(3)分配状态表
选择“分配状态表”标签可查看DHCP服务器当前的IP地址分配情况,包括IP地址、主机名、MAC 地址等。
单击“释放”按钮用于强制清除“已分配”给该PC的IP地址,使得这个 IP地址可以被重新分配。
3.无线网络
单击导航栏中的“无线网络”,打开路由器“无线网络”设置窗口。包括基本设置、高级设置、加密设置和无线结点MAC过滤等多个页面。
(1)基本设置
选择“基本设置”多页控件,进入“无线网络基本设置”选项卡。
(2)高级设置
选择“高级设置”标签,进入“无线网络高级设置”选项卡。配置这些项目需要较高的技术水平,在对配置项目不是很了解的情况下,建议使用默认配置。
(3)加密设置
选择“加密”标签,进入“无线网络加密设置”选项卡。通过加密设置,提高了无线客户端与设备间数据传输安全性。
启用“无线网络加密”后,可以在“安全模式”下拉列表框中选择“WPA Pre-SharedKey”、“WEP”进入相应的设置界面。下面将分别介绍这两种加密方式下的配置。
(4)无线结点MAC过滤
根据无线网卡的MAC地址来控制其能否接入设备。最多可以设置10个MAC地址过滤。
启用“MAC地址过滤后”,将出现结点MAC地址过滤表。在图中的MAC地址栏中输入MAC地址,在“状态选择”栏中,若选中“仅禁止”单选按钮,就可以禁止对应的无线客户端接入;若选中“仅允许”单选按钮,就可以禁止除过滤表外的无线客户端接入。
4.网络安全
网络安全主要包括防黑客攻击、病毒防护、站点控制、访问控制和MAC 控制。
“防黑客攻击”和“病毒防护”用于有效抵御来自 Internet的黑客和病毒入侵;“站点控制”、“访问控制”和“MAC 地址控制”用来控制(禁止或者允许)局域网内的计算机访问Internet或者特定的应用,三者优先级从低到高。
(1)防黑客攻击
通常的黑客攻击,是指恶意侵入或破坏网上的服务器(主机),盗取服务器的敏感数据、干扰破坏服务器对外提供的服务或直接破坏网络设备。
单击导航栏中的“网络安全”,打开“网络安全”窗口。包括“防黑客攻击”、“病毒防护”、“站点控制”、“访问控制”和“MAC 地址控制”五个选项卡。首先进入“防黑客攻击”选项卡,WBR204g+支持多种防黑客攻击方式。
(2)病毒防护
病毒防护功能可以防止常见病毒的入侵。选择“病毒防护”标签,进入“病毒防护”选项卡。
(3)站点控制
这个功能可以限制局域网内的用户访问指定的网站。WBR204g+最多可以设置50条站点控制。选择“站点控制”标签,进入“站点控制”选项卡,默认情况下不开启站点控制功能。
选中“按照配置的策略访问Internet站点”单选按钮,页面会增加“新建”、“导入”、“全部删除”和“帮助”四个按钮。
单击“新建”按钮,弹出“访问权限”设置界面,可以输入要进行控制的站点。
如果不开启站点控制功能,则局域网内的所有计算机都可以不受限制地访问Internet站点;如果选择配置访问Internet站点策略,则要根据策略规定进行访问,如访问权限选择“禁止”,在“指定站点”的文本框中输入要被禁止访问站点的IP地址或者网址,则局域网内的计算机将无法访问该站点。
例如,在文本框中输入且访问权限选择“禁止”,单击“确定”按钮,即可禁止局域网内的计算机访问该站点。
说明:
站点控制只对HTTP站点生效。
单击“删除”按钮,可以删除对应的站点控制;单击“全部删除”按钮,可以删除所有的站点过滤控制。
单击“导入”按钮,单击“从文件中导入站点过滤表”界面,可以直接导入站点过滤表,比逐条新建的方式更加快捷。
单击“浏览”按钮,选中需要的站点过滤表,确定后即可完成导入。为了方便用户,公司网站有站点过滤表供下载,可以下载合适的过滤表并在此导入。
(4)访问控制
可以通过设置时间段、局域网内计算机的IP地址、端口范围和数据包类型,来限制局域网内的计算机对Internet的访问。WBR204g+最多可以设置5 条访问控制。
在“网络安全”窗口中单击“访问控制”标签,进入“访问控制”选项卡。
注意:
WBR204g+的5 条访问控制是从上往下匹配,当数据流满足规则时,不再往下匹配。
默认情况下,允许所有局域网内的计算机访问Internet,一旦有一条规则设置了“允许”,则潜规则就为“禁止”,即禁止其他计算机和端口访问 Internet。
例如,局域网内所有计算机,从星期一到星期五,每天08:00~20:00禁止上网。
例如,设置的计算机(假设 IP地址为192.168.1.3)只能接收,但不能发送 E-mail。
分析:因为发送 E-mail和接收 E-mail 使用的协议端口不同(分别对应 SMTP协议、TCP25 号端口和POP3服务协议、TCP110号端口),所以可以通过禁止192.168.1.3的计算机访问 TCP25 号端口来实现。
