【導(dǎo)讀】網(wǎng)絡(luò)天下以易制勝。Hi-SpiderRouter寬帶路由系統(tǒng)用戶手冊。列產(chǎn)品技術(shù)特點、功能特點和配置方法，歡迎垂詢。武漢海蜘蛛網(wǎng)絡(luò)科技有限公司。版權(quán)所有2021-2021武漢海蜘蛛網(wǎng)絡(luò)科技有限公司(Hi-SpiderNetwork. TechnologiesInc.)，保留所有權(quán)利。本手冊以提供信息為目的，所含信息可隨時更改，恕不另行通知。由此情況引起的與之。有關(guān)的直接或間接的損失，本公司均不負(fù)責(zé)。Hi-Spider是武漢海蜘網(wǎng)絡(luò)科技有限公司的注冊商標(biāo)。Hi-SpiderLinux是海蜘蛛的注冊商標(biāo)。其它品牌和制造者的姓名,可能是他們各自公司的商標(biāo)或注冊商標(biāo)。總公司地址：武漢市洪山區(qū)街道口珞珈山大廈A座1406. 電話：86-027-87660722傳真：86-027-87660722－808郵編：430070

　　

【正文】 圖描述了兩者之間的區(qū)別： 主要參數(shù)格式說明： ? 源 /目的 IP 為空表示所有 IP，有如下 3 種表示方法： 1. 單個 IP，比如： 2. IP 網(wǎng)絡(luò)，比如： 3. IP 地址段，比如： ? 源 /目的端口 為空表示所有端口，有如下 3 種表示方法： 1. 單個端口，比如： 8080 2. 多個離散端口，比如： 137,139,445 3. 連續(xù)端口，比如： 808000 (80 到 8000 之間的所有端口 ) ? 匹配動作 38 1. 通過：允許匹配的數(shù)據(jù)包通過 2. 丟棄：丟棄匹配到的數(shù)據(jù)包，不反饋任何錯誤信息 3. 拒絕：丟棄匹配到的數(shù)據(jù)包，并向發(fā)送者 (源 IP)反饋相關(guān)錯誤信息 4. 不緩存：訪問此 IP 時，不經(jīng)過 Web 代理緩存 案例 1：內(nèi)網(wǎng)用迅雷下載的人太多，影響網(wǎng)速，需要禁止掉迅雷的 15000/UDP 端口 案例 2：內(nèi)網(wǎng)某主機(jī)中了“機(jī)器狗”病毒，經(jīng)觀察，發(fā)現(xiàn)其會定時訪問一些外網(wǎng) IP，并下載病毒和木馬程序，為了安全期間，需要禁止內(nèi)網(wǎng)訪問這些 IP。這些 IP 是 , , 。 添加 3 條規(guī)則，每條規(guī)則的設(shè)置和下面類似，只是目的 IP 不同： 39 MAC與 IP 綁定 MACIP 綁定可以嚴(yán)格控制局域網(wǎng)主機(jī) , 防止局域網(wǎng)用戶隨意改變自己 的 IP 地址來獲得非法權(quán)限或?qū)е?IP 沖突 . 綁定后 , 服務(wù)器與客戶機(jī)通訊時將使用靜態(tài) ARP 表 , 這樣還可以減少局域網(wǎng)內(nèi)的 ARP 廣播流量 。 MAC 與 IP 綁定中有“普通綁定”和“強(qiáng)制綁定”兩種模式： ? 普通綁定 阻止與綁定 MAC 不匹配的 IP的通訊 , 不在綁定列表中的 IP 正常通訊 。 主要用于防止用戶私自修改已綁定的機(jī)器的 IP； ? 強(qiáng)制綁定 只允許與綁定列表中 MAC 地址匹配的 IP 接入 Inter。 MAC 與 IP 綁定 中提供了“ ARP 掃描”和“ ARP 緩存”兩種批量導(dǎo)入方式 : 40 ? ARP 掃 描 即掃描當(dāng)前局域網(wǎng)內(nèi)的 ARP 數(shù)據(jù)信息，并將局域網(wǎng)客戶機(jī) MAC 與 IP 對應(yīng)信息導(dǎo)入綁定列表。 ? ARP 緩存 即導(dǎo)入當(dāng)前 ARP 緩存表里面的 MAC 與 IP 對應(yīng)信息。 如果需要手動添加，直接在列表框里輸入即可。 