¡Tan pronto como el enrutador TP-LINK abre su propio firewall, no puede acceder a Internet!

Básicamente, la función de firewall incorporada de los enrutadores domésticos comunes es relativamente simple y básicamente solo cumple con algunos requisitos de seguridad básicos de los usuarios públicos comunes. Sin embargo, para proporcionar una capa adicional de protección al navegar por Internet, también es una buena opción activar el firewall que viene con el enrutador doméstico.

En la primera configuración del firewall de la configuración de seguridad, podemos optar por activar algunas funciones del firewall como "filtrado de direcciones IP", "filtrado de nombres de dominio", "filtrado de direcciones MAC" y "configuraciones de seguridad avanzadas". Después de encenderlo, todas las configuraciones posteriores de las funciones de seguridad entrarán en vigor.

En el filtrado de direcciones IP, la función de filtrado de paquetes se utiliza para controlar el acceso de las computadoras en la LAN a ciertos sitios web en Internet.

Hora de vigencia: La hora de inicio y la hora de finalización en la que esta regla entra en vigor. Ingrese la hora en formato hhmm, como 0803.

Dirección IP de LAN: La dirección IP de la computadora controlada en la LAN. Si está vacía, significa controlar todas las computadoras en la LAN. También puede ingresar un rango de direcciones IP, como 192.168.1.20-192.168.1.30.

Puerto LAN: El puerto de servicio de la computadora controlada en la LAN. Si está vacío, significa controlar todos los puertos de servicio de la computadora. También puede ingresar un rango de puertos, como 1030-2000.

Dirección IP WAN: La dirección IP del sitio web controlado en la WAN. Si está vacía, significa que toda la WAN está controlada. También puede ingresar un rango de direcciones IP, como 61.145.238.6-61.145.238.47.

Puerto WAN: El puerto de servicio del sitio web controlado en la WAN. Si está vacío, significa que todos los puertos de servicio del sitio web están controlados. También puede ingresar un rango de puertos, como 25-110.

Protocolo: El protocolo utilizado por el paquete de datos controlado.

Pasar: cuando se selecciona "Permitir pasar", los paquetes de datos que cumplan con las reglas establecidas en esta entrada pueden pasar a través del enrutador; de lo contrario, el paquete de datos no podrá pasar a través del enrutador.

Estado: Las reglas establecidas en esta entrada solo pueden tener efecto después de seleccionar "Activar".

1. Para proteger la computadora local, el firewall debe monitorear las conexiones a las direcciones de la red local. Solo se pueden permitir conexiones autorizadas para ciertos hosts y servicios. Este trabajo se puede configurar en adelante para comparar. cómo enrutar paquetes a través de todas las interfaces conectadas a la dirección de destino de la red local.

2. Proteger la ruta del acceso no autenticado. El firewall debe monitorear las conexiones a la ruta y solo puede permitir que ciertos hosts accedan a ciertos puertos TCP de la ruta. para comparar y unir paquetes de datos que pasan a través de todas las interfaces de conexión de la ruta con la dirección de destino del enrutamiento.

3. Utilice NAT para ocultar la red local detrás de una IP de red pública, y todas las conexiones de red local se disfrazan como direcciones de red pública desde el propio enrutador. Este trabajo habilita reglas de traducción de direcciones de origen al permitir el comportamiento de enmascaramiento.

En cuarto lugar, el principio de acceso que obliga a la red local a conectarse a la red pública, el firewall debe monitorear esas conexiones desde la dirección de la red local. Esto se puede hacer configurándolo hacia adelante o disfrazando qué conexiones están permitidas. El filtrado de datos tendrá un cierto impacto en el rendimiento del enrutador. Para minimizar este impacto, estas reglas de filtrado deben colocarse en la parte superior de cada cadena. Esto es en la opción de protocolo de control de transmisión que no es solo sincronización.

5. Cuando el tráfico de datos generado por los ataques a la red llega al objetivo final del ataque, el tráfico de datos puede ser muy grande. Para proteger el sistema atacado del colapso, podemos adoptar las dos estrategias siguientes:

1. Utilice una lista de control de acceso en el enrutador de borde de red del objetivo final del ataque para negar el envío de paquetes de ataque ping al host atacado. Pero este es un método tosco, porque cuando restringes completamente los paquetes de ping enviados al host atacado en el enrutador, otros paquetes de ping que esperan pasar normalmente tampoco podrán pasar.

2. Después de usar la lista de control de acceso para filtrar los datos de ping en el enrutador fronterizo, aunque la red interna conectada al enrutador puede protegerse contra ataques, los datos de ataque aún ingresarán al enrutador en grandes cantidades. causando que la interfaz del enrutador se bloquee.

3. El uso de restricciones CAR en el enrutador fronterizo de la red del objetivo final del ataque es un método más preferible. CAR puede limitar el tráfico total de un determinado tipo de paquetes de datos que fluyen hacia la red a un cierto rango, garantizando así el paso normal de otros datos.