FVS_338路由_功能使用说明.doc

一、安装31. 准备安装FVS 338虚拟专属网络防火墙(电脑-路由-猫)31.1 路由器前面的面板41.2 路由器前面的面板5二、登录路由器6三、配置路由器71. 网络配置选项卡Network Configuration71.1 广域网设置 WAN setting7(1). 宽带设置 Broadband ISP Settings7(2). 电话拨号设置 Dial-up ISP Settings9(3). 广域网模式 WAN Mode91.2 动态DNS解析 Dynamic DNS10(1). DNS 3322101.3 局域网设置LAN Settings11(1). 局域网设置 LAN Setup11(2) . 局域网用户组 LAN Group12(3). 局域网多重连接 LAN multi-homing121.4 路由选择 Routing122. 安全设置Security132.1 服务项 Services13(1) . 服务项 Services132.2 安排 schedule13(1) . 安排 schedule132.3 阻止登录站点 Block Sites14（1）阻止登录站点 Block Sites142.4 防火墙 Firewall15(1) . 网络规则 LAN WAN Rules15(2) . 攻击检查 Attack Checks15(3) . 会话限制 Session Limit15(4). Advanced152.5 地址过滤 Address Filter16(1). MAC地址过滤 Source MAC Filter16(2). IP/MAC地址绑定 IP/MAC Binding162.6 端口触发Port Triggering16(1) . 端口触发Port Triggering162.7 带宽配置Bandwidth Profile16(1) . 带宽配置Bandwidth Profile163. VPN 配置173.1 FVS338的VPN配置174. 用户 Users204.1 本地身份验证 Local Authentication20(1) . 本地身份验证 Local Authentication204.2 外部验证 External Authentication205. 管理 Administration215.1 远程管理 Remote management215.2 SNMP215.3路由器备份和更新 Settings Backup & Upgrade215.4 时区 Time Zone216. 监控Monitoring226.1 路由器状态 Router Status22(1) . 路由器状态 Router Status226.2 流量计数 Traffic Meter22(1) . 宽带流量计数 Broadband Traffic Meter22(2) . 电话拨号流量 Dial-up Traffic Meter226.3 诊断 Diagnostics226.4 防火墙系统记录 Firewall Logs & E-mail226.5 VPN事件记录 VPN Logs227. 网络支持 Web Support238. 注销 Logout23四、 FVS338 如何实现 IP/MAC 绑定及通过规则进行控制241. 配置实例说明：242. 实施步骤：253. 设置限制IP规则：27五、软件升级注意事项31六、 防毒防护31一、安装1. 准备安装FVS 338虚拟专属网络防火墙(电脑-路由-猫) 1.1 路由器前面的面板 可以根据LED灯的不同显示了解当前的网络状态，下为参数表：项目状态说明Power LED 电源On(绿灯) Off电源开始电源关闭Test LED 测试On(琥珀色)Blinking(闪烁，琥珀色)Off初始化测试完成，系统已启动正在初始化过程中初始化失败或系统未启动Modem LED 猫On(绿色)Blinking(绿色)Off与猫有连接与猫有数据传输未与猫连接Internet LEDs外网Link/Act LED On(绿色)Blinking(绿色)Off与外网有链接与外网有数据传输未与外网链接100 LED On(绿色)Off运行在100 Mbps.的速度上运行在10 Mbps.的速度上 Local LEDs本地链接Link/Act LED On(绿色)Blinking(绿色)Off与局域网内主机有链接与局域网内主机有数据传输未与局域网内主机链接100 LED On(绿色)Off运行在100 Mbps.的速度上运行在10 Mbps.的速度上 1.2 路由器前面的面板从左到右，面板中包含的元素有：1) Modem port - 备份线路链接，通过公共交换电话网(PSTN)连接外网。2) Factory Defaults push button -恢复出厂设置3) Local ports -电脑连线接口4) Internet port -猫连线接口5) On/Off Switch - 路由器电源开关6) DC Power Connection - 直流电源供电二、登录路由器 在浏览器或是资源管理器的地址栏里输入局域网端口地址，按Enter进入登录界面，按要求输入用户名和密码，正确则进入管理页面。