您可以在指定綁定記錄最前面加上 來暫時禁用該記錄 端口映射 端口映射可以實現(xiàn)從 Inter 到局域網(wǎng)內(nèi)部機(jī)器的特定端口服務(wù)的訪問，這非常適合于內(nèi)網(wǎng)服務(wù)器對外提供服務(wù)的場合，使用端口映射的另外一個好處是，可以保護(hù)服務(wù)器的安全 。 規(guī)則 設(shè)置 案例：映射客戶機(jī) ，需要映射 TCP4698 端口，配置如下圖 對外 IP：當(dāng)多線接入時，如果需要針對某一個廣域網(wǎng)接口 IP 映射的話，可以直接填寫此廣域網(wǎng) IP，或填寫接口名，如： eth eth2，為空表示所有對外 IP。 對內(nèi)對外端口格式必須相同 , 端口格式為 : 80(單個 )或 80,81(多個 )或 80800(連續(xù)端口 ) 41 UPnP 支持 UPnP (自動端口映射 ) 可以讓內(nèi)網(wǎng)用戶在本機(jī)上自動完成網(wǎng)關(guān)端口映射的操作 , 而無需在服務(wù)器上面手動配置 . 啟用 UPnP 后 , 可以解決 MSN 語音無法通訊、內(nèi)網(wǎng) BT 下載 速度慢等問題 . UPnP 需要支持該協(xié)議的軟件相互配合才能起作用 , 如 迅雷 /BitComet/BT精靈 /PPS/脫兔等 DMZ主機(jī) 在某些特殊情況下 , 需要讓局域網(wǎng)中的一臺計算機(jī)完全暴露給 Inter, 以實現(xiàn)雙向通信 , 此時可以把該計算機(jī)設(shè)置為 DMZ(非軍事區(qū) ) 主機(jī) . 設(shè)置 DMZ 主機(jī)后 , 與該 IP 相關(guān)的防火墻設(shè)置將不起作用 , 且端口映射功能自動失效 . 計算機(jī)設(shè)置為 DMZ 主機(jī)后 , 如同直接具有廣域網(wǎng) IP, 并且將不再受到防火墻的保護(hù) 被 DMZ 主機(jī)使用的廣域網(wǎng) IP, 其相應(yīng)的端口映射規(guī)則將自動失效 過濾設(shè)置 DNS過濾 DNS 過濾模塊可以過濾內(nèi)部電腦向互聯(lián)網(wǎng)發(fā)出的域名查詢請求 (DNS 協(xié)議 ), 即在域名解析時就進(jìn)行限制 . 使用 DNS 過濾 , 能更快更有效的限制對域名的訪問 , 過濾得也更徹底 , 強(qiáng)于URL過濾 。 計算機(jī)在解析域名時 , 首先在本地的 DNS 緩存中查找 , 如果找不到才向外發(fā)送域名查詢數(shù)據(jù)包 , 否則直接將緩存中的 DNS 解析項返回 . 因此對 DNS 域名進(jìn)行過濾時有一定的滯后性 , 新加入的策略可能不會立即影響到被限制的計算機(jī) , 須等這些計算機(jī)上的 DNS 緩存過期后才能生效 添加域名 , 即可過濾所有 相關(guān)的 DNS 請求信息 , 比如 , 等 。 如果只想過濾特定的域名 , 比如 , 請?zhí)顚懺撚蛎耐暾刂? 42 IP域名過濾 過濾您不希望客戶機(jī)訪問的站點 , 如含有病毒、暴力或色情等內(nèi)容的網(wǎng)址 . 如果站點對應(yīng)的IP或域名較多 , 建議使用 DNS過濾 。 以 開頭為注釋內(nèi)容 , 在加載規(guī)則時 以后的內(nèi) 容 會自動被忽略 。 URL(網(wǎng)址 )過濾 過濾一些您不希望客戶機(jī)看到或訪問的站點 , 如廣告、含有病毒、暴力或色情等內(nèi)容的網(wǎng)址 ；需開啟 WEB代理緩存服務(wù)后才能生效。 設(shè)置步驟： 添加 IP對象 ，點擊 進(jìn)入預(yù)定義對象頁面，新增一條 IP對象規(guī)則，即您需要控制的機(jī)器的 IP或網(wǎng)段； 添加網(wǎng)址對象，同樣在預(yù)定義對象頁面點擊網(wǎng)址對象，添加一條網(wǎng)址對象規(guī)則 ，即您需要過濾的 URL網(wǎng)址； 返回 URL（網(wǎng)址）過濾的控制頁面，新增一條規(guī)律規(guī)則，選擇之前設(shè)置好的IP對象和網(wǎng) 址對象，選擇“攔截”或“通過”； 點擊“應(yīng)用規(guī)則”使規(guī)則立即生效。 