飞鱼星VE详细配置手册

《飞鱼星VE详细配置手册》由会员分享，可在线阅读，更多相关《飞鱼星VE详细配置手册（82页珍藏版）》请在装配图网上搜索。

1、AA* T弟五章详细安装指南5.1启动和登录本产品默认IP地址为：192.168.0.1,子网掩码为：255.255.255.0,管理帐户是：admin, 密码是：admin。在启动和登录以后，浏览器会显示本产品的WEB管理界面。如下图：界面左侧菜单栏里有如下选项：“系统状态”、“基础设置”、“上网行为管理”、“网 络安全”、“QoS流量控制”、“高级选项”、“虚拟专网”、“系统工具”等，单击某个 选项，即可进行相应的功能设置。下面将详细讲解各个选项的功能。5.2系统状态5.2.1系统信息通过“系统信息”界面可观察路由器的状态信息、版本信息、连接数排行等。路由器运行时间：路由器的连续工作时间。

2、本例中显示路由器已经工作了1天0小时6分 钟。路由器负荷：路由器运行过程中当前的系统负荷。本例中显示当前系统负荷很小，是5%， 负荷在0%40%之间属于正常，在40%-100%之间属于繁忙。当前网络连接数：当路由器工作在NAT模式时，内网计算机出访会在路由器上产生NAT 连接。NAT连接数和网络流量是影响路由器负荷最关键的两个指标。本例中当前的NAT连接数是275条，由TCP协议构成的NAT连接数是262条，构 成这种连接的主要网络应用有：网页浏览、下载等；由UDP协议构成的NAT连接数是13 条，构成这种连接的主要网络应用有：域名查询、QQ等。当前活动主机数：显示当前内网通过路由器NAT以后

3、访问外网的机器的数量。网络连接限制：打开，表示“启用网络连接数限制”。该功能对内网每台主机能够占用的最 大网络连接数进行限制，以保证内网整体的可靠性和可用性。网络防御拦截到：当在“网络安全”9“攻击防御”9“内网防御”中启用“内网病毒防御” 和“广播风暴抑制”功能以后，路由器会显示当前拦截到的内网病毒包和广播包的数量，拦 截这些包的主要目的是保证内网整体的可靠性和可用性。网络攻击报警：路由器一旦遭遇来自内网或者外网的网络攻击，便会在此做出相应提示。方 便网络管理员排查故障。产品型号：路由器的型号。本例是VE1560 V4N。版本型号：路由器的当前固件版本。本例是Beta 10052008-12

4、-15 02:22:30 PM。产品序列号：路由器的序列号。路由器序列号是每个路由器的唯一标识。策略库版本：路由器内置的电信策略包和网通策略包，当前版本是081031。点击“立即更 新”按钮可以自动更新策略路由包的版本。客户机网络连接数排行：在这里可以显示当前占用网络连接数最多的10台内网主机的排行 情况。在正常使用情况下，单台内网主机的网络连接数在300以内，如果某台内网主机网 络连接数长时间明显大于这个值，请检查该主机是否感染网络病毒。一旦某台内网主机作为 服务器对外开放，则网络连接数会显著上升。可以通过“网络安全”9“攻击防御”9“网 络连接数限制”功能对每台内网主机能够占用的最大网络连

5、接数进行限制，以保证网络整体 的可靠性和可用性。在实际应用中，一台计算机正常情况下一般只有10-50条NAT连接。某些感染了蠕虫病 毒或滥用P2P下载工具的内网计算机会对外发起众多的连接请求，严重干扰网络的正常运 行，通过查看客户机网络连接数排行榜，可以轻松定位到染毒主机，为网络故障的排查带来 方便。如果染毒的内网主机网络连接数过大，需要及时将染毒主机断网并杀毒，从而保护其 他主机的正常网络使用。5.2.2网络接口显示路由器当前网络接口详细信息。可以通过本界面观察路由器的广域网和局域网的连接状态以及接口信息。其中包括：设 备接口的物理地址（MAC地址），IP地址，子网掩码，网关地址，接受/发送

