集成式安全防火墙-DrayTek

DrayTekVigorPro100

集成式安全防火墙

用户手册版本:1.0□期:2006/4/10©2006版权所有，翻版必究此出版物所包含信息受版权保护。未经版权所有人书面许可，任何人不得对其进行拷贝、传播、转录、摘抄、

存储到检索系统或转译成其它语言。交货以及其他详细资料的范围若有变化，恕不预先通知。Microsoft为微软公司注册商标。Windows视窗系列，包括Windows95,98,Me,NT.2000,XP以及其Explorer均属微软公司商标。Apple以及MacOS均属苹果计算机公司的注册商标。其他产品则为各自生产厂商之商标或注册商标。iiiVigorPro100用户手册eiii目录TOC\o"1-5"\h\zQ仁 :\o"CurrentDocument"LED说明 2接口说明 3\o"CurrentDocument"1.2硬件安装 4（2\o"CurrentDocument"配置基本设定 5\o"CurrentDocument"修改密码 5\o"CurrentDocument"快速开始向导 7\o"CurrentDocument"选择协议 8\o"CurrentDocument"PPPoE 9\o"CurrentDocument"PPTP 10\o"CurrentDocument"静态IP 12\o"CurrentDocument"DHCP 13\o"CurrentDocument"在线状态 15状态栏 15\o"CurrentDocument"③高级Web设定 17Internet接入 17IP网络基础 17\o"CurrentDocument"PPPoE 18\o"CurrentDocument"静态IP或DHCP（动态IP） 19\o"CurrentDocument"PPTP 22局域网 23局域网基础 23基本设定 25\o"CurrentDocument"价态路由 28\o"CurrentDocument"VLAN 30\o"CurrentDocument"NAT（网络地址转换） 32\o"CurrentDocument"设定虚拟服务器 32\o"CurrentDocument"DMZ主机设定 35\o"CurrentDocument"开放端口设定 37\o"CurrentDocument"防火墙 38\o"CurrentDocument"防火墙设定基础 38\o"CurrentDocument"基本设定 41\o"CurrentDocument"过滤器设定 43\o"CurrentDocument"即时通讯软件(IM)屏蔽设定 46\o"CurrentDocument"P2P过滤设定 47\o"CurrentDocument"拒绝服务(DoS)攻击防御 48\o"CurrentDocument"URL内容过滤 50\o"CurrentDocument"Web内容过滤 51\o"CurrentDocument"绑定IP到MAC 52\o"CurrentDocument"防入侵功能 54\o"CurrentDocument"基本设置 54高级设定 55\o"CurrentDocument"防病毒功能 57\o"CurrentDocument"基本设定 57\o"CurrentDocument"病毒歹U表 58\o"CurrentDocument"带宽管理 60\o"CurrentDocument"限制会话 60\o"CurrentDocument"限制带宽 61\o"CurrentDocument"服务质量(QoS) 62\o"CurrentDocument"应用程序 67\o"CurrentDocument"动态DNS 67\o"CurrentDocument"计划任务 69\o"CurrentDocument"RADIUS 70\o"CurrentDocument"UPnP 72\o"CurrentDocument"VPN和远程拨入设置 74\o"CurrentDocument"远程接入控制功能设定 75\o"CurrentDocument"PPP一般设定 75\o"CurrentDocument"IPSec一般设定 77\o"CurrentDocument"IPSec端点认证 78\o"CurrentDocument"为远程接入用户设定帐号 79\o"CurrentDocument"LANtoLAN 83\o"CurrentDocument"连接管理 92\o"CurrentDocument"证书管理 93\o"CurrentDocument"本地证书 93\o"CurrentDocument"可信CA证书 95\o"CurrentDocument"系统维护 96\o"CurrentDocument"系统状态 96\o"CurrentDocument"系统管理员密码 96\o"CurrentDocument"备份/还原设定档 97\o"CurrentDocument"系统日志(Syslog)/邮件警示 99\o"CurrentDocument"时间和日期 100\o"CurrentDocument"管理设定 101\o"CurrentDocument"重启系统 103\o"CurrentDocument"固件升级 103\o"CurrentDocument"特征库升级 104\o"CurrentDocument"诊断 106\o"CurrentDocument"拨号触发 106\o"CurrentDocument"查看路由表 106\o"CurrentDocument"查看ARP缓存表 108\o"CurrentDocument"查看DHCP分配的IP地址 108\o"CurrentDocument"NAT会话表 109\o"CurrentDocument"流量控制 109\o"CurrentDocument"流量图 110\o"CurrentDocument"范例与应用 113\o"CurrentDocument"局域网架设——基于NAT功能 113\o"CurrentDocument"带宽管理——规划网内主机带宽 114\o"CurrentDocument"会话管理——规划网内主机的会话使用 115\o"CurrentDocument"Web内容过滤 分类屏蔽网站 116\o"CurrentDocument"在总公司与分公司之间建立一条LAN-to-LAN连接 119\o"CurrentDocument"在企业网络和远程用户之间建立一个远程拨入连接 128\o"CurrentDocument"QoS设置范例 132\o"CurrentDocument"升级路由器固件 134\o"CurrentDocument"从WindowsCA服务器上申请一个证书 137\o"CurrentDocument"申请一个证书然后设置为WindowsCA服务器上的可信证书 141⑤…143\o"CurrentDocument"检查路由器硬件状态是否正常 143\o"CurrentDocument"检查您电脑的网络连接设罩是否正常 143\o"CurrentDocument"从您电脑Ping路由器 146\o"CurrentDocument"检查ISP设定是否正确 148\o"CurrentDocument"必要的话将路由器恢复至默认出厂设置 150\o"CurrentDocument"联系您的代理商 151Q序言VigorProlOO是一款适用于小型办公室、家庭办公室或是公司分布的，集防病毒和防入侵为一体的安全网络设备。VigorProlOO针对电子邮件、FTP及Web浏览的实时数据流，提供了对病毒、蠕虫以及恶意程序的防治。基于规则的网页内容过滤功能还可以灵活地阻挡那些不当的连接。再辅以DrayTek自己的DrayOSTM核心系统，VigorProlOO可以提供强大且稳定的VPN、防火墙以及路由功能。传统的基于代理的防病毒、防入侵方式在检查数据内容前需要事先储存文件中的数据，与此不同的是VigorProlOO装备了基于硬件的扫描引擎。因此VigorProlOO可以在不影响网络传输性能的情况下，在那些可疑的封包数据进入网络之前，对它们进行实时扫描。也就是说，这可以实时地保护整个网络不受病毒、入侵或是恶意软件的伤害。DrayTek在一段时间内免费提供给客户关于病毒/黑客的最新特征库和信息。考虑到简化客户的操作，DrayTek支持小组还提供了“PUSH”服务，这样VigorProlOO将会自动从DrayTek服务器获取最新的特征库。VigorProlOO系列还提供了可选的集成功能：客户可以选择打印服务器功能。集成式的设计使得网络管理更加的简单和便捷。该路由器支持Web,telnet以及SNMP等各种管理方式，方便客户的管理配置需求。快速开始向导可以让用户在很短的时间内就启用路由器。另外，Syslog可以帮助客户方便的进行故障诊断。