內(nèi)容過濾 針對網(wǎng)址 (URL) 中輸入的關(guān)鍵字或路徑進(jìn)行過濾 , 一般對搜索引擎或網(wǎng)站的特定目錄比較有效 。 此外 , 還可以阻止用戶下載指定擴(kuò)展名的文件 , 只需將文件名后綴加入即可 。 43 舉例說明 : ? 免費看電影 禁止通過搜索引擎搜索 免費看電影 關(guān)鍵字 ? /prettygirl 禁止訪問網(wǎng)址路徑中含有 /prettygirl 目錄的站點 ? \.torrent$ 禁止下載以 .torrent 結(jié)尾的文件 (BT 種子文件 ) ? 攔截 Nimda 之類的網(wǎng)頁病毒 每條過濾文字占一行 , 且過濾文字中不能含有空格 。 前面加 表示注釋或忽略此行 協(xié)議特征過濾 根據(jù)協(xié)議特征過濾某些 網(wǎng)絡(luò) 應(yīng)用 , 比如在線聊天、 P2P下載等 ，路由里預(yù)定義 二十多項常見應(yīng)用 ，以方便用戶配置 。 案例： 某公司要求員工在上班工作時間 8:3017:30 嚴(yán)禁使用 預(yù)定義 IP 對象 44 這里規(guī)則表示所有 IP； 預(yù)定義時間對象 新增協(xié)議特征過濾規(guī)則 應(yīng)用規(guī)則， 使規(guī)則 立即生效 。 如果您修改了預(yù)定義對象 , 請點擊 應(yīng)用規(guī)則 重新加載規(guī)則 45 PPTP VPN 設(shè)置 什么是 PPTP VPN VPN 即虛擬專用網(wǎng) (Virtual Private Network)。是通過一個公用網(wǎng)絡(luò) (通常是 Inter) 建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。 在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。由于 VPN 是在 Inter 上臨時建立 的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費用。 通常， VPN 是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展，通過它可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。 建立 VPN 隧道有多種方式，包括 L2TP、 IPSEC、 PPTP、 GRE、 SSL 隧道，其中 PPTP 是 VPN 隧道中部署最為簡單、方便的實現(xiàn)方式之一， Windows 系統(tǒng)默認(rèn)自帶 PPTP VPN 客戶端，只需幾個步驟可以輕松完成 VPN 的設(shè)定。 PPTP VPN 典型解決方案 應(yīng)用環(huán)境 說明： ? 企業(yè)總部 (VPN 服務(wù)端 ) 架設(shè) VPN 服務(wù)器，允許遠(yuǎn)程用戶撥入，外網(wǎng) IP 為 ， VPN 服務(wù)器端 IP 為 ? 某辦事處 (VPN 客戶端 ) 經(jīng)常需要和總部交換數(shù)據(jù) , 通過 VPN 撥號到總部。撥入成功后虛擬通道被建立，獲得虛擬 IP: 。 由 VPN 通道進(jìn)入總部內(nèi)部局域網(wǎng)，上傳和下載文檔。 ? 出差人員 (VPN 客戶端 ) 需要和總部交換數(shù)據(jù)時 , 通過 VPN 撥號到總部。撥入成功后虛擬通道被建立，獲得虛擬 IP: 。 由 VPN 通道進(jìn)入總部內(nèi)部局域網(wǎng)，上傳和下載文檔，或和其他撥入點 (如辦事處或其他出差人員 )相互通訊。 相關(guān)圖示如下： 46 PPTP VPN 服務(wù)端的設(shè)置 如果用路由充當(dāng) VPN 服務(wù)器，需要進(jìn)行如下設(shè)置： 1. 設(shè)定 PPTP_VPN 服務(wù)參數(shù) 進(jìn)入“服務(wù)管理” “ PPTP VPN”，如下： 47 VPN 網(wǎng)絡(luò)上使用的是內(nèi)部保留 IP 地址，一般用 或 或 ，這里我們使用 ，可根據(jù)實際情況自行調(diào)整。 