6、数据量等信息。 对于ADSL PPPoE拨号线路，提供手动断开与连接按钮，并显示已连接的时间。通过使用飞鱼星独有的“流量实时监测”功能，相应IWAN 口带宽使用情况便一目了 然地展现出来。下图是查看WAN1 口“十分钟”的带宽使用情况：5.2.3系统日志本界面提供的功能是将网络日志和系统日志通过标准协议传输到日志服务器上进行保 存。日志服务器运行“飞鱼星日志管理服务器软件”接收日志信息。启用系统日志服务：启用并保存后，重启路由器，将会在本界面中的“系统日志”选项看到 系统日志。启用日志服务器：指定日志服务器的IP地址，在日志服务器上结合飞鱼星日志管理服务器 软件接收路由器产生的日志信息。请在官

7、方网站下载该软件。在路由器上查看系统日志信息，点击“系统日志”即可。如下图所示：本界面提供两个使用频率最高的网络命令，ping和tracert,命令的发起端都是路由器。 使用ping可以检测目标地址是否可以到达。比如，ping 61.139.2.69的结果如下图所示： （ping包个数选择3个）由于61.139.2.69是一个外网地址，根据使用ping命令的结果得出的结论是：从路由 器发出的数据包可以到达外网，并且路由器可以收到外网回应的数据包，说明外网是通的; 只要路由器没有配置任何限制规则，内网的用户就可以通过路由器上网。再举个例子来说明tracert的使用情况，tracert 61.13

8、9.2.69的结果如下图所示：根据使用tracert命令的结果，得出的结论是：从路由器发出的数据包在到达61.139.2.69（电信地址）之前经过了 4个网关的转发。通常我们只关心所到达的第一个网关，在这里是221.237.64.1，它是WAN 口电信线路的网关，本例是在使用电信和网通双线 接入的情况下测试tracert，输出结果验证了访问电信的资源从电信的线路出访，实现了策 略路由。5.2.5内网监控内网监控功能采用高速网络流量采集和分析技术，精确统计内网每个ip的累计流量、 实时速度、网络连接数等关键指标，并可以按任意指标排名分析；实时分析各ip的网络连 接详情，轻松掌握网络资源分配情况，

9、定位问题易如反掌。内网监控的“管控”功能可以一键禁止内网异常活动ip上网。启用内网分析：将分析服务状态选择为“启用”，并保存。如下图所示：排序方式：可以将内网的活动主机按照累计下载、累计上传、下载速度、上传速度、网络连 接数等指标排名，本例是按照主机IP地址排名。点击蓝色字体“主机”即可。管控：当您发现某个IP活动异常时，可以使用管控功能，单击管控列的绿色按钮即可一键 阻断其访问外网。当您阻断某个IP地址上网后，您可以在禁止列表中看到该IP：当您删除所有规则以后，此IP地址又可以正常上网了。刷新：点击“刷新”按钮后，路由器每5秒刷新一次排序列表。通过点击相应的主机IP地址或者该主机的网络连接数

10、，可以查看该主机的NAT连接数 详情。点击“ 192.168.0.61 ”出现如下图所示的界面:5.2.6报文捕获报文捕获功能提供在路由器上直接抓取经过路由器LAN 口或WAN 口的数据包，便于分析当前网络运行情况。如下图所示：数据包文件：点击“开始抓包”后，被捕获的数据包会形成名为packet.cap的文件，该文 件可以使用wireshark （ethereal）等软件打开。类型：希望捕获哪种类型的数据包。可选项有，ARP、ICMP、TCP、UDP或者ALL（全部类型）。默认捕获全部类型的数据包。源IP地址：被捕获的数据包的源地址。目标IP地址：被捕获的数据包的目的地址。源端口与目标端口：被

11、捕获的数据包的源端口与目的端口。接口：希望捕获哪个接口的数据包。可选项有LAN、WAN、ALL （全部）。数量：每次捕获数据包的个数，每次最多可以捕获1000个数据包。设置并点击“开始抓包” 后，系统会提示剩余包个数，当剩余包为0个时，系统自动停止本次抓包。5.3基础设置5.3.1配置向导通过快速配置向导可以轻松地完成上网所需要的基本设置，直接点击“下一步”进行操 作，按照系统提示正确输入参数即可。5.3.2基本选项本界面包含路由器系统的一些基本配置信息，通常情况下，基本选项保持默认配置即可。 如下图所示：注意：如果您将本界面的配置参数（除手动设置时间）做了修改以后需要重新启动路由器才生效。主