(5)MAC 地址控制
这个功能可以通过计算机的MAC 地址来限制访问Internet。WBR204g+最多可以设置10条MAC控制。
默认情况下,MAC地址过滤功能不启用,即局域网内的所有计算机都可以不受限制地访问Internet。如果选中 MAC 地址过滤“启用”复选框(打钩表示选中)。
WBR204g+最多可以对10个MAC地址进行访问控制,通过选择“仅禁止”或“仅允许”来禁止或允许这些 MAC 地址的设备访问Internet。
例如,禁止MAC地址为00-0F-83-16-35-4D和00-0F-85-16-39-5D的计算机访问Internet。
5.系统服务
(1)虚拟服务器
虚拟服务器(又称端口映射),在默认情况下,为保证局域网的安全,设备会阻断从外部(Internet)发起的连接请求,因此,如果要使Internet用户能够访问局域网内的服务器,就要设置虚拟服务器,也可称之为设置端口映射。虚拟服务器可以将 WAN 口IP地址、端口号(外部端口)和局域网内服务器IP地址、端口号(内部端口)建立映射关系,所有对该WAN口某服务端口的访问将会被重定向到指定的局域网内服务器的相应内部端口,即用户可以通过设置虚拟服务器,实现从Internet来访问内部服务器,如 Web服务、E-mail及FTP等。
DMZ主机实际上就是一个默认的虚拟服务器,如果设备收到一个来自外部网络的连接请求,它首先查找虚拟服务列表,如果有匹配的表项,就把请求消息发送到对应的虚拟服务器上去,如果没有查到匹配的表项,就转发到DMZ主机上去。
DMZ主机的设置方法如下。
单击导航栏中的“系统服务”,打开“系统服务”窗口,该窗口主要包括“虚拟服务器”、“特殊应用”、“远程管理”和“动态域名”四个选项卡。首先进入“虚拟服务器”选项卡。
如果不设置DMZ主机,则当外来数据包没有重定向到任何虚拟服务器的时候,会被丢弃,否则选择“重定向到DMZ主机”,并输入其IP地址,数据包将会被发到该地址。
注意:
在设置一台局域网的计算机作为DMZ主机之前,建议给它设置一个静态 IP地址。
启用了DMZ之后,实际上就关闭了设备对DMZ主机的防火墙保护功能。
新建虚拟服务器的方法如下。
单击“新建”按钮,弹出“新建虚拟服务器”窗口,输入服务名称(或从预置设置中选择)、外部端口、内部端口和内部服务器IP地址,最后单击“确定”按钮。
WBR204g+最多可设置10个虚拟服务器。
例如,局域网内有一台FTP服务器(IP地址为192.168.1.5),连上Internet后,希望Internet上的所有人都能访问到这台服务器。
选择“预置设置”中的“FTP(port:21)”选项,在“内部服务器 IP”栏内输入192.168.1.5,再单击“确定”按钮完成设置。
完成设置后,所有来自外部Internet 用户的FTP 请求都将转发到IP地址为192.168.1.5的主机上。Internet上的计算机只要在IE 地址栏中输入ftp://x.x.x.x 就能访问到该FTP服务器(x.x.x.x为路由器WAN口的IP地址,WAN口的IP地址可到“状态记录/状态”页面里查看)。
注意:
设置计算机作为虚拟服务器,应该给它设置一个静态 IP地址。
单击“虚拟服务器”选项卡中的虚拟服务器的服务名称,如 FTP,可弹出“虚拟服务器”窗口,修改其中的设置项,然后单击“确定”按钮。
单击虚拟服务器列表中对应的“删除”按钮可删除该虚拟服务器。
(2)特殊应用
某些软件需要多个Internet连接,如Internet电话、视频会议等,而防火墙会阻挡这些连接的建立,为了使这些软件正常工作,防火墙必须知道什么情况下需要打开多个连接。通过定义特殊应用,当防火墙发现一个“触发端口”被某台计算机打开后,就能触发外来端口打开,此时允许建立多个连接。
注意:
局域网内主机通过触发端口与外部网络建立连接后,其相应的外来端口也将被打开,这时外部网络的计算机可以通过这些端口来访问局域网。
当局域网内主机的触发端口与外部网络的连接断开时,其相应的外来端口也将被关闭。
WBR204g+最多可以设置10个特殊应用。选择“系统服务”窗口的“特殊应用”选项卡,进入“特殊应用”选项卡。
单击“新建”按钮,弹出“特殊应用”设置窗口。
单击特殊应用显示页面中的某一特殊应用的名称,可弹出“特殊应用”设置窗口,可修改其中的设置项,然后单击“确定”按钮。
单击特殊应用列表中对应的“删除”按钮可删除该特殊应用。
通过对远程管理功能的设置,可以选择是否通过Internet来远程访问和设置本设备。
选择系统服务窗口的“远程管理”标签,进入“远程管理”选项卡。
如果选中“允许”远程管理,那么就可以通过Internet来访问本设备。远程管理的端口号可以设置,端口范围为1025~65535,默认为8000。