LED指示灯和接口DrayTekLV)VP'E3LED说明DrayTekLV)VP'E3VigorPro100LED指示灯状态说明ACT（活动）闪烁路由器已开机并正常运行亮路由器已开机Virus亮防病毒功能已启用IDP（入侵检测及保护）亮防入侵功能已启用VPN।'r冗VPN隧道已建立暗VPN隧道已关闭QoS亮QoS功能已经启用暗QoS功能已禁用PRN兄USB打印机已连接暗无打印机连接LAN(1,2)LNK亮对应接口已连接暗对应接口未连接100亮对应接口以100M速度连接照对应接口以10M速度连接FDX亮对应接口以全双通方式连接暗对应接口以半双通方式连接WAN/DMZ(1,2)LNK亮对应接口已连接闪烁对应接口正在传输数据暗对应接口未连接100।'r冗对应接口以100M速度连接暗对应接口以10M速度连接FDX“上对应接口以全双通方式连接暗对应接口以半双通方式连接注意：WAN2仅用于欧洲规格，须配合ISDN线路使用！中国、亚洲以及美国规格不提供WAN2功能。

接口说明FactoryReset恢复默认设定使用方法：开启路由器（ACTLED闪动）。用圆珠笔按下这个小孔里的按钮，保持5秒左右的按下状态。当发现ACTLED快速闪动的时候，松开按钮。路由器随后将重启并恢复出厂设置。WAN(1/2)连接到Internet的接口DMZ(l/2)连接到本地网络DMZ的接口LAN(1/2)连接到本地网络的接口PRN打印机接口PWR电源接口100-240VACON/OFF电源开关注意：WAN2仅用于欧洲规格，须配合ISDN线路使用！中国、亚洲以及美国规格不提供WAN2功能。硬件安装在开始设置前，请确保连接无误。.将电源线连接到路由器背后的插孔。.按下面板背面的电源开关开启路由器。.系统开始启动。在完成自检后，ACTLED开始闪烁。.用网线将PC连接到路由器的LAN口，相应的LANLED将点亮。.用网线将路由器的WAN口接到服务器/调制解调器/路由器（视您的环境而定）。相应的WAN1LED指示灯将点亮。配置基本设定若要安全有效的使用路由器，有必要先修改密码和一些基本设定。本章将介绍如何修改管理员密码以及如何修改Internet接入设定。请注意，只有管理员才可以修改设定。2.1修改密码要修改密码，首先请用默认密码登录到路由器Web管理界面。.确保电脑已正确连接到路由器。注意：您可以让您的电脑自动从路由器获取IP地址，也可以手动为电脑W 设置路由器默认IP地址的同网段地址。详细的信息请参考最后章节一故障排查。.打开网页浏览器，然后输入http://192.168.Ll。将有一个窗口弹出，要求您输入用户名和密码。您不用输入任何内容，只需直接点击确定即可进入路由器配置界面。.浏览器将显示路由器配置的主页面。

㈣VigorPro100SeriesInlineAnti-Virus/Anti-lntrusion系统状餐快速设定向导在线状态Internet接入型号名称 ：VigorProlO。series固件版本 :v2.6,0_RC12建立日期/时间 ：MonApr108:50:19.382006LANNAT 特征码版本 ：basic防火墙LANV防入侵功能MAC地址 ：00-S0-7F-2F-17-5ALANIP地址 ；192,168.LI子网掩码 ：255,255.255.0DHCP服务器 ：启用MAC地址连线IP地址默认网关DNS防春功能带宽管理应用程序VPN和远程拨入证书管理系统维护诊断.点系统维护并选择系统管理员密码。系统管理>>管理员定码设定.输入新密码并重复输入确认，最后点确定。.此时，密码已经完成变更。会再次显示如下窗口，要求输入新密码重新登录到路由器管理界面。

2.2快速开始向导若您的VigorPr。100所在环境可以提供高速NAT,以下设定可以可以帮助您快速配置并使用路由器。使用快速开始向导可以用最快捷的方式完成路由器部署，快速开始向导的第一个页面就是修改登录密码，输入密码，然后点击下一步。快速设定向导步骤S入登录定码.给入登录密码.选择时区.连续至Internet.MS此处无演设密码。安全起见，请选择一组数字或字元(最多为2孙字元)作为您的密码并将它输入至密码栏中。新密码 卜・・・・・・・重新输入野密码 卜・・・・・・・〈上一方|下一步〉|完成|取消|新密码 输入一个有效的新密码重新输入新密码重新输入一次新密码重新输入新密码重新输入一次新密码点击下一步，将要求选择所在的时区。选择正确的时区即可。快速设定向导选择时区.输入登录密码.输入登录密码.选择时区.连线至Internet4,摘要(GMT+08:00)北京，重庆|(GNT+08:00)北京，重庆―(GMT+08:00)香港，(GMT+08:00)北京，重庆(GMT+08:00)新加坡(GMT+08:00)台北(GMT+08:00)伯斯(GMT+09:00)汉城(GMT+09:00)大阪，札蟆，东京(GMT+09:00)雅库次克(GMT+09:30)达尔文市(GMT+09:30)阿德雷德(GMT+10:00)坎培拉，墨尔本，雪梨(上一步I下一步＞I完成I取消I点击下一步继续。将进入路由器的协议设定。

