ADSL Modem防火墙完全攻略

许多ADSL Modem都内置有防火墙，可以有效地保护计算机的安全，不受来自内部和外部恶意攻击。甚至还实现对攻击进行监控，并以E-mail形式及时通知用户。因此，如果没有在计算机中安装网络防火墙，或者想摆脱为网络内的计算机逐一设置防火墙的麻烦，可以直接启用ADSL Modem的防火墙。在使用时你会发现，简洁而实用的安全策略，正是我们所梦寐以求的。

下面以中兴ZXDSL 831（Globespan芯片）为例，简单介绍一下ADSL Modem内置防火墙的设置。默认状态下，防火墙的所有安全设置全部处于禁用（Disable）状态，若欲启用某项功能，则应当选择“Enable”选项。

     Blacklist Status  启用黑名单功能。当系统确认某个数据包具有攻击性时（即违反防火墙或IP过滤设定的规则），将在指定的时间段内（在“Blacklist Period”中指定，单位为“分钟”），对发送该数据包的源IP地址进行封锁，从而保护计算机不致遭受频繁的恶意攻击。

    Attack Protection  启用内置防火墙保护，并可有效地防止以下各种类型的攻击：IP欺骗（IP Spoofing）、撕毁攻击（Tear Drop）、Smurf攻击和Fraggle攻击、陆地攻击（Land Attack）和死亡之Ping（Ping of Death）。

     DoS Protection  启用DoS（拒绝服务）保护，从而有效地避免遭遇SYN DoS、ICMP DoS和Per-host DoS等攻击。若欲搭建虚拟网站，需启用该功能；对于普通计算机而言，该选项意义不大。

Max Half Open TCP Conn  当半开放会话数量较大时，往往意味着正在发生DoS攻击或端口扫描。设置半开放状态时所允许的并发IP会话百分数。在TCP通信过程中，只有当连接的发起时，包才暂时处于半开放状态。当包开始交换时，其状态改变为活动；或者在交换完成后，状态改变为关闭。处于半开放状态的TCP连接可以使用最大可利用的IP会话。如果超过该百分数，半开放会话将被关闭，并由新的会话进行代替。建议将该值设置为30左右。

     Max ICMP Conn  设置使用ICMP消息时所允许的并发IP会话数。如果超过该百分数，旧的ICMP IP会话将被新的会话所代替。由于ICMP并不是网络通讯所必须的，所以，可以将该值设置得低一些。

Max Single Host Conn：设定单独一台计算机所允许的并发IP会话百分数。设置该值时，应当考虑局域网内计算机的数量。当连接的计算机数量较多时，该值应当适当较少；当连接的计算机数量较少时，则可以设置得较大。

Log Destination：用于在记录上列出攻击防火墙的事件，这些事件的记录可以形成报告，并通过网络或电子邮件发送给系统工具（Trace）或指定的管理员信箱（Email）。电子邮件报告信息中包括攻击时间、进行攻击的计算机的源IP地址、目标IP地址、使用的协议等。管理员的电子邮件地址在“E-mail ID of Admin 1/2/3”中进行指定。

   除了使用内置防火墙（FireWall）保障计算机和网络的安全外，还可以借助“IP过滤”（IP Filter）和“屏蔽协议”（Blocked Protocols）功能，只开放经常使用的TCP/UDP端口（如Web端口80、FTP端口21、RM端口554、E-mail端口25和110、QQ端口8000等）或禁用某些严重危险的端口（如蠕虫病毒使用的134~139、445、9995、4444、5554等），只使用TCP/IP和PPPoE协议，从而拒绝蠕虫病毒和黑客的攻击。

本文转自 

刘晓辉 51CTO博客，原文链接：http://blog.51cto.com/liuxh/42342 ，如需转载请自行联系原作者