(若之前有按“恢复出厂设置”按钮，则账户和密码为默认值)。 局域网端口地址登录用户名登录密码出厂设置(默认)adminpassword三、配置路由器1. 网络配置选项卡Network Configuration1.1 广域网设置 WAN setting(1). 宽带设置 Broadband ISP Settings ADSL拨号（动态IP地址）。1.进入Network ConfigurationWAN SettingsBroadband ISP Settings2在“Does Your Internet Connection Require a Login?”处选择“Yes”，并在右边的 Login处填入ADSL用户名，Password处填入ADSL密码3在“ISP Type”处选择“Other（PPPoE）”，在右边“Idle Timeout”处，如果您是包月不限时的用户，您可以选择Keep Connected；如果是限时用户，可以选择Idle Time并填入闲置超时的分钟数，默认为5分钟，即5分钟后没有网络流量，防火墙将自动断开网络连接。4 在“Internet (IP) Address”处选择“Get Dynamically from ISP”。5在“Domain Name Server (DNS) Servers”处选择“Get Automatically from ISP”。6点击“Apply”保存。ADSL（静态IP地址）1 进入Network ConfigurationWAN SettingsBroadband ISP Settings2 在“Does Your Internet Connection Require a Login?”处选择“Yes”，并在右边的Login处填入ADSL用户名，Password处填入ADSL密码。3 在“ISP Type”处选择“Other（PPPoE）”，在右边“Idle Timeout”处，如果您是包月不限时的用户，您可以选择Keep Connected；如果是限时用户，可以选择Idle Time并填入闲置超时的分钟数，默认为5分钟，即5分钟后没有网络流量，防火墙将自动断开网络连接。4 在“Internet (IP) Address”处选择“Use Static IP Address”，并填入ISP给的IP地址、子网掩码及网关。5 在“Domain Name Server (DNS) Servers”处选择“Use These DNS Servers”，并填入ISP给的DNS服务器地址。6 点击“Apply”保存。(2). 电话拨号设置 Dial-up ISP Settings (3). 广域网模式 WAN Mode 1. NAT (Network Address Translation)处选择NAT。网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。 2. 在Port Mode处选择Use only single WAN port并在下拉菜单上选Broadband(宽带)1.2 动态DNS解析 Dynamic DNS(1). DNS 3322 希网动态域名/前三个选项卡 是三个不同的DNS解析公司。1.3 局域网设置LAN Settings(1). 局域网设置 LAN Setup1. 在LAN TCP/IP Setup下，设置IP地址，此处为，即路由器网管地址，默认为。 Subnet Mask子网掩码为，即只有最后一位可以修改。2. 在DHCP下，若需手动分配和绑定IP选择Enable DHCP Server，若不许绑定则选择Disable DHCP Server 。DHCP即动态主机配置协议。(2) . 局域网用户组 LAN Group1.、在Know PCs and Devices中，显示的当前局域网中所有正在使用的电脑的名称、IP地址、MAC地址、以及所属的组。2、 在各个PC机前的复选框打勾，然后再选则save bingding可把当前IP地址和MAC地址绑定。(3). 局域网多重连接 LAN multi-homing在服务器和网络机器中安装多个网络接口，进而与多个地址建立连接的功能。这是一种为了防止网络故障和拥塞而采取的策略。类似防火墙那样，连接着多个子网并扮演着通信中介角色的计算机就属于多重连接。与多个 Internet 接人服务提供商建立连接也属于多重连接的一种。此外，有时也把为一个局域网接口分配多个 IP 地址称为多重连接。1.4 路由选择 Routing2. 安全设置Security2.1 服务项 Services (1) . 服务项 Services自定义的一些服务项，可以设定服务名称、通讯类型，端口号以及服务方式。2.2 安排 schedule(1) . 安排 schedule设置己定参数生效的时间范围，可以是每一天，或是指定的某些天(周一周末)，又或是指定某天的某段时间内。2.3 阻止登录站点 Block Sites （1）阻止登录站点 Block Sites1. 在Content Filtering下，勾选Turn Content Filtering On?(是否开起内容过滤)，Yes。2. 