12、机名称：路由器的名称。可以在这里给路由器设定一个名称，默认是volans域名：路由器作为内网DHCP服务器时所使用的名称。时间服务器地址：路由器通过时间服务器获取准确的系统时间。手动设置时间：如果时间服务器故障导致不能正常更新路由器系统时间，用户可以自己设置 时间。最大数据分段：对于某些特殊地区的ISP，用户只有手动设置最大数据分段以后才能更流畅 地使用网络。最大数据分段的范围是536-1460字节，通常情况下保持默认即可，错误的数 据分段会导致您的网络无法正常使用。支持端口回流：当您访问内网主机对公网提供的服务时，可能出于习惯使用路由器WAN 口 IP地址进行访问，此时就需要端口回流功能来支

13、持您的应用，打勾表示启用此功能；如果 不启用此功能您只能使用服务器内网IP地址访问内网服务器。要试试远程的问题 是不是这样做了我就可以远程公网ip 地址来管理了5.3.3内网配置本界面用于配置内网接口参数，如下图所示:注意：如果您将本界面的配置参数做了 修改以后需要重新启动路由器才生效。ip地址：设置路由器内网口的ip地址，这个地址就是内网计算机的网关地址。该地址出厂 时设置为192.168.0.1,可以根据需要改变它，如果改变了路由器内网IP地址，重新启动路 由器后才能生效。重启成功后，必须用新设置的IP地址才能登录路由器进行WEB界面管 理。局域网中所有主机的IP地址需与路由器内网口 IP

14、地址在同一网段，并且默认网关设置 为路由器内网口 IP地址才能正常上网。子网掩码：根据内网规模选择，一般填255.255.255.0即可。路由器默认使用的子网掩码是255.255.255.0，可以根据需要更改。内网扩展IP地址：本路由器内网口允许配置多个IP地址，当内部有多于一个子网时可能会 使用到该功能。可以在“内网扩展IP地址”中添加3个地址，其功能与路由器内网地址基 本一致，通常作为相应子网的网关使用。5.3.4外网配置本界面用于配置WAN 口的接口参数。每个WAN 口都支持三种连接方式，静态地址线路， PPPOE拨号线路，动态获取地址线路。注意：如果您将本界面的配置参数做了 修改以后需

15、要重新启动路由器才生效。1. 静态地址线路IP地址：申请的线路的广域网IP地址，由网络服务商提供，可以向网络服务商询问获得。 子网掩码：当前IP所对应的子网掩码，由网络服务商提供，可以向网络服务商询问获得。 缺省网关：当前IP所对应的网关，由网络服务商提供，可以向网络服务商询问获得。DNS服务器1 /DNS服务器2：填入网络服务商提供的DNS服务器IP地址，可以向网络服务 商询问获得。网络服务商：您申请线路的ISP,比如中国网通或者中国电信。如果选择“不指定”，则该 线路需与静态路由功能配合使用。线路带宽：申请的WAN1 口静态线路的带宽，可以向网络服务商询问获得。MTU设置：MTU（最大传输

16、单元），系统默认使用1500字节。通常情况下这个参数不用设置， 保留“自动”即可。不恰当的MTU设置可能导致网络性能变差甚至无法使用。工作模式：本路由器对于WAN1 口提供四种工作模式。1. NAT （网络地址转换）模式。如果内网使用了一个私有的网络地址段，比如10.x.x.x/172.16.x.x/192.168.x.x，并且需要访问互联网，则路由器需要工作在NAT模式下。 路由器工作在NAT模式时，内网中的出访数据包的源地址将被转换为路由器WAN 口配置 的合法IP地址。目前绝大多数用户使用的是这种工作模式。2. 路由模式。如果内网的主机全部是合法的公网地址，可以配置路由器工作在路由 模式

17、下。路由器工作在路由模式时，内网中出访数据包的源地址将使用本机的合法公网地址， 不会被转换为路由器WAN 口配置的IP地址。目前使用这种工作模式的客户比较少。3. 透明桥模式。该模式只针对WAN1使用；如果内网每台主机都是同一 ISP （比如 网通）公网地址，又增加一条宽带线路（比如电信），电信线路具备一个或多个公网地址， 在这种情况下，可以配置路由器工作在透明桥模式。路由器工作在透明桥模式时，内网的主 机不需要修改任何配置，就可以实现“访问电信数据走电信线路，访问网通数据走网通线路” 的策略路由，还可以实现线路备份等功能。目前使用这种工作模式的客户也比较少。4. 桥接模式。启用该模式后，路由