步骤连线至Internet.输入登录密码.选择时区.连线至Internet.摘要从下列互联网连线方式类型中选择您的互联网服务供应商所提供的服务类型。如果您不确定应该选择何种类空，请联系您的互联网服务供应商以取得详细浅料。⑤PPPoECPPTPr静态ipCDHCP＜上一步I下一步》I完成I取消I选择协议在快速开始向导中，可以选择PPPoE,PPTP,静态IP或DHCP作为网络连接的协议。快速设定向导步骤连线至Interneti.输入登录密码.选择时区.连线至Internet.摘要从下列互联网连线方式类型中选择您的互联网服务供应商所提供的服务类型。如果您不确定应该选择何种类型，请联系您的互联网服务供应商以取得详细资料。GPPPoECPPTPr静态ipCDHCP（上一步|下一步〉|完成|取消|根据自己使用的Internet接入方式，选择相应的协议，然后点击下一步继续。222PPPoEPPPoEPoint-to-PointProtocoloverEthernet（基于以太网的点对点协议）。这种连线方式一般是ADSL用户的联网方式。所有的本地用户可以通过共享一条PPPoE线路来上网。ISP将提供用户名，密码以及认证方式等必要的拨入信息。（而PPPoA是指Point-to-PointProtocoloverATM,即基于ATM网的点对点协议）如果ISP提供PPPoE的连接方式，在此页面请选择PPPoE并继续。快速设定向导步禁连线至Internet.输入登录密码.选择时区.连线至Internet-PPPoE4,摘要请输入您的互联网服务供应商所提供的用户名及密码。用户名 |adain密码 卜•••重新输入密码 卜•••连线类型出一直连线「需要时拨接闲置超时＜上一步|下一步）|完成|取消|用户名输入ISP提供的用户名密码输入ISP提供的密码重新输入密码重新输入密码一直在线选中路由器将一直连接到Internet。需要时拨接选中表示当有网络访问请求时才会拨号。闲置超时当网络无流量达指定时间后，断开网络连接。（单位为秒）点击下一步，查看该连接的总结信息。步骤摘要.输入登录密码.选择时区3,连续至Internet4.摘要请检查您的设定：Internet连线方式： PPPoE时区： (GMT+08:00)北京，重庆按一下上一步在必要时修改变更。否则，按一下完成保存当前设定并重启VigorProlOOo＜上一步I下一'I I取消I点击完成。完成设定的页面将会如卜"快速设定向导快速设定向导设置完成！！！2.2.3PPTP如果1SP提供的是PPTP连接，那么请选择PPTP并点击下一步。快速设定向导步骤连线至Internet.输入登录密码.选择时区.连线至Internet.摘要从下列互联网连线方式类型中选择您的互联网服务供应商所提供的服务类型。如果您不确定应该选择何种类型，请联系您的互联网服务供应商以取得详细货料。CPPPoE廿PPTPr静态ipCDHCP＜上一步|下一步)|完成|取消|会显示下列页面。输入ISP提供的全部相关信息到该页面。快速设定向导步骤连线至Internet1.输入登录密码2.选择时区请输入由您的互联网服务供应商所提供的用户名、密码、WANIP设定及PPTP服务器IP。3.连线至Internet用户名 |adnin-PPTP4.密码 卜•••重新输入密码 1••••WANIP设置「自动取得IP地址G指定IP地址I池址 |~,|一,|~,|~子网掩码 I-.I-,I-J-PPTP服务器IP |~,|一.|一,|一＜上一步I下一步》I完成I取消I用户名 输入ISP提供的用户名。密码重新输入密码自动获取IP地址指定IP地址输入ISP提供的密码。重新输入密码。选中表示自动从ISP获得IP地址，无需自行输入IP地址。输入从ISP获取的相关信息。IP地址-输入IP地址子网掩码-输入子网掩码PPTP服务器IP-输入PPTP服务器IP完成此设定页面并点击下一步，可以看到以下页面。快速设定向导步骤摘要.输入登录密码.选择时区.连线至Internet.摘要请检查您的设定：Internet连线方式： PPTPB寸区： (GMT+08:00)北京，重庆按一下上一步在必要时修改变更。否则，按一下完成保存当前设定并重启VigorProlOOo＜上一步I下一步》I I取消I

点击完成。完成设定的页面将显示如下。快速设定向导快速设定向导设置完成！I!静态IP如果isp提供的是静态ip连接，那么请选择静态ip并点击下一步。快速设定向导步骤连线至Internet.输入登录密码.选择时区.连线至Internet.摘要从下列互联网连线方式类型中选择您的互联网服务供应商所提供的服务类空。如果您不确定应该选择何种类型，请联系您的互联网服务供应商以取得详细资料。CPPPoECPPTPG静态IPrDHCP＜上一步| 下一步〉|完成|取消|会显示以下页面。快速设定向导步骤连线至Internet1.输入登录密码请输入您的互联网服务供应商所提供的静态IP设置。2.选撵时区WANIP瓯,所,瓯,彳3.连线至Internet-静态IP子两掩码[255".|256".|255".|6-4,摘要网关主DNS备用DNS瓯.|2rT.|200',[ioo-L.LLLLLLI-e选）（上一步|下一步〉|完成|取消|输入ISP提供的所有相关信息。WANIP 输入WANIP地址子网掩码 输入子网掩码网关 输入网关

主DNS主DNS备用DNS输入主DNS地址输入备用DNS地址（可选）完成此页设定并点击下一步，可以看到如下页面。快速设定向导步算摘要.输入登录密码.选择时区.连线至Internet.摘要请检查您的设定：Internet连线方式：静态IP时区， （GMT+08:00）北京，重庆按一下上一步在必要时修改变更。否则，按一下完成保存当前设定并重启VigorPro100o（上一步|下一步＞|完成|取消|点击完成。完成设定的页面将显示如下。快速设定向导快速设定向导设置完成！！！DHCP如果ISP提供的是DHCP连接，那么请选择DHCP并点击下一步。快速设定向导步骤连线至Internet.输入登录密码.选择时区.连线至Internet4,摘要从下列互联网连线方式类型中选择您的互联网服务供应商所提供的服务类型。如果您不确定应该选择何种类型，请联系您的互联网服务供应商以取得详细资料。CPPPoECPPTPr静态ipGDHCP

到以下页面输入必要信息。快速设定向导步骤连线至Internet.输入登录密码.选择时区.连线至Internet如果您的互联网服务供应商要求您输入恃定的主机名称或特定的MAC地址，清在此输入。该豆制MAC地址按钮用来复制网卡的MAC地址到VigorPro100o主机名称（可选）-DHCP4.摘要MAC彳-府"-斤-叶・阚--5（可选）复制MAC地址（上一步I下一步》I完成I取消I主机名称 输入主机名，该选项有部分ISP要求填写，没有特殊要求的活，可以保留为空。MAC 默认显示的MAC地址是路由器的出厂MAC地址，如果点击复制MAC地址按钮，则可以将当前使用的PC的MAC地址芨制到地址框中，对于某些锁定MAC地址的应用，请使用该按钮。完成此页设定并点击下一步，可以看到如下页面。快速设定向导步算摘要1.输入登录密码请检查您的设定：2.选择时区Internet连线方式：DHCP3,连线至Internet时区：（GMT+08:00）北京，重庆4.•要按一下上一步在必要时修改变更。否则，按一下完成保存当前设定并重启VigorPro100©:上一步|下一步〉|完成|取消|点击完成。完成设定的页面将显示如下。快速设定向导快速设定向导设置完成！！！然后系统将会有一个重开的动作，最后状态页面将会显示，如下图。

