如何使用RDR将Web/Telnet/FTP/TFTP等端口映射到一个不存在的IP上呢?进入ADSL Modem的配置页面,点击“服务”标签,在“NAT设置”中选择“NAT Rule Entry”,然后点击“添加”按钮,添加RDR规则。以Web端口为例,我们把它映射到一个不存在的IP:192.168.1.100上(图4),选择Rule Flavor为RDR,填入Rule ID,在本地IP地址的开始和结束分别填入192.168.1.100,在目标端口的起始值/终止值和本地端口中分别选择HTTP(80),其他的选项都选择默认值即可。Telnet/FTP/TFTP端口可参照此设置。
图四
2)使用BIMAP规则映射
使用BIMAP透明规则做所有的端口映射,将它们映射到一个不存在的IP。进入ADSL Modem的配置页面后,点击“服务”标签,在“NAT设置”中选择“NAT Rule Entry”,然后点击“添加”按钮,添加BIMAP规则。例如,我们把BIAMP规则映射到一个不存在的IP:192.168.1.200上。选择Rule Flavor为BIAMP,填入Rule ID,在本地IP地址的开始和结束分别填入192.168.1.200即可。
通过这样的设置,针对ADSL Modem的一般服务端口(或所有端口)进行的攻击,就被全部转移到内网中一个实际不存在的IP地址192.168.100(或200)上了。
4.升级固件
因为有些ADSL Modem在市场上投入的时间较早,原来采用的软件版本较低,在安全方面有一定的缺陷。现在有很多厂商在各自的主页上都有最新的固件程序提供下载,针对此类问题进行了修改,我们可通过升级ADSL Modem的固件来解决。具体的方法在厂商官方网站上都有介绍,笔者这里就不再详述了。
秘技二:开启防火墙功能
以上的操作都要更改ADSL Modem的设置,有时可能会对当前的设置产生一定的影响,而且对许多不熟悉NAT设置的用户来说,在操作方面可能存在一定的难度。
下面笔者给大家介绍一种方法,无须更改ADSL Modem原有的设置就可防止再受到攻击。现在的ADSL Modem都带有防火墙功能,但默认的状态一般是关闭的,我们只要开启了防火墙功能就行了。一般防火墙功能是通过IP过滤来实现的,具体怎样建立IP过滤规则的,鉴于篇幅比较长,这里不详细讲述,只给大家介绍两种简单的方法。如果大家的ADSL Modem是采用的Globespan技术方案,请继续往下看。
1.使用防火墙补丁
在TP-Link网站上有一个关于TD-8800 ADSL Modem的防火墙补丁下载,笔者发现TD-8800是采用Globespan技术方案,这个补丁完全可以使用在Globespan芯片的ADSL Modem上。笔者在自己的ADSL Modem上试过,一切正常(当然是非TP-Link的产品)。其实它就是在ADSL Modem的IP过滤设置中开启了几条过滤规则,免去了我们手工添加的麻烦。
补丁的使用非常简单,只要在地址栏中填入ADSL Modem的IP地址,输入用户名和密码,然后点击“执行”按钮就可以了(图5)。
图5
2.使用用户配置文件
实达的网站上有一个专门针对网络攻击的用户配置文件下载(下载地址为:http://www.star-net.com.cn/aspsky/up file/sf_20042249929.rar),也只开启ADSL Modem的IP过滤功能,这并不影响用户原有的配置。不过这个扩展名为.GLBEHR的用户配置文件要配合实达ADSL Modem的配置程序来使用。运行ADSL 配置程序,指定ADSL Modem的IP,点击“下一步”,选择“用配置文件配置”,然后再点击“下一步”,指定文件.GLBEHR文件的路径,点击“完成”即可。这样就完成了配置,开启了ADSL Modem的防火墙功能,我们可以登录到Web中看到如图6所示的页面。图中状态灯为绿色的表示规则生效。利用这些规则我们可以有效地禁止来自WAN口上的非法流量。
图6
总结
以上的两种方法都只是开启了ADSL Modem的IP过滤功能及对应的规则,不影响用户原有的配置,建议一般用户采用。而更改端口等设置对熟悉ADSL Modem配置的用户来说具有更大的灵活性。
如果我们的ADSL Modem在开机时就因为受到攻击而造成不能登录的话,则可先拔下WAN口上的电话线再开机,把ADSL Modem设置好后再插上,重新启动就行了。
收藏
推荐
评论(0条)