18、器的LAN 口和WAN1 口实现纯桥功能。LAN侧 PC的网关应指到WAN侧的真实网关地址，路由器可对LAN侧的PC进行流控和上网行为 管理等控制。通断检测：如果为不启用，则路由器不对此条线路的通断作判断。网关检测：如果WAN 口到网关这一跳有故障，则选择网关检测效率最高。这个也是默认 配置，推荐大多数客户使用。ARP检测：与网关检测功能几乎一样，用于特殊地区的ISP。DNS检测：用于第N （N=1）跳的故障。使用时必须正确配置静态线路的DNS地址，并 填写检测域名。定时切换：某些地区ISP存在零点断网问题。比如双线接入，WAN1线路每天凌晨0:00 断网，早上7:00通网，则配置定时切换断线

19、时间为：23:59,上线时间为：7:02。在断线期 间，内网所有的上网数据全部由另外一条未断的线路出访，内网不会产生由于零点断网引起 的“掉线”问题。试试？看看还可以设置时间段的2. PPPOE拨号线路PPPOE帐号：填入网络服务商提供的PPPOE线路帐号，可以向网络服务商询问获得。PPPOE 口令：填入网络服务商提供的PPPOE线路口令，可以向网络服务商询问获得。按需拨号：当使用计时收费类型的PPPOE线路时，可以配置这个功能。配置该功能后，如 果内网有上网请求，路由器会自动拨号连接，无需人工干预；PPPOE线路空闲的时间达到 设定的值后，系统自动切断PPPOE线路，节省费用。这个值应大于3

20、0秒，通常设置为300 秒（5分钟）。网络服务商：您申请线路的ISP，比如中国网通或者中国电信。如果选择“不指定”，则该 线路需与静态路由功能配合使用。线路带宽：申请的WAN1 口 PPPOE线路的带宽，可以向网络服务商询问获得。工作模式：参考静态线路说明，默认使用“NAT模式”。通断检测：参考静态线路说明。3. 动态获取地址线路主机名：某些提供以太网动态获取地址线路的网络服务商可能需要，可以向服网络务商询问 获得。网络服务商：您申请线路的ISP，比如中国网通或者中国电信。如果选择“不指定”，则该 线路需与静态路由功能配合使用。线路带宽：申请的WAN1 口以太网动态获取地址线路的带宽，可以向网

21、络服务商询问获得。MTU设置：MTU（最大传输单元），系统默认使用1500字节。通常情况下这个参数不用设置， 保留“自动”即可。不恰当的MTU设置可能导致网络性能变差甚至无法使用。工作模式：参考静态线路说明，默认使用“NAT模式”。通断检测：参考静态线路说明。WAN2、WAN3、WAN4线路的参数说明与配置方法与WAN1线路的相同。当多WAN配置完毕以后，点击“外网设置”9 “智能均衡策略”，将模式设置为“智 能均衡”：智能均衡是飞鱼星路由器的一大特色，路由器将自动识别线路并调用路由策略，使多条线路 工作在最佳状态下。 默认线路类型可选项有电信和网通。比如WAN1和WAN2 口分别是网 通与电

22、信接入，此时如果内网访问教育网的资源，并且选择默认网络服务商“电信”， 则访问教育网的数据从电信线路出访。 自定义策略，通过使用源地址路由、静态路由等选项来配置策略路由的 高级路由方案，请参考源地址路由、静态路由的介绍。保存后如下图所示:5.3.5 DHCP服务器本界面主要提供DHCP服务器功能。如果内网计算机的TCP/IP协议配置为“自动获得 IP地址”，并且在内网没有DHCP服务器的情况下，可以使用该功能。DHCP是Dynamic Host Configuration Protocol （动态主机配置协议）的缩写，它是 TCP / IP协议簇中的一种，主要是用来给网络客户机分配IP地址。这

23、些被分配的IP地址都 是DHCP服务器预先保留的一个由多个地址组成的地址集，此地址集一般是一段连续的地址。起始IP地址：DHCP服务器自动分配的内部IP的起始地址。结束IP地址：DHCP服务器自动分配的内部IP的结束地址。默认网关：路由器给PC分配的网关地址。通常为路由器的LAN 口 IP。DNS服务器1/DNS服务器2：分配的DNS服务器地址。租期（小时）：设定DHCP服务器为客户端租用IP地址保留的过期时间，系统默认留空。如 果留空，租期默认为12小时。绑定：启用自动绑定IP/MAC功能后，路由器会自动绑定已分配的IP地址与相应主机的MAC 地址，避免内网由于ARP欺骗所带来的掉线问题。当