系统状态型号名称 ：VigorProlOOseries固件版本 ：v2.6Q_RCll建立日期/时间 ：FnMar2410:10:28.982006特征码版本 ：basicLANMACLANMAC地址:00-50-7F-28-6E-SDLANIP地址:子网掩码:255.25S,255.0DHCP服务器:启用WAN1MAC地址：00-S0-7F-28-6E-5E连线- IP地址• 默认网关"———DNS：62.3在线状态在线状态页面显示系统状态，WAN状态,ADSL信息以及其它路由器相关信息。系统状冬 系统已运行时UhOi3i55局域网状袭IP地址主DNS:7备用DN8.202.96,209.6上行抖包711下行抖包677WAN状态模式DHCPClientIP地址2网关IP地址：上行封包169202.211.200,100上行速率下行封包14 257»拨PPPoE或PPTP下行速率在线时间280 0:03:42>5开PPPoE或PPTP连接WAN2状态模式IP地址网关IP地址：上行封包0上行速率下行封包 下行速率在线时间0 0 0 00:00:00»ttPPPoE$PPTP>；♦开PPPoE或PPTP连接局域网状态部分:主DNS备用DNSIP地址上行封包下行封包显示主DNS地址。显示备用DNS地址。显示LAN接口IP地址。显示LAN接口发出的封包。显示LAN接口收到的封包。WAN1和WAN2状态部分:网关IP地址IP地址上行封包下行封包在线时间显示默认网关的IP地址。显示WAN接口IP地址。显示WAN接口发出的封包。显示WAN接口收到的封包。显示路由器连线时间。2.4状态栏每次当点击确定保存设定后，web页面卜.方状态栏将显示下列信息，表示系统已经接受了设定的更改。状态：设定已保存已就绪 表示系统已经可以接受输入。设定已保存 说明设定已保存。16VigorPro3用户手册16③高级Web设定当完成路由器的基本设定之后，连接好路由器，路由器就可以访问Internet了。如果需要做更多的设定，可以参照本章。第四章将介绍一些应用的举例。Internet接入3.1.1IP网络基础IP表示Internet协议。1P网络里面的所有设备，包括路由器、打印服务器以及主机，都需要IP地址来标记它在网络中的位置。为了避免地址冲突，InternetIP地址被公开注册到网络信息中心（NIC）上。Internet（互联网）上每台设备的IP地址都是强制唯一的，不过对于TCP/IP本地局域网（比如由路由器来管理的内部网络）而言，可以使用那些保留的永远不被注册到NIC的地址，这些地址被称为赤网IP地址，列表如下：从至！J55从到55从至I」55什么是公网地址和私网地址作为内部局域网络的管理者和保护者，它与一组内部PC相互连接。所有的内部PC都有一个私网IP地址，路由器自己也使用默认的私网IP地址与局域网络进行数据交换。同时，路由器还通过一个WAN接口的公网IP地址和Internet上的其它设备进行数据交换。当数据通过时，路由器进行网络地址转换（NAT）,实现私网地址和公网地址之间的数据交换，所有的数据都会发到正确的PC上去。因此，所有的主机都可以共享一个Internet连接。从ISP获取公网IP地址路由器通过以下几种协议从ISP获取公网IP地址：PointtoPointProtocoloverEthernet（PPPoE）,PPTP,静态IP以及DHCP（动态IP）,在ADSL应用中，用户终端设备需要做PPP认证和授权以桥接到网络上。PointtoPointProtocoloverEthernet（PPPoE）通过一个远程的接入集中器或集中器集合来将网络上的主机连接起来。这种应用根据用户需求可以提供接入控制、付费以及服务类型，因此给用户带来了极大的便利。在使用ADSL时，通常使用PPPoE进行网络连接，身份认证，计费等。当路由器连接到ISP时，会通过PAP、CHAP等进行身份认证，ISP会将1P地址，DNS服务器地址等相关信息返回给路由器。

3.1.2PPPoE要选择PPPoE作为接入协议，首先打开Internet接入中的双WAN设置页面,选择PPPoE作为Internet接入方式。 I Internet接入»双WAN在线状态：双WANInternet接入 ：双WANLAN I internet接入方式I'PPPoE IIME』I'PPPoE防火墙 I 静古或动态IP ippTP防入侵功能 | 代供—将显示以下页面。Internet接入>>双WANIWAN1|WAN2|Internet卷入方式PPP/MP设定|PPPoE 引PPP睑证 |PAP或CHAP」PPPoE设定PPPoE连接ISP接入设定6启用「禁用“一直在线 超时 pl秒IP地址分配方法（IPCP）固定IP 1有6无（动态IP）ISP名称固定IP地址 1-用户名123密码•••WAN口工作模式索引（1-15）计划任务设定=>|，1，|，1r1自适应:]确定I清除PPPoE设定选中PPPoEPPPoE设定ISP接入设定 输入ISP提供的用户名，密码以及验证方式。ISP名称-输入ISP提供的名称（部分ISP需要）用户名-输入ISP提供的用户名信息密码-输入ISP提供的密码信息计划任务索引（1-15）可以键入四个计划任务项。所有的计划任务可以在应用程序一计划任务页面进行定义。在这里就填入计划任务的相应编号就可以了。PPP/MP设定 PPP验证-选择仅PAP或PAP或CHAP如果要一直连接到Internet,请选中一直在线一直在线-勾选此选框保持网络一直连线闲置超时-超时值表示当无数据流量达此秒数，就断开Internet连接IP地址分配方法 通常ISP在每次接入时动态分配IP地址。也有些ISP会提供静态IP地址，这种情况下，可以将指定的1P填写到固定IP栏。固定IP-选中有，并将IP输入文本框。WAN口工作模式 该项决定了不同网络设备之间协同工作的速度。当连接出现问题时，可以在这里手动选择正确的连接类型。默认设定是自适应。WAN口工作模式|自适应二）10M半双工10腔双工100M半双工100腔双工完成设定之后，点击确定激活设置。3.1.3静态IP或DHCP（动态IP）选择静态IP或DHCP作为Internet接入协议，首先打开双WAN页面，然后在Internet接入方式下拉菜单中选择静态或动态IP。将显示如下页面。Interne［接入>>双WAN|WAN1|WAN2|Internet接入方式|静态或动态IP二J接入校制宽带接入 ⑥启用「禁用WAN口网络设定1自动获取IP地址 路由器名1 *域名1 **X部分ISP需要 .出指定IP地址 WANIP别名|IP地址 |22子网掩码 |网关IP地址 |指定MAC地址C默认MAC地址⑤指定MAC地址MAcitht：[oo-.loT.pT:[iT.[dT.[2T保持WAN口连接r启用ping保持在线PINGIP |PING时间间隔 （0―分钟WAN口工作模式|自潮Z 勺RIP协议r启用ripDNS服务glP地址r强制使用手动DNS设/ 主DNS地址备用DNS地址接入控制 选择启用则启用该模式作为Internet接入方式。如果选择禁用,则对该页的所有设定均为无效。