在Web Components下，勾选可过滤的网页组件或内容，Proxy(代理)、Java、ActiveX、Cookies3. Apply Keyword Blocking to，设置屏蔽掉的关键字应用于哪些分组用户。4. blocked Keyword，设置需要屏蔽掉的关键字。5. Trusted Domains，添加可信任的网页白名单。2.4 防火墙 Firewall (1) . 网络规则 LAN WAN Rules这里可以设置一些规则，来规范网络行为，比如限制下载之类的。(2) . 攻击检查 Attack Checks设置安全操作的范围和对象，以及禁止某些行为。(3) . 会话限制 Session Limit设置会话数据的有效时间，超过则丢弃。(4). Advanced设置SIP 通讯协议 和ALG 代理防火墙是否可用。2.5 地址过滤 Address Filter (1). MAC地址过滤 Source MAC Filter可手动添加需要屏蔽的MAC地址。(2). IP/MAC地址绑定 IP/MAC Binding可以启用IP/MAC绑定功能，即在路由器中为每一台电脑设置固定的IP地址。是由一些 NAT激活的路由器提供的一个功能，为了能够接入到来自外部的网络内的一台计算机，用一个特定的端口号。它被发送到这个网络外的在那个特定端口上的数据激活。2.6 端口触发Port Triggering(1) . 端口触发Port Triggering在计算机网络中，当一个应用程序使用特定的端口（触发端口）向外建立建立连接时，路由器将外部连接转发到内部指定的端口（转发端口）上。触发端口和转发端口都可以是一个端口范围，如5000-6000。这类似于端口转发，但不同于端口转发的是，转发的建立是在触发端口产生一定流量后造成的，即触发后才产生端口转发。一旦触发条件不成立，转发也会结束。 这适合于一些类型的网络游戏，P2P下载工具。因为直接使用端口转发的话，可能会造成一定的安全威胁（将自己的某些端口一直暴露在外网上）。2.7 带宽配置Bandwidth Profile(1) . 带宽配置Bandwidth Profile设置上行/下行网络带宽限制。 3. VPN 配置VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络可以把它理解成是虚拟出来的企业内部专线。3.1 FVS338的VPN配置 网络拓扑图FVS338的网络参数： 局域网IP地址：/24 广域网IP地址：20/24点击进入FVS338的管理菜单VPNVPN Wizard，如下图所示：This VPN tunnel will connect to the following peers:Gateway是针对VPN防火墙对VPN防火墙的配置选项， VPN Client是针对VPN防火墙与VPN Client的选项，因此，现在我们选Gateway即可；What is the new conection Name? 在该输入框填写vpn名字即可；What is the pre-shared key?该选项填写VPN的预共享密码，长度应为849个字符；What is the Remote WANs IP Address or Internet Name?该选项应填入对端VPN设备即FVX538的WAN IP（如果是ADSL的用户需先申请动态域名，再把动态域名填进去即可）；What is the Local WANs IP Address or Internet Name? 该选项应填入的FVS338的WAN 端口IP（如果是ADSL的用户需先申请动态域名，再把动态域名填进去即可）；What is the remote LAN IP Addres?What is the remote LAN Subnet Mask?这里需填入对端VPN设备的局域网网段，如本实验中，应填入FVX538的局域网网段。点击应用后，FVS338即会自动生成IKE Polices和VPN Polices策略：如现已生成IKE Polices图如下：已生成VPN Polices图如下：注：Internet密钥交换（IKE）解决了在不安全的网络环境（如Internet）中安全地建立或更新共享密钥的问题。IKE是非常通用的协议，不仅可为IPsec协商安全关联，而且可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。 上面两步即完成了FVS338点对点的VPN配置，这时我们就可以从PC1 ping PC2的IP地址，若能ping 通的IP，VPN即建立成功，这时你可以在VPN状态中看到建立VPN的连接，如下图所示：4. 用户 Users 4.1 本地身份验证 Local Authentication (1) . 本地身份验证 Local Authentication可以设置本地登录路由的账户和密码。4.2 外部验证 External Authentication5. 管理 Administration5.1 远程管理 Remote management 5.2 SNMPSimple network manegment protocal简单网络管理协议简单的说，为了实现远程的网络管理，这个协议定义了一套管理信息存储、传递的标准，使得各种设备可以被统一的管理。