D-Link 7系列路由器网络安全配置手册

  • 格式:pdf
  • 大小:349.22 KB
  • 文档页数:7

D-Link 7系列路由器网络安全配置手册
友讯网络
D-Link
2012年4月
目录
1、IP/MAC绑定 (2)
2、MAC地址过滤 (5)
1、IP/MAC绑定
ARP欺骗问题,根源其实是TCP/IP协议设计上的缺陷所致,坦白说并没有一个严格意义上的解决方法,在这方面各厂家都拥有自己的技术,DI-7100使用的ARP防欺骗机制是通过发送广播包来实现的。

启用“ARP保护”功能后,DI-7100会持续向局域网内发送ARP 包,通过这种方式不停刷新客户机上ARP缓存中的IP MAC对应表来达到抑制ARP欺骗的目的。

除此之外,DI-7000还提供了两种ARP 欺骗防御机制,一是常见的IP/MAC绑定功能,二是ARP信任机制。

本功能用于实现内网计算机的IP地址与MAC地址之间的绑定。

路由器的ARP映射表如果被更改,整个网络将陷于瘫痪。

使用路由器集成的IP-MAC扫描工具,一键绑定内网计算机的IP和MAC,可以极大降低因ARP欺骗造成的“掉线”故障。

地址绑定一旦配置完成后,指定的IP 地址就只能被指定的计算机使用,解决了局域网中IP 地址被随意改动而导致的IP 地址冲突。

另外也可以通过选中“禁止未绑定ARP信息的主机通过”选项来禁止所有未被绑定的计算机出访互联网。

点击“动态列表”——>“扫描MAC”,可以扫描出内网活动主机的IP/MAC地址,如下图所示:
DI-7000的IP/MAC绑定页面,用户可以“一键”绑定内网中所有IP/MAC对应关系,使用编辑功能可以为每条记录增加描述信息。

如下图:
在这里DI-7000提供了一个比较实用的功能,“禁止未绑定IP/MAC的主机通过”,如果启用该功能,未进行IP/MAC绑定的主机将无法访问DI-7000,当然更无法通过DI-7000访问INTERNET。

使用这一功能可以非常有效的防止非法用户“蹭网”。

点击“批量绑定”,在此手动添加内网主机的IP/MAC项,IP和MAC之间用一个空格分开。

点击“保存”按钮,可以将绑定内容添加到绑定列表。

ARP信任机制
ARP信任设置的基本选项如下图:
启用ARP信任检测功能:启用ARP信任检测功能,路由器将自动对学习的ARP信息进行验证,保证路由器学习到正确的ARP信息。

启用ARP超时机制:在启用ARP信任检测功能后,可以开启超时机制,使路由器定期对已经学习到的ARP信息进行重新学习和验证,大大提高了路由器自动对IP/MAC表维护的正确性。

启用“ARP信任检测功能”后,可以在信任列表里查看当前已被路由器信任的IP/MAC信息。

“绑定所有IP/MAC项”可以将已信任的IP/MAC添加到绑定列表中,“删除所有IP/MAC项”可以清空该列表内容。

启用ARP信任检测功能,DI-7100将会自动学习内网IP主机的ARP信息并记录可信任的ARP信息,可以在路由器不绑定IPMAC 的情况下一定程度上防止内网ARP病毒产生的影响。

2、MAC地址过滤
MAC地址过滤功能可以禁止内网计算机上网。

有时候可能需要禁止内网某些计算机上网,只要找到该计算机的MAC地址,在MAC 地址过滤里添加一条规则,便可以实现。

例如:想禁止MAC地址是00:1B:24:7D:22:F1的计算机上网。

首先,点击“添加新规则”并填写计算机MAC地址,然后点击“保存”按钮,配置结果如下图所示:
设置完成后被禁用的电脑就不能通过路由器上网,如下图:。