保持WAN口连接WAN口工作模式RIP协议WAN保持WAN口连接WAN口工作模式RIP协议WAN口网络设定PINGtotheIP-指定任意已接入网络的公网IP地址。路由器每隔指定的时间间隔就会ping该IP地址，保持WAN口一直在线。PING时间间隔-决定路由器ping的时间间隔。决定WAN接口的工作速度，默认为自适应，如果默认情况下速度不正常，则可以尝试手动选择。WAN口工作模式|自适应二）10M半双工10腔双工100M半双工100腔双工RIP是路由信息协议的缩写，路由器通过该协议交换路由表信息。选H」启用RIP激活此功能。该组设定是关于联网IP动态获取或手动指定的设置。自动获取IP地址-选中则自动从1SP获取IP地址。路由器名-输入ISP提供的路由器名称。域名-输入分配的域名。指定IP地址-选中则手动设置1P地址。IP地址-输入IP地址子网掩码-输入子网掩码网关IP地址-输入网关IP地址WANIP别名-如果有多个公网地址，可以设定到IP别名中，最多可以设置8个公网IP在别名中。如果选中加入NATIP池,则别名IP也会作为上行封包的NAT公网地址使用，这样的选择过程为随机选择。如果玩游戏，登录论坛出现掉线情况，请不要勾选该选项。-Izlxl5WANIP别名-MicrosoftInternetExplorer-IzlxlWANIP别名（多NAT）索弓I佰启用 精助WANIP加入NATIP池

V

索弓I佰启用 精助WANIPrrrrrr确定I清除I关闭指定MAC地址 可以使用默认MAC地址或者可以自己输入MAC地址。指定MAC地址-选中则可以指定一个新的MAC地址。MAC地址-手动输入路由器的MAC地址DNS服务器IP地址强制使用手动DNS设定-选中此处可以强制使用自己输入的DNS地址。对于ADSL用户来说，会从ISP处拨号获取DNS地址，如果使用了强制DNS设定，则从ISP处获取的DNS将被忽略。主DNS地址-在此处输入ISP给出的DNS地址,如果不输入,则使用默认的6作为DNS地址。备用DNS地址-在此处输入ISP给出的第二DNS地址，如果不输入，则使用默认的作为DNS地址。完成所有设定后，点击确定保存设定。Internet接入>>双WANIInternet接入>>双WANIWAN1|WAN2|Internet接入方式3.1.4PPTP选择PPTP作为Internet接入协议，首先打开双WAN页面，然后在Internet接入方式下拉菜单中选择PPTP。在线状态Internet接入LANNAT防火墙将显示如F页面。Interne旗入»双WANWAN1 IInternet接入方式[PPTP3PPTP设定PPTP连接 「启用出禁用pptp服务器由7675―isp接入设定ISP名称用户名 |123密码 ]•••―索引计划任务设定:

PPP设定PPP验证 |PAP或CHAP二]B一直在线超时 p秒IP地址分配方法（IPCP）固定IP 「有0无（动态IP）固定IPi也址 |WAN□网络设定「自动获取IP地址⑸指定IP地址IP地址 |22-子网掩码 |-WAN口工作模式|自适应3确定|清除PPPTP设定PPTP连接-选中启用激活PPTP作为Internet接入方式。如果选中禁用，此功能将关闭，该页的设置均为无效。PPTP服务器-输入ISP提供的PPTP服务器地址。ISP接入设定输入ISP提供的用户名，密码以及验证方式。ISP名称-输入ISP提供的名称（部分ISP需要）用户名-输入1SP提供的用户名信息密码-输入ISP提供的密码信息索引（1-15）计划任务可以键入四个计划任务项。所有的计划任务可以在应用程序・设定计划任务页面进行定义。在这里就填入计划任务的相应编号就可以了。PPP定PPP验证-选择仅PAP或PAP或CHAP如果要一直连接到Internet,请选中一直在线。一直在线-选择此选框保持网络一直连线。超时-超时值表示当无数据流量达此秒数，就断开Internet连接。

IP地址分配方法通常ISP在每次接入时动态分配1P地址。也有些ISP会提供静态IP地址，这种情况下，可以将指定的IP填写到固定IP栏。固定IP-选中有并将IPIP地址分配方法WAN□网络设定WAN□网络设定该组设定是关于联网IP动态获取或手动指定的设置。自动获取IP地址-选中则自动从1SP获取IP地址指定IP地址-选中则手动设置1P地址IP地址-输入ISP给的IP地址子网掩码-输入子网掩码WAN□工作模式决定WANWAN□工作模式WAN口工作模式|自适应 二J自适应10验双工10QM半双工100腔双工3.2局域网局域网这里指的是被路由器管理的内部子网。网络结构的设计与isp提供的公网IP有关。局域网基础NAT是Vigor路由器的基本功能。它创建并维护一个私有内部网络。根据前述，Vigor路由器可以使用公网IP和Internet主机交流，同时可以使用私网地址和内网主机交流。NAT的作用是将上行封包的私网地址转换成公网地址发出，数据下行时又进行反向的转换，将数据发送到正确的主机，从而实现了多个私网地址的主机分享同一个公网IP地址。Vigor路由器还具有内置的DHCP服务器给主机分配私网1P地址。可参照下图进行一个简单的了解。0192.168.1,11192.168.1,123

