路由器的防火牆功能每個人都至少聽說過,但是大多數人(包括阿卡自己),基本上是不會去設置的,倒不是麻煩,歸根到底還是懶……而且自認為是高手,一些問題自己即可解決,犯不著去用路由器中的防火牆功能。
不過對於很多還在為瀏覽網頁不停彈窗而煩惱(特別是一些廣告頁面實在煩人)的用戶來說,利用路由器的防火牆,委實可以解決很多問題。這次,我們就簡單來說說路由器防火牆的作用。
用好“訪問控制”功能
所謂的防火牆,最基礎的功能,即過濾網絡傳輸,簡單而言就是封包-解包-傳輸-封包-解包的過程。而防火牆則可以在解包後以及傳輸前,對包的內容進行控制、甚至是過濾。
而要使用這個功能,面向用戶的則是“訪問控制”功能,專業名稱為訪問控制列表,即access-list,其簡稱也就是常說的ACL。
下面我們來看看某個第三方固件提供的訪問控制功能,(其他具備防火牆功能的路由器基本類似,功能差不多,照葫蘆畫瓢即可)
路由器訪問限制的功能設置
對於入門用戶而言,可能其項目會比較多,沒關係,其實很簡單。
啟用設置、描述、時間段這些都是顧名思義的東西,按需填寫即可,既然我們做的是阻斷惡意網站,當然是全天全時段了。訪問控制選擇一般訪問控制即可,路由器一般提供針對設備做防火牆功能,這裡我們也選擇所有設備。
端口/應用部分:即4層/7層設置,由於我們是做惡意網站過濾,因此也並不需要做此項設置,直接留空即可。下面為http請求,我們只需要將包含惡意攻擊的網站輸入即可。
但最重要的,是一些我們常用的網站,有時也會植入一些惡意廣告,或者是彈出一些不和諧的信息,我們也可以將他阻斷。比如筆者常用下載的站點在進入後則會彈出廣告遊戲頁面,這很煩惱。這樣我們只需將彈出的網址加入列表中,以後就不會再彈出來了。
而如果當用戶主動訪問該彈出的網站時,則是提示404網絡錯誤,其實也就是被路由器阻斷訪問了。這也可以避免誤進入惡意網站導致感染木馬。
使用防火牆阻斷惡意端口
我們知道,大部分的木馬、病毒都是利用了端口漏洞進行的攻擊,而我們只要將這些沒用的端口關閉,就可以有效的阻斷這些攻擊,防火牆可以有效的做到這一點,這也是每個企業網絡出口必做的一條ACL。
直接利用防火牆阻斷端口
基於端口規則,我們選擇相應設置,TCP或者UDP,端口為雙向
常用端口封鎖為
tcp source-port eq 3127
tcp source-port eq 1025
tcp source-port eq 5554
tcp source-port eq 9996
tcp source-port eq 1068
tcp source-port eq 135
tcp source-port eq 137
tcp source-port eq 138
tcp source-port eq 139
tcp source-port eq 593
tcp source-port eq 4444
tcp source-port eq 5800
tcp source-port eq 5900
tcp source-port eq 8998
tcp source-port eq 445
udp source-port eq 445
udp source-port eq 1434
udp source-port eq 135
udp source-port eq 137
udp source-port eq 138
udp source-port eq 139
這樣我們就可以有效防止一些蠕蟲、病毒攻擊了
特別提示
雖然SOHO級路由器具備了防火牆功能,但其終究性能無法與企業級防火牆媲美,我們在使用這項功能時,不必要盲目追求將所有的惡意網站庫寫入路由器,這是不現實,並且是不可能的。一般每條列表不會超過1024/2048/4096字節(視硬件及固件所定),也就是每條列表大概只能加四五百個網站,而惡意網站庫則是成千上萬……因此我們只需要將日常遇到的一些不和諧的廣告頁面給與相應裁判,使其和諧即可,從需求出發,解決日常使用中的問題。
閱讀更多 鋅刻度 的文章
