防火墙基本设置(通用)

基本安全设置

防火墙基本安全设置用来过滤来自Internet 网上非法的数据包、抵御黑客入侵和攻击、保护内部网络安全，为内网访问外部网络提供一道安全屏障.要使用攻击防范功能，您可以根据需要选择开启。

基本模式

1）忽略来自W AN口的PING包，开启此功能路由系统将禁止外网用户向路由器发送PING 包；

2）禁止内网PING 网关，开启此功能路由系统将禁止内网用户向路由器发送PING包；3）完全关闭PING功能，开启此功能路由系统将不响应所有ICMP echo请求；

4）开启ICMP-Flood攻击防御以后，路由系统将统计到达每个目的ip地址的icmp包pps (packets persecond)，如果超过设定值则触发防护机制。推荐值：3000

5）开启TCP-SYN- Flood攻击防御以后，路由系统将统计到达每个目的ip地址的syn包pps (packets persecond)，如果超过设定值则触发防护机制。推荐值：150

6）开启UDP-Flood攻击防御以后，路由系统统计到达每个目的IP地址的UDP包pps (packets persecond)，如果超过设定值则触发防护机制。推荐值：5000

7）开启TCP单机连接数限制，路由系统将统计每台单机到达每个目的ip地址的TCP连接,如果超过设定值则自动清理；

8）开启UDP单机连接数限制，路由系统将统计每台单机到达每个目的ip地址的UDP连接,如果超过设定值则自动清理；

9）开启IP碎片攻击防御后，路由系统将对网络中发送的异常分片进行监控，如果超过设定值则触发防护机制。

高级模式

1）防止来自外网IP欺骗，开启此规则防火墙将拒绝网络外部与本网内具有相同IP地址的连接请求；

2）防止外部源路由欺骗，开启此规则防火墙将抛弃那些由外部网进来的却声称是内部主机的报文；

3）防止ICMP重定向欺骗，开启本开启此规则防火墙将不接受和发送ICMP重定向消息；4）启用ICMP错误消息保护，开启本开启此规则防火墙将在出错时不发送ICMP包文；5）防止Smurf DoS攻击，开启此规则防火墙将不响应ICMP echo广播和多播请求；

6）启用SYN Cookie功能，有助于防止SYN Foold攻击；

7）忽略端口扫描报文，开启此项功能防火墙将丢弃可能来自端口扫描工具的TCP数据包；8）拒绝响应和转发不合法的TCP数据包，开启此项功能防火墙将拒绝响应和转发TCP标志位和实际状态不匹配的数据包；

9）关闭TCP直接拥塞通告；

10）防止TCP land攻击，开启此项功能防火墙将判断网络数据包的源地址和目标地址是否相同，然后丢弃源IP和目的IP相同的包；

11）启用Proxy ARP,即代理ARP，一般不推荐开启，容易引起内网IP冲突；

12）启用PPTP_VPN NAT穿透支持，使用PPTP_VPN的时候需要开启；

13）修改TCP数据包最大报文长度，使用PPTP_VPN的时候需要开启.