0192.168.1,11192.168.1,123在某些特殊情况下，ISP可能会多分配一个子网的公网地址，例如/24。这意味着内网可以有一个公网子网（第二子网）。作为第二子网的一部分，Vigor路由器将为所有的内部公网主机做IP路由，使他们可以和Internet上的主机进行数据交换。因此,路由器是作为公网主机的网关而存在的。Internet10109101什么是路由信息协议（RIP）Vigor路由器可以与临近的路由器进行路由信息的交换以实现IP路由。这一特性使得用户对IP地址等信息的改变可以自动互相通知。什么是静态路由当局域网内有多个子网时，更有效率，更快的方法是配置静态路由，使用静态路由器,可以在没有R1P的情况下，让路由器知道发到特定子网的数据应该通过哪个地址转发。什么是虚拟局域网（VLAN）有很多PC的情况下，可以通过VLAN将路由器的四个端口分别设置成VLAN,这样，尽管都在一个局域网中，隶属不同VLAN组的PC之间无法互相交流。这样可以降低局域网内部的广播包数量，有效避免广播风暴。32103.2.2基本设定此页提供了局域网的基本设定。点击局域网打开局域网设定并选择基本设定。路由器第一子网IP第一子网掩码路由器第一子网IP第一子网掩码路由子网路由器第二子网IPTCP/IP和DHCP设定局域网进IP网络设定NAT子网路由器第一子网IP地址 |第一干网掩码 |路由千网厂启用6停用DHCP服务g设定G启用服务器「停用服务器DHCP中维代理： 厂第一子网「第二子网起始1P地址 「0IP池可分配IP数量 师一路由器第二千网IP地址 |192,168.2.1第二千网掩码 |第二子网DHCP服务器网关IP地址 |中继代理使用的DHCP服务器I IP地址 ।DNS服务看IP地址r强制使用设定的DNS主DNSIP地址副DNSIP地址RIP协议控制 |停用 二|确定|撤消输入路由器的私网1P地址（默认：）。输入子网掩码，来决定网络的大小（默认：/24）»选择启用以使用此功能，默认设定是停用。输入第二子网IP地址，该地址作为内部公网主机的网关。（默认:）。第二子网掩码输入子网掩码，来决定网络的大小（默认：/24）。第二子网掩码第二子网DHCP服务器可以第二子网DHCP服务器可以配置路由器为第二子网主机动态分配IP地址。开始IP地址：输入第二子网可以DHCP分配的IP地址的起始地址。例如路由器地址为,那么开始IP地址就应该是或更大值，必须小于所在子网的最大IP值。RIP协议控制RIP协议控制DHCP服务器设定IP池IP数：输入地址池中的IP数，最大值为10。该值表示第二子网DHCP服务器可以分配的IP数。MAC地址：输入要分配公网地址的主机的MAC地址，然后点击添加，这样指定MAC地址的PC在DHCP获取IP时，就会获得正确的公网地址，而不是像通常情况那样获得第一子网的私网地址。停用：停用RIP协议。这将停止在路由器间进行路由信息的交换（默认）。RIP协议控制停用工］第一子网第二子网第一子网-选择路由器与临近路由器交换第一子网的路由信息。第二子网-选择路由器与临近路由器交换第二子网的路由信息。DHCP即动态主机配置协议。路由器默认情况下开启了DHCP服务器功能，为接入的PC自动分配IP等相关的网络设定。如果想要使用其它的DHCP服务器,可以使用中继代理功能来转发DHCP信息到DHCP服务器。启用服务器-让路由器为每个主机分配IP地址。禁用服务器-手动分配IP地址给网内主机。中继代理-（第一子网/第二子网）指定DHCP服务器所在的子网以便中继代理转发DHCP请求。起始IP地址-输入IP池可以分发的IP地址的第一个地址。IP池IP数-输入DHCP服务器最多可以分配的IP数。网关IP地址-输入局域网网关地址，DHCP服务器分配IP时，会将此网关IP分配给客户机。中继代理使用的DHCP服务器IP地址-设定需要使用的外接DHCP服务器的1P地址。DNS服务器设定DNS服务器域名解析服务器，用来将大家熟知的域名解析成Internet传输所需的1P地址。强制使用设定的DNS-主DNSIP地址-在此处设定1SP给的DNS服务器地址，如果不设定，路由器将使用默认DNS地址：6。备用DNSIP地址-在此处填•个副DNS服务器地址，ISP通常会提供不止一个IP地址，可以分别作为主DNS和副DNS使用。如果不填写，将使用：作为副DNS地址默认DNS服务器IP地址可以在在线状态页面看到。默认DNS服务器IP地址可以在在线状态页面看到：局域网状态 主DNS:194,109.6.66 备用DNS：IP地址 上行封包 下行封包 11224 10119如果主DNS和副DNS都没有填，路由器将会在DHCP分配IP的时候将自己的IP地址作为DNS地址分配给主机，同时充当DNS代理的角色，并维护DNS缓存。另外，如果客户机发起的DNS请求在缓存里面已经有记录，那么路由器会立即解析，如果没有记录，则转发到到DNS服务器,将返回DNS回应发送到发起请求的客户机。第四章会具体介绍两种常见的局域网环境设定。关于配置，可以在第四章获得详细的信息。3.2.3静态路由在局域网菜单下选择静态路由。局域网>>静态路由设定静态路由设定 I核复出厂设置।查看路由表।索引值目标地址状态索引值目标地址状态???????7备???7???7????????£????区???7????10.????状态：V-使用中，X-未使用，？一空白索引值 点击任一索引值可以进入相应的静态路由设置页面。目标地址 显示静态路由的目标地址。状态 显示静态路由是否启用。恢复出厂设置 将所有静态路由恢复到出厂设置。查看路由表显示路由表，供参考：当前路由表 I刷新「Key:C-connected,S-static,R-RIP,*-default,-private ,♦ / via,IF3 -C~/ isdirectlyconnected,IFOC / isdirectlyconnected,IF3添加静态路由到私网或公网下面为一个静态路由的范例，A和B是不同子网中的设备，可以相互通讯：使用主路由器访问Inlernel在内部路由器A()上创建了一个私网在内部路由器B()上创建了一个公网路由器A的默认网关为主路由器德IP设置静态路由前，用户A不能和用户B进行通信，因为A只会将数据包发到默认网关路由器AoInternet.在局域网的基本设定中，选择第一子网作为RIP协议控制，然后点击确定。注意：这里有两个原因需要在第一子网应用RIP协议。第一个是LAN端可以在第一子网内(/24)与相邻的路由器交换RIP包；第二个是内部子网的主机(/24)可以通过路由器访问到Internet,并FL还可以与不同的子网交换路由信息。点击局域网-静态路由然后点击索引值1。添加下图所示的静态路由。该路由表示所有发到的数据包都发向,点击确定。局域网>>静态路由设定索引值编号1P启用目标IPi也址|千网掩玛|网关IP地址阿络接口||lan」取消确定|撤消点击撤消将放弃对当前页面的更改。返回到静态路由设定页面。点击另外一个索引值，添加另一条路由。该路由表示所有发到网段的数据包都发送到。

局域网”群枣路由设定索引值编号2K启用目标IP地址|子网掩码(255?255.255.0网关IP地址|网络接口[ESFT]确定|撤消|取消4.访问诊断并选择路由表以查看当前路由表。诊断＞＞＞查看路由表当前路由表Key:C-connected,S-static,R-RIP,♦-default,〜-private▲*/via,IF3S〜/via,IFOC〜/isdirectlyconnected,IFOc/isdirectlyconnected,IF3s〜/via,IFO▼3.2.4VLAN虚拟局域网通过对物理端口分组来管理主机。在局域网菜单下点击VLAN。会显示如下页面。点击启用则启用VLAN功能。局域网＞＞VLAN设定VLAN设定厂启用PlP2P3P4VLANOrr痣rVLAN1rrrrVLAN2rrrrVLAN3rrrr确定|广—一清一要添加或移除VLAN,可以参考下面的例子。1.假设VLAN0包含了连接到Pl和P2的主机VLAN1包含连接到P3和P4的主机。192.168.1,132102.启用VLAN功能后,可以做如下设置。局域网>>VLAN设定VLAN设定厂启用P1P2P3P4VLAN0RPrrVLAN1rrppVLAN2rrrrVLAN3rrrr确定1 撤消13.要移除VLAN,取消对相应选框的选中，然后点确定保存即可。点击撤消将恢复到前次确定后的设置。3.3NAT（网络地址转换）通过NAT（网络地址转换）技术，我们可以将一个或多个私网IP地址映像到一个公网IP地址。简单来说，NAT是将一个网络中使用的IP地址转换为其它网络中的IP地址一一一个是外部地址，一个是内部地址。当一个信息包从外部网络进入内部网络时，NAT会将包中的目标地址信息转化为内网的IP，代替其原来的值。使用NAT技术一方面可以节省网络资源，防止公网1P地址枯竭，另一方面又可以增加内部网络的安全性，使其免遭外部网络的侵袭。在绝大多数情况下，Vigor路由器是作为NAT路由器来使用的。当NAT后的主机访问外部网络时，从外部网络将无法看到这台主机的内网1P地址，通过路由器的NAT技术，外网只能看到由ISP提供的公网IP地址。通过这一方法，所有的内部主机都可以共享一个公网1P地址来同时访问Internet。NAT的好处包括：合理利用公网IP地址，节约公网IP的使用量。通过NAT,路由器后局域网内的多个私网IP地址可以共享一个公网IP上网。通过NAT保护路由器后局域网的网络安全。目前有很多针对IP地址的攻击，但是这些攻击对NAT后的私网IP不会生效。注意：于私网IP的定义，请参见RFC-1918。我们一般将/24作为路由器后局域网的网段IP。NAT功能是通过端口映射来实现的。设定虚拟服务器设定虚拟服务器功能通常用于为局域网内的服务器，如web服务器或者FTP服务器等设定端口映射。根据设定，发送到路由器外部特定端口的包会被映射到路由器内部服务器的特定端口。由于服务器位于路由器后的局域网，这样很好的保障了其网络安全。Destinedto192168122DMZ FTPserverWebServer19Z168.1.1119Z168.1.123Port21Port80要使用此项功能，请单击NAT并选择虚拟服务器。设定虚拟服务器为内部主机提供了10条端口映射。

