【正文】 區(qū)的服務(wù)器，因此，不需要任何配置，如下圖所示：圖 10：LANDMZ Outbound 規(guī)則設(shè)置InBound Servers 規(guī)則為了確保 LAN 區(qū)的計算機(jī)用戶的計算機(jī)安全性，在默認(rèn)的情況下，F(xiàn)R538G 不需要添加任何規(guī)則的情況下是不允許從 DMZ 區(qū)至 LAN 區(qū)的，因此，若 DMZ 區(qū)的服務(wù)器需要訪問 LAN 用戶的，需要添加規(guī)則才能訪問 LAN 內(nèi)的計算機(jī)用戶，如下圖所示：圖 11：LANDMZ Inbound 規(guī)則設(shè)置若如上圖添加允許訪問 LAN 用戶的規(guī)則，當(dāng)入侵者攻陷 DMZ 時，內(nèi)部網(wǎng)絡(luò)將不會受保護(hù)。因此，我們建議在一般情況下，不要在 Inound Services 添加任何規(guī)則，以確保LAN 內(nèi)計算機(jī)用戶的安全。在本例中，DMZ 區(qū)的用戶是不可以訪問到 LAN 內(nèi)的計算機(jī)用戶，因此，我們在 LANDMZ 的規(guī)則中不需要添加任何規(guī)則。 FR538G 負(fù)載均衡及策略路由設(shè)置實例FR538G 為用戶提供多達(dá)四個 WAN 端口，用戶可根據(jù) Inter 的接入方式，實現(xiàn)負(fù)載均衡或策略路由等工作模式。本文將通過以下兩個實例來說明 FR538G 如果配置負(fù)載均衡及策略路由。一、Load Balancing 模式1．模擬環(huán)境：某一中小型企業(yè)用戶共有兩條中國電信的鏈路，一條為 10M 光纖鏈路，一條為 4 M的 ADSL 拔號鏈路，局域網(wǎng)內(nèi)有 300 多臺電腦需要共享上網(wǎng)。2．目標(biāo)：FR538G 中文簡明配置手冊第 47 頁/共 70 頁局域網(wǎng)內(nèi)的用戶能通過 FR538G 同時連接到光纖鏈路和 ADSL 鏈路，使局域網(wǎng)內(nèi)的用戶能共享兩條線路，提高接入 Inter 的速度，同時實現(xiàn)鏈路備份的功能。3．網(wǎng)絡(luò)拓樸圖：4．配置步驟：1) 配置 WAN1 端口（固定 IP 地址）WAN1 端口接中國電信的 10M 光纖，進(jìn)入管理菜單 Network Configuration－WAN Settings－WAN1 Settings 中，如下圖所示：FR538G 中文簡明配置手冊第 48 頁/共 70 頁Do you want to enable bridge mode on WAN1 ?處選擇“Disable” 在“Does Your Inter Connection Require a Login?”處選擇“No” 。 在“Inter (IP) Address”處選擇“Use Static IP Address”，并填入 ISP 給的IP 地址、子網(wǎng)掩碼及網(wǎng)關(guān)。 在“Domain Name Server (DNS) Servers”處選擇“Use These DNS Servers”，并填入 ISP 給的 DNS 服務(wù)器地址。2) 配置 WAN2 端口（ADSL 拔號）WAN1 端口接中國電信的 4M ADSL 拔號，進(jìn)入 Network Configuration－WAN Settings－WAN2 Settings 中，如下圖所示：FR538G 中文簡明配置手冊第 49 頁/共 70 頁Do you want to enable bridge mode on WAN1 ?處選擇“Disable” 在“Does Your Inter Connection Require a Login?”處選擇“Yes ”。并在右邊的Login 處填入 ADSL 用戶名， Password 處填入 ADSL 密碼 在“ISP Type”處選擇“Other（PPPoE） ”，在右邊“Idle Timeout”處，如果您是包月不限時的用戶，您可以選擇 Keep Connected；如果是限時用戶，可以選擇 Idle Time并填入閑置超時的分鐘數(shù)，默認(rèn)為 5 分鐘，即 5 分鐘后沒有網(wǎng)絡(luò)流量，防火墻將自動斷開網(wǎng)絡(luò)連接。 在“Inter (IP) Address”處選擇“Get Dynamically from ISP”。 在“Domain Name Server (DNS) Servers”處選擇“Get Automatically from ISP”。 點擊“Apply”保存。3) 啟用 Load Balancing 負(fù)載均衡模式FR538G 中文簡明配置手冊第 50 頁/共 70 頁進(jìn)入管理界面 Network ConfigurationWAN ModeWAN Mode，在 Port Mode 的選項中，選中 Load Balancing 模式，然后點擊 Apply 應(yīng)用即可。成功啟用 Load Balancing 負(fù)載均衡模式后，局域網(wǎng)內(nèi)的用戶能共享兩條線路，大大提高了接入 Inter 的速度，同時若任一鏈路有問題，另一鏈路將繼續(xù)工作，保證局域網(wǎng)內(nèi)的用戶上網(wǎng)不受影響。