要过滤的应用程序即可。如：上班时间不许上 QQ，我们可以通过指定MAC地址或者控制IP段(192.168.1.1??192.168.1.254，控制该网段的用户不能够上QQ)，应用程序选择“Tencent QQ Protocol”(QQ，腾讯公司即时通信软件，日期、时间可以自定义(如：星期一--星期五的每天早上8：30--下午 18：00)。

注意事项

具体操作就完成了，你可以根据自己的需求来进行防火墙过滤设置，达到有效的目的。JCG无线路由器，帮您轻松过滤IP地址、MAC地址、端口、域名和网址，简单管理您的无线网络。

一、保护本地电脑，防火墙必须监控那些到本地网络地址的连接，只有有权到某些主机和服务的连接才能被允许，这项工作可以在forward中设置，以便比较匹配决定通过路由所有连接界面到本地网路目的地址的数据包。

二、保护路由避免没有认证的访问，防火墙必须监控那些到路由的连接，只能允许某些特定的主机到路由某些特定的tcp端口的访问，这项工作可以在input中设置，以便比较匹配通过路由所有连接界面到路由目的地址的数据包。

三、利用nat将本地的网络隐藏在一个公网的ip后面，所有本地网络的连接被伪装成来自路由本身的公网地址。这项工作可以通过启用伪装行为来实现源地址转换规则。

四、强制本地网络连接到公网的访问原则，防火墙必须监控那些来自本地网络地址的连接。这项工作可以通过forward中设置，或者通过伪装哪些被允许的连接来实现。数据的过滤会对router的性能造成一定的影响，为了把这个影响降到最低，这些过滤的规则必须放在各个chain的顶部，这个在传输控制协议选项non-syn-only中。

五、网络攻击产生的攻击数据流量在到达最终攻击目标时，数据流量可能是非常巨大的，为了保护被攻击的系统免于崩溃，我们可以采取以下两种策略：

1、在最终攻击目标的网络边界路由器上使用访问控制列表，拒绝将ping攻击数据包发往被攻击的主机。但这是一个粗努的方法，因为当你在路由器上完全限制了发往被攻击主机的ping数据包之后，其它希望正常通过的ping数据包也将无法通过。

2、在边界路由器上使用访问控制列表过滤ping数据之后，虽然可以保护路由器连接的内部网络免受攻击，但攻击的数据还是会大量涌入路由器，导致路由器接口的阻塞。

3、在最终攻击目标的网络边界路由器上使用CAR限制是一种更为可取的方法。通过CAR可以将流入网络的某一类数据包的总流量限制在一定的范围，从而可以保证其它数据的正常通过。