NAT»设定虚拟服务W虚投厦务事表索引 蜃务名称卜部瑞匚私有IP私网端匚后用11。1kn21。1I5-r31。1I3-r41°rkr5|0iI5-r6I5-r7r1°iI5-r81。iwr91°iI5-r10jorI5-r确定|撤消服务名称 输入该网络服务的名称。协议 选择一个传输层协议（TCP或UDP）。外部端口 指定某个私网IP和端口映射到的外部端口。私有IP 指定提供服务的内部主机的私有IP。私网端口 指定被映射的私网端口。启用 启用您所定义的该项端口映射。撤消 撤消对当前页面的设定，并返回前次确定后的设置。请注意，路由器有自己的内置服务（服务器），比如Telnet、HTTPandFTP等等.由于这些服务使用的端口可能会和局域网内的服务器使用的端口冲突，如果遇到这种情况，必须更改内置服务的使用端口。举例来说，如果您要在局域网建立一台WEB服务器使用TCP80端口，则您必须把路由器的HTTP通讯端口由80改为其它值。具体操作请点击系统维护>>管理。

系统管理>>管理管理设定管理接入控制管理通讯潴口设定「默认端口(Telnet:23fHTTP:80,HTTPS:443,FTP:21)"用户自定义通讯端口THnet通讯端口 [23HTTP通讯端口 [80HTTPS通讯端口 |443~FTP通讯端口 (21厂启用远端固件升级(FTP)r允许从Internet进行管理Q禁止未自Internet的PING接入列表列表IP 子网推码11 1 d21 1 d31 1 dSNMP设定r启用SNMP代理程序GetCommunity |publicSetCommunity private管理员主机IP I-TrapCommunity |public通知主机IP |Trap超时 [101秒确定|撤消13.3.2DMZ主机设定如前所述，虚拟服务器设定可以将进入方向的TCP/UDP数据的端口重定向到某个指定的私网IP地址。然后，有些IP协议，比如协议50(ESP)和协议51(AH)并不是使用固定的端口。Vigor路由器提供了DMZ主机设定可以将任何主动进入的数据使用的端口映射到内部的某一个主机上。DMZ主机设定功能允许将一台预先设定好的内部主机完全暴露于公网之下，DMZ主机设定适用于一些特定的功能比如视频会议或网络游戏。Destinedto192168122DMZ FTPserverWebServer123Port21Port80注意：我们建议您设定附加的IP过滤规则来保护开启DMZ功能的主机。单击DMZ主机设定，显示如下页面：NAT»DM注机设定DMZ主机设定 国3私有IP I~.1~.1-J-选撵pc|实IPDMZ主机的MAC地址|oo". .厂：［n-".|oo".注意：当实IPDMZ主机功能打开时，路由器的WAN连接将强制修改为一直在线。确定1 撤消DMZ主机设定有三种类型的DMZ主机设定：无、私有IP和启用实IP。如果选择私有IP,可以使用选择PC来指定•台PC作为DMZ主机。如果选择启用实IP,则可以输入实IPDMZ主机的MAC地址。私有IP输入一个私网1P地址作为DMZ主机。选择PC单击此按钮将会有一个窗口跳出，其中包含了您的内部私网的所有开启主机的IP地址，选择其中之一作为DMZ主机：