二、AutoRollover 模式(啟用策略路由功能)1．模擬環(huán)境：某一網(wǎng)吧用戶共用兩條鏈路，分別為一條中國電信的 10M 光纖鏈路，另一條為中國網(wǎng)通的 10M 光纖鏈路，網(wǎng)吧內(nèi)的 200 多臺電腦要通過 FR538G 訪問 Inter。2．目標(biāo)：網(wǎng)吧內(nèi)的用戶通過 FR538G 均能上網(wǎng)，當(dāng)網(wǎng)吧內(nèi)的用戶訪問中國電信網(wǎng)絡(luò)的網(wǎng)站或游戲服務(wù)器時，數(shù)據(jù)將從電信的光纖鏈路出去；當(dāng)網(wǎng)吧內(nèi)的用戶訪問中國網(wǎng)通的網(wǎng)站或游戲服務(wù)器時，數(shù)據(jù)將從網(wǎng)通的光纖鏈路出去；當(dāng)任一鏈路出現(xiàn)故障不能上網(wǎng)時，網(wǎng)吧內(nèi)的PC 上網(wǎng)的所有數(shù)據(jù)將自動切換到正常的出口出去。3．網(wǎng)絡(luò)拓樸圖：FR538G 中文簡明配置手冊第 51 頁/共 70 頁4．配置步驟：1) 配置 WAN1 端口（固定 IP 地址）WAN1 端口接中國電信的 10M 光纖，進(jìn)入管理菜單 Network Configuration－WAN Settings－WAN1 Settings 中，如下圖所示：FR538G 中文簡明配置手冊第 52 頁/共 70 頁Do you want to enable bridge mode on WAN1 ?處選擇“Disable” 在“Does Your Inter Connection Require a Login?”處選擇“No” 。 在“Inter (IP) Address”處選擇“Use Static IP Address”，并填入 ISP 給的IP 地址、子網(wǎng)掩碼及網(wǎng)關(guān)。 在“Domain Name Server (DNS) Servers”處選擇“Use These DNS Servers”，并填入 ISP 給的 DNS 服務(wù)器地址。2) 配置 WAN2 端口（固定 IP 地址）WAN1 端口接中國網(wǎng)通的 10M 光纖，配置方法同上，進(jìn)入管理菜單 Network Configuration－WAN Settings－WAN12Settings 中，如下圖所示：FR538G 中文簡明配置手冊第 53 頁/共 70 頁3) 配置 AutoRollover 模式FR538G 中文簡明配置手冊第 54 頁/共 70 頁進(jìn)入管理界面 Network ConfigurationWAN ModeWAN Mode，在 Port Mode 的選項中，選中 AutoRollover 模式，然后點擊 Apply 應(yīng)用即可。3) 添加中國電信及中國網(wǎng)通的策略路由進(jìn)入管理界面 Network ConfigurationWAN ModeNetwork Binding，在 WAN1 和WAN2 的選項中分別啟用 Netowork Binding 功能，如下圖所示：Do you want to enable Network Binding 選中 Enable，然后點擊 Apply 應(yīng)用。FR538G 中文簡明配置手冊第 55 頁/共 70 頁啟用 Network Binding 功能成功后，我們需在 Import file 選項中分別在 WAN1 中導(dǎo)入中國電信的靜態(tài)路由表和中國網(wǎng)通的靜態(tài)路由表，靜態(tài)路由表的格式采用 txt 文件即可，用戶可自己在 txt 文件中添加各運(yùn)營商的靜態(tài)路由，具體格式如下：work mask 或host 其中： 是一個 IP 子網(wǎng) 是子網(wǎng)掩碼 是一個 IP 地址例如：work mask work mask host host work mask work mask 若用戶需要中國電信或中國網(wǎng)通的靜態(tài)路由表，請在下面美國網(wǎng)件社區(qū)下載即可。中國電信或中國網(wǎng)通的靜態(tài)路由表下載鏈接： ARP 欺騙防預(yù)設(shè)置實例最近，互聯(lián)網(wǎng)上越來越多 ARP 欺騙的病毒泛濫，使企業(yè)用戶和網(wǎng)吧的網(wǎng)絡(luò)管理員飽受 ARP 病毒欺騙之苦， ARP 欺騙是利用局域網(wǎng)內(nèi) PC 和路由器的 ARP Cache 的漏洞，中了 ARP 欺騙病毒的主機(jī)通過發(fā)出大量的虛假的 ARP 信息來欺騙 PC 機(jī)或路由器，使 PC機(jī)或路由器的 ARP 列表出錯，導(dǎo)入局域網(wǎng)內(nèi)的 PC 出現(xiàn)丟線的現(xiàn)象，嚴(yán)重的可以使到整個局域網(wǎng)的 PC 出現(xiàn)大面積的丟線，嚴(yán)重影響網(wǎng)吧或企業(yè)網(wǎng)絡(luò)的上網(wǎng)。ARP 欺騙分為二種，一種是對路由器 ARP 表的欺騙；另一種是對內(nèi)網(wǎng) PC 的網(wǎng)關(guān)欺騙。 