VPN 網(wǎng)絡(luò)地址不能和本地局域網(wǎng)地址重復(fù)，也盡量不要和遠(yuǎn)程撥入端的局域網(wǎng)地址重復(fù)。為了防止沖突，建議把 VPN 網(wǎng)絡(luò)地址設(shè)為比較特殊，比如 或 等。 啟動 VPN 相關(guān)服務(wù) PPTP VPN 運行時依賴 LDAP DBS 數(shù)據(jù)庫服務(wù)和 RADIUS Auth 用戶認(rèn)證服務(wù)，故應(yīng)先開啟它們。 進(jìn)入“服務(wù)管理” “服務(wù)狀態(tài)”，開啟如下 3 個服務(wù)，如下： 如果需要長期使用 PPTP VPN 服務(wù)，建議把“自動啟動”也啟用。 48 3 、 添加 VPN 用戶 進(jìn)入“服務(wù)管理” “ VPN 用戶管理”，新增用戶，如下： 如果需要讓某個帳戶撥號后始終獲得一個固定的 VPN IP，在“分配固定 IP”項輸入想要分配的 IP 即可，比如這里可以是 。 分配給用戶的固定 IP 必須在所設(shè)定的 VPN 網(wǎng)絡(luò)地址內(nèi)。 使用內(nèi)網(wǎng) PPTP VPN 服務(wù)器 如果想讓內(nèi)網(wǎng)已經(jīng)有 PPTP_VPN 服務(wù)器對外提供撥入服務(wù)， 假設(shè)其 IP 地址為 ，那么在路由上只需要做如下設(shè)置： 1. 映射 PPTP_VPN 端口 (TCP/1723) 進(jìn)入“防火墻” “端口映射” “規(guī)則設(shè)置”，添加一條規(guī)則，如下： 49 2 、 啟用 PPTP_VPN NAT 穿透支持 進(jìn)入“防火墻” “基本安全設(shè)置”，點擊“高級模式”，勾選如下選項： 然后在內(nèi)網(wǎng) PPTP_VPN 服務(wù)器上添加相關(guān)的 VPN 帳戶即可。 PPTP VPN 客戶端設(shè)置（ Windows） Windows 2021/XP/2021/Vista 自帶有 PPTP_VPN 的撥號客戶端，無需另外安裝軟件。以 Windows XP 為 例，設(shè)置步驟如下： 1. 啟動新建連接向?qū)? 依次點擊“開始” “設(shè)置” “網(wǎng)絡(luò)連接” “新建連接向?qū)А? 即可。 或右鍵單擊桌面上的“網(wǎng)上鄰居”圖標(biāo)，選擇“屬性”，在“向?qū)А睓陔p擊“新建連接向?qū)А薄? 50 點擊“下一步”繼續(xù) 2. 選擇連接類型 51 3. 設(shè)置連接名和 VPN 服務(wù)器端地址 連接名只是一個標(biāo)識，可以隨意設(shè)置。 52 下面的 VPN 服務(wù)器地址可以是 IP 或域名 : 4. 完成連接向?qū)? 53 5. 設(shè)置撥號連接參數(shù) 打開建立的撥號連接，點擊“屬性”進(jìn)入連接屬性設(shè)置 : 選擇“網(wǎng)絡(luò)”選項卡 “ Inter 協(xié)議 (TCP/IP)” : 54 點擊“屬性”進(jìn)入 TCP/IP 協(xié)議設(shè)置 : 55 一般情況下，請去掉 “ 在遠(yuǎn)程網(wǎng)絡(luò)上使用默認(rèn)網(wǎng)關(guān) ” 前面的勾，否則 VPN 撥號后將無法訪問 Inter。 56 6. 開始 VPN 撥號 點擊“連接” 進(jìn)行 VPN 撥號，撥號成功后，點擊“連接成功”的提示圖標(biāo)，查看詳細(xì)的連接信息 : 57 上圖中，可以看到撥號后本地 VPN 連接的 IP 為 ， VPN 服務(wù)器 IP為 。 測試 VPN 連接 1. 在“開始” “運行” 輸入 cmd 進(jìn)入 DOS 命令提示符，使用 ping 服務(wù)器 IP 測試 VPN 通道是否正常。 如果路由 “防火墻 ” “基本安全設(shè)置 ” 中 “完全禁 止了 PING”， 是無法 Ping 通 VPN