50选择完毕后，单击确定完成设定。如果要开启DMZ的主机没有打开，也可以通过手动输入的形式完成设定。NAT»DM注机设定DMZ主机设定|私有IP二J私有IP瓯.阿Ji-.I0_融pc]实IPDMZ主机的MAC地址回.砰・目殒・5・回在意：当实IPDMZi机功能打开时，路由器的WAN连接将强制修改为一直在线。确定|徵消|实IPDMZ主机的MAC地址如果您选择了启用实IP,请输入实IPDMZ主机的实IPDMZ主机的MAC地址NAT»DM注机设定DMZ主机设定 |启用实IP二］私旬P |,|,| 选择一|实IPDMZ主机的MAC地址foO-.|oF.|Ar：W.叵，百注意：当实沪DMZ主机功能打开时，机由春的WAN连接樨蛋制能畏星一置左缕。确定|撤消|开放端口设定।〃复出厂设置।索引注解显不指定的网络服务的名称。本地IP地址显示提供服务的内部主机的私网IP开放端口设定।〃复出厂设置।索引注解显不指定的网络服务的名称。本地IP地址显示提供服务的内部主机的私网IP地址。状态显示当前条目的状态。用X表示未启用，V表示已启用。恢复出厂设置开放端口设定的值回复到出厂设定的值。3.3.3开放端口设定开放端口设定允许您为一些特殊的应用服务打开一段范围内的端口。单击NAT>>开放端口:NAT»开放满口设定显示了个相关条目的号码，您需要单击索引号才能进行编辑。添加/编辑开放端口设定单击要编辑的索引号，会跳出如下窗口:NAT>>开放羯口设定>>编辑开放端口设定启用开放端口单击来开启此项条目。说明输入所定义的网络服务的名称。本地计算机输入内网主机的私网启用开放端口单击来开启此项条目。说明输入所定义的网络服务的名称。本地计算机输入内网主机的私网IP。厂启用开放端口说明本地计算机|P2PfisT.[ira-.[i--彳选择PCI伤议起始端口终止端口例议起始端口终止端口1.|TCP」|4500|47006.I kk2.|UDP」|4500卜7007.[ I5-k3.1 刁IS-1^-8.1 2Jkk4.1—』kk9.1—zJI5-k5.1—山I5-k10.1 jjI5-k索引值编号1确定撤消取消选择PC单击此按钮将会有个窗口跳出，其中包含了您的内部私网的所有主机的IP选择PC协议起始端口终止端口选择一个传输层的协议，此处可选TCP或者协议起始端口终止端口为本地的主机所提供的开放端口功能指定一个开始端口。为本地的主机所提供的开放端口功能指定一个终止端口。NAT»开放羯口设定开放瑞口设定|，复出厂设置|索引注解本地IP地址状态1P2P0V器XX£XX鱼XLX也XX10.----X3.4防火墙防火墙设定基础当宽带用户在享受网络多媒体服务、交互式应用程序或远程学习时，安全一直是他们最关心的问题。Vigor路由器的防火墙功能可以帮助您的本地网络防范来自外界的非法攻击。它也可以用于限制本地用户访问Interneto此外，它还可以用于过滤掉某些能够触发路由器向外界建立连接的数据包，而在有些时候，这种连接是用户并不需要的。最基本的安全观念就是在安装路由器的时候设置用户名和密码，使得只有网络管理员才能访问路由器的配置页面，杜绝其它未经授权的非法访问。快速设定向导步裁给人登录密码.给入登录密码.选择时区.连续至Internet.摘要此处无颈设密码。安全起见，请选择一组数字或字元（最多为23个字元）作为您的密码并将它输入至密码栏中。新密码 !«•••重新输入新密码 卜・・・■hf|下一步》|完成|取消|如果您忘了在安装路由器的时候设置密码，您还可以去系统维护里设置您的密码。防火墙机制VigorPro100路由器提供给局域网以下防火墙机制：可供用户自由配置的IP过滤规则(CallFilter/DataFilter)状态包检测(SPI)：它能够追踪数据包并能拒绝一切未经许可的主动连接数据可供用户自由选择的攻击防御功能(DoS),以及分布式攻击防御功能(DDoS)URL内容过滤器及时通讯软件过滤P2P软件过滤Web内容过滤绑定IP到MACIP过滤概述根据是否存在Internet连接或者WAN口状态是连接还是未连接，可以将IP过滤分为两种：一种是呼叫过滤器，另一种是数据过滤器。呼叫过滤器-当路由器没有连接Internet时，呼叫过滤器用于检查所有外出的数据流。它将根据用户设定好的过滤规则检查数据包。如果是规则允许的，数据就被允许通过。然后路由器就会“发起一个呼叫”以建立Internet连接，并将此数据包发送到Internet。数据过滤器-当路由器已经连接了Internet时，数据过滤器就用于检查进出的数据。它将根据用户设定好的过滤规则检查数据包。如果是规则允许的，数据就被允许通过。下面的流程图用于解释路由器如何处理进出的数据包。Drop

packet状态包检测（SPI）状态检测是一种工作在网络层的防火墙功能。和传统的状态包过滤不同，它是基于包头信息检测的。状态检测增进了状态机制以追踪穿越防火墙每个连接，并确认它们是有效的。Vigor路由器的状态检测机制不仅检测头信息，而且监视连接状态。即时消息（IM）软件和点到点软件阻挡当各种即时聊天软件的不断涌现并逐渐流行起来的时候，通讯就变得不那么容易了。然而，当一些行业以此做为联系客户的一种利器时，另一些行业则因为要减少他们的雇员在上班时间滥用这些工具而影响正常工作或者不知名的安全漏洞，而对此持保留态度。因此，Vigor路由器中提供该功能，可以让管理员通过简单的选择来实现对即时消息软件的阻挡和通过。同样，通过P2P软件阻挡，可以避免BT,电驴等软件大量使用给企业网络带来的低效。拒绝服务攻击防御功能（DoS）DoS防御功能可以帮助您侦测并防御DoS攻击。这些攻击通常分为两种，即flooding-type攻击和vulnerability攻击。前者是种企图耗尽您的系统资源的攻击方式，后者则是攻击通讯协议或作业系统的弱点从而使整个系统瘫痪。DoS防御功能能使Vigor路由器对照攻击特征资料库检查每个流入的封包。任何可能使主机瘫痪的封包会被封锁，此时如果您已设置了Syslog服务器，一个系统记录会被作为警告马上被发送出去。

Vigor路由器也会监视流量的变化，任何违反设定好的规则的不正常的流量，例如临界值，都会被当作攻击，并且Vigor路由器会实时的启用它的防御体系来减轻攻击。下面显示的是DoS攻击防御功能所能够侦测出的攻击类型：l.SYNflood攻击UDPfloodl.SYNflood攻击UDPflood攻击ICMPflood攻击TCPFlag扫描路由追踪IP选项不明封包通讯协定SYN分片攻击ICMP分片攻击Teardrop攻击Fraggle攻击PingofDeath攻击TCP/UDPport扫描8.Land攻击URL内容过滤为了提供一个合适的网络空间给用户，Vigor路由器配备了URL内容过滤功能，它不仅可以用于限制非法访问不当网站，也可以用于禁止那些隐臧了恶意代码的网站。当用户输入或点击一个已经存在于URL内容过滤里的链接时，URL关键字阻塞工具将会拒绝HTTP请求，该网页也会被限制访问。您可以把URL内容过滤想象成一个训练有素的便利店员不会将成为杂志卖给十几岁的孩子一样。同样，在办公室里，URL内容过滤也能够提供一个和工作有关的环境，以提高雇员的工作效率。怎么样才能使URL内容过滤在过滤领域比传统的防火墙匚作的好呢？因为它检查URL字符串或是HTTP数据的一些TCP数据的附载，而传统防火墙则只是基于TCP/IP包头来检查数据包。另一方面，Vigor路由器可以阻止用户意外的卜一载来自网页里的恶意代码。恶意代码包含在可执行文件里这是十分常见的，比如ActiveX、Java程序，压缩文件以及其它可执行文件。当您从网站上下载这些类型的文件时，这将会对您的系统带来威胁。例如，ActiveX控件常常被用于提供交互式的网页特性。如果恶意代码隐藏在里面的话，它将占据用户的系统。Web内容过滤Internet上的网络资源包罗万象，对于父母来说，一定不希望孩子接触到很多色情的内容;而对于企业主来说，也不会希望员工在上班时间访问游戏站点，新闻站点，而影响正常的工作。通过Vigor和网站分类服务提供商合作推出的Web内容过滤功能，您可以轻松实现上述的目标。当您开启了Vigor路由器上的Web内容过滤服务并且设置了您想要限制的网站的分类，每一个URL地址请求将会依照由SurfControl提供的服务器数据库的记录来检查。这个数据库里包含了超过70种语言以及200个国家，超过10亿个网页，并将其分成40种容易理解的类别。这个数据库每天都会由Internet研究员的全球小组更新。这个服务器将查