第一種 ARP 欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng) MAC地址，并按照一定的頻率不斷進(jìn)行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的 MAC 地址，造成正常 PC 無法收到信息。第二種ARP 欺騙的原理是 ——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的 PC 向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。針對 ARP 欺騙的情況，F(xiàn)R538G 防火墻提供了全面的解決方案。FR538G 中文簡明配置手冊第 56 頁/共 70 頁第一種類 ARP 欺騙類型，即：對路由器 ARP 表的欺騙，該 ARP 欺騙類型的目的就是使路由器獲取了錯誤的的 PC 的 MAC 地址，當(dāng)一個數(shù)據(jù)包從局域網(wǎng)發(fā)出，經(jīng)路由器至Inter 的某臺服務(wù)器后，該服務(wù)器發(fā)回來的響應(yīng)數(shù)據(jù)包經(jīng)路由器時，因為得到了 PC 錯誤MAC 地址，使響應(yīng)數(shù)據(jù)包無辦法回到正確的 PC 上，從而導(dǎo)致出現(xiàn)丟線現(xiàn)象，解決該問題，只需路由器支持 IP/MAC 地址，使 ARP 欺騙病毒的錯誤信息無辦法影響到路由器的 ARP列表即可。FR538G 支持 IP/MAC 地址綁定，具體設(shè)置需進(jìn)到 FR538G 的管理界面：SecurityIP/MAC Binding 選項，如下圖所示：1)啟用 IP/MAC 綁定功能：Do you want to enable IP/MAC Binding ? 選中“Yes” ，并點 Apply 即可。2）掃描可綁定的 PC 的 IP/MAC 信息：按一下 refresh 按鈕： ，F(xiàn)R538G 開始在局域網(wǎng)進(jìn)行掃描，當(dāng)掃描完成后，會顯示如下圖所示：FR538G 中文簡明配置手冊第 57 頁/共 70 頁注：當(dāng)你的網(wǎng)絡(luò)經(jīng)過三層交換或路由連接到 FR538G 時， FR538G 將不能掃描不是直接連接的網(wǎng)段，也不能進(jìn)行有效的 IP/MAC 綁定。3）Enable 需綁定的 IP/MAC 地址：選中要綁定的 IP/MAC 地址，并點擊綠色按鈕 enable 即可。有時因為局域網(wǎng)內(nèi)有部分 PC 未開啟，所以 FR538G 無辦法進(jìn)行有效的掃描，因此，當(dāng)這些 PC 機(jī)開啟后，我們FR538G 中文簡明配置手冊第 58 頁/共 70 頁只需重新按一下 refresh 按鈕重新掃描即可。注意：在設(shè)置 IP/MAC 綁定時，需首先把 FR538G 的 DHCP Server 關(guān)閉。第二種是對內(nèi)網(wǎng) PC 的網(wǎng)關(guān)欺騙，即欺騙局域網(wǎng)的 PC，使他們無法獲得正確的路由器的 IP 地址及 MAC 地址等信息，從而使 PC 無法通過正確的網(wǎng)關(guān)出 Inter,解決該問題的方法有兩種：第一種設(shè)置的辦法就是我們常說的雙向綁定的方法，即除了上述所說的在 FR538G設(shè)置 IP/MAC 地址的綁定外，我們需在單臺 PC 上進(jìn)行綁定正確的路由器的 IP/MAC 地址即可。1) 進(jìn)入管理菜單 MonitoringRouter Status，查看 FR538G 的 LAN 口的 IP 和 MAC地址，如下圖所示：編寫一個批處理文件 內(nèi)容如下；@echo off arp darp s 00:11:22:33:44:43剛才我們已經(jīng)查看了 FR538G 正確的 IP/MAC 地址信息，現(xiàn)在，我們把該 IP/MAC 地址添加到在批處理文件中保存，并將該批處理文件拖到“windows開始 程序啟動”中，如果是網(wǎng)吧，可以利用收費(fèi)軟件服務(wù)端程序(如 pubwin 或萬象等軟件)發(fā)送批處理文件 到所有客戶機(jī)的啟動目錄。FR538G 中文簡明配置手冊第 59 頁/共 70 頁這樣，我們即完成了雙向綁定的設(shè)置，從而有效地防止 ARP 欺騙病毒。另外，如果在實際環(huán)境中不方便對每一臺 PC 進(jìn)行單向綁定，我們可以采用第二種防御方法，即啟用 FR538G 的 Arp Attack Prevention 功能。該功能啟用后，F(xiàn)R538G 將主動發(fā)布正確的 ARP 信息，確保下面的電腦接到正確的 ARP 信息，防止出現(xiàn)被中毒的 PC 發(fā)布的錯誤網(wǎng)關(guān)信息影響，使局域網(wǎng)內(nèi)的 PC 均獲得正確的路由器的 IP/MAC 信息。具體設(shè)置需進(jìn)到 SecurityIP/MAC Binding 選項，如下圖所示：在 Arp Attack Prevention 選項中提示： do you want to enable Arp Attack Prevention?選中 Yes， Refresh Interval 默認(rèn)值為 100ms 即