5.3路由器备份和更新 Settings Backup & Upgrade可以备份路由器设置和更新路由器。5.4 时区 Time Zone 设置路由器系统时间。6. 监控Monitoring6.1 路由器状态 Router Status(1) . 路由器状态 Router Status页面显示当前路由器系统信息、局域网设置、带宽设置等。6.2 流量计数 Traffic Meter (1) . 宽带流量计数 Broadband Traffic Meter统计使用过宽带流量，设置流量的计算方式。(2) . 电话拨号流量 Dial-up Traffic Meter6.3 诊断 Diagnostics用于测试路由器即网络。6.4 防火墙系统记录 Firewall Logs & E-mail当启用系统记录功能后，可以添加需要记录的事件，并且可以设置用来接收这些记录的E-mail地址。6.5 VPN事件记录 VPN Logs 7. 网络支持 Web Support 提供一些技术和资料支持的连接方式。8. 注销 Logout 注销登录，安全退出路由器。4、 FVS338 如何实现 IP/MAC 绑定及通过规则进行控制针对现在越来越多的中小型企业对局域网内部客户端的应用控制和ARP病毒的广泛传播，NETGEAR FVX538/FVS338 BETA版本开始支持IP/MAC 地址的绑定功能，我们现在可以通过更新FVS338 的Firmware并设置IP/MAC绑定，有效地防止ARP欺骗病毒，同时，更能有效地针对局域网内的客户机进行应用的控制。下面我们将通过FVX538的实例介绍FVX538/FVS338如何实现IP/MAC绑定及通过规则进行控制，希望对大家有所启发，我们将通过以下例子对该功能进行介绍：1. 配置实例说明：(1).测试软件版本:V3.0.0-13，该版本为FVX538 NETBAR的测试版本(2). IP规划：FVX538 LAN IP：/24 WAN IP：31/29PC1：/24PC2：0/24PC3：/24PC5：54/24PC6：/24PC7：00/24(3). 拓扑图如下所示：(4). 实现的功能如下：1 PC1只能访问Web以及收发邮件，其它应用均受到限制；2 PC2只能访问某个特定的网站，其它网站以及服务均不能使用；3 PC3将不受到任何限制，所有网络资源均可访问；4 除以上PC外，其它所有的PC将不能访问Internet的任何服务；(5). 目录1 下载最新Firmware升级2 IP/MAC地址绑定设置3 设置限制IP规则2. 实施步骤：(1). 下载最新Firmware升级：FVX538/FVS338 网吧的测试版本V3.0以及V2.1.3-1216的版本均支持IP/MAC地址的绑定功能，因此，在设置IP/MAC地址绑定之前需升级至V3.0或V2.1.3-1216等软件版本，若没有该Firmware可打电话Email至：需索软件，详细的升级说明请参照以下链接：/support/release_notes/d20041.asp(2). IP/MAC地址绑定设置：升级完成后进入我们首先设置FVX538通过光纤正常上网，然后登陆到FVX538的管理界面，点击Network ConfigurationLAN SettingsLAN Groups设置页面，点击select all 选中所有已发现的PC设备，然后点save binding即可，如下图所示：若在IP/MAC绑定设置中没有找到局域网内的PC，那只需在下面的设置页面中添加对应的PC即可，如下图所示：IP/MAC绑定设置成功后，我们即可进去SecurityAddress FilterIP/MAC Binding进行查看绑定的PC，另外，你也可以进到该页面对MAC进行绑定，即在该页面的Add IP/MAC Binding中添加要绑定的PC的地址信息并点击应用即可，如下图所示：IP/MAC地址绑定设置完成后，我们即可以对该规则进行设置。3. 设置限制IP规则：(1). 调整默认的输出规则： 在默认的情况下，局域网内的所有PC都能通过FVX538上网的，因此，我们首先要对“Default Outbound Policy”设置进行调整，即把选项Allow Always改为Block Always，然后点apply 即可，修改完成后，局域网内的所有PC均不能上网访问任何资源，如下图所示：(2). 添加DNS协议输出规则：点击在“Outbound Services”下面的add添加按钮，添加新的服务，为了使部分PC有正常访问INTERNET，我们需把服务DNS(UDP：53，TCP：53)允许出去，以确保DNS的解释能正常工作，如下图所示：注意：DNS主要应用的端口是UDP端口，但TCP端口也是必须的。(3). 添加应用服务规则：PC1只能访问Web以及收发邮件，其它应用均受到限制；1）允许PC1(/24)可以访问Web服务，配置如下图所示：2） 允许PC1(/24)可以收发邮件，只需添加POP3 和SMTP服务即可，配置如下图所示：(4). 添加特殊应用规则：PC2只能访问某个特定的网站，其它网站以及服务均不能使用；在配置该规则时，只需针对WAN Users选为Single Address并设置指定的网站的公网IP地址即可，注意：若该网站是一个大型的网站，并有多个公网IP地址时，该