24、前内网DHCP服务器：当此路由器作为一台DHCP服务器时，他它会主动探测同一局域网是否也存在其他 DHCP服务器，如果有则显示其IP和MAC地址，避免DHCP服务冲突。DHCP服务器支持静态IP地址分配。如果希望内网某台主机每次启动以后都会获取DHCP 服务器分配的同一 IP地址，可以使用此功能。比如：内网有台计算机的MAC地址是00:01:02:03:04:05,希望它每次启动以后都会获 取IP 192.168.0.2。首先，点击“添加新规则”添加一条规则；然后填写相应的IP地址与 MAC地址，并保存。配置的结果如下图所示：您也可以批量的添加静态地址，如下图:添加好保存以后显示:5.3.6

25、DHCP地址池DHCP地址池显示路由器的DHCP服务当前状态。可以看到的信息有，已经分 配的IP地址、该IP所对应的MAC地址、获取该IP的计算机名称、IP地址租约到期时间。 如下图所示：5.3.7端口管理本界面提供的功能是调整路由器WAN 口的工作模式，改变路由器内网口与外网口的MAC 地址。注意：如果您将本界面的配置参数做了修改以后需要重新启动路由器才生效。接口模式：可以调整路由器WAN 口的工作模式。提供四种工作模式供选择：10M全双工模式、10M半双工模式、100M全双工模式、100M半双工模式。通常情况下网络接口之间自动协商工作模式，用户不需要手动配置，保留“自动模式”即可。也可查看

26、其中某一端口的数据统计：MAC克隆：可以修改LAN 口和WAN 口的MAC地址，留空表示使用系统 默认的MAC地址。某些网络服务商将提供给您的线路同某一个固定的 MAC地址绑定起来，在这种情况下，MAC地址克隆就非常有用。5.4上网行为管理上网行为管理应用示例5.4.1 IP地址组ip地址组：用于将ip地址进行分组管理。这个ip组可以是内网的ip段， 也可以是公网的某些ip段。设置好的ip组将与上网行为管理的各个子功能配合使用，可 用于定义源ip或者目的ip。比如企业研发部的IP段：192.168.0.20-192.168.0.30，将研发部配置为一个IP 组的方法是，点击“添加新规则”。1、

27、组名称：yanfabu2、IP 段：192.168.0.20-192.168.0.50，点击“添加”按钮。3、描述：添加注释“研发部”。4、点击“保存”后出现如下的界面。类似地，可以添加企业行政部、市场部，或者添加一组外网的不安全IP段 221.50.50.0-221.50.50.254。5.4.2网址分类管理网址分类管理功能将大多数热门网站进行分类，用于对外网网站的访问 进行管控，杜绝员工访问与工作无关网站。比如：市场部同事由于业务需要，工作时间可以访问所有网站；但是在工作时间只允许其他部门员工访问合作伙伴网站，而不 允许访问其他网站。配置如下：1、将“启用网址分类管理功能”打勾。2、在白名

28、单中添加。3、将“休闲娱乐”“其他网址”的所有分类全部“阻断”。4、点击“保存”按钮。阻断：启用后，禁止用户访问“被阻断网站”，并将网址自动跳转到指定页面。记录：启用后，日志会记录某个IP什么时候访问过哪些网站。警告：启用后，当用户访问“被警告网站”时，浏览器会显示警告信息。在例外IP地址组，可以添加不受以上规则约束的IP地址组。如：市场部此时，市场部同事可以访问所有的网站，而其他组的同事只能访问。5.4.3域名安全域名安全功能可以禁止内网的计算机访问某些网站和不安全的ip地址组，并记录访问 日志。比如禁止内网的除了市场部(shichangbu)的所有计算机访问目的IP是virus组(221.

29、50.50.0-221.50.50.254)和 ,。配置方法如下：1、将“启用域名安全功能”打勾。2、将“shichangbu”添加到例外IP地址组。3、将“virus”添加到过滤目的IP组。4、将“启用DNS访问日志”打勾。5、添加和，每行填写一个网址。6、点击“保存”按钮。5.4.4 WEB 安全WEB安全可以实现禁止内网用户在论坛发帖子、防止企业信息外泄；禁 止用户下载指定扩展名（比如exe； torrent）的文件、禁止用户访问URL包含指定关 键字的网站等功能。比如禁止除了市场部（shichangbu）的所有计算机在论坛发帖、下载扩 展文件名为.exe、.torrent的文件、访问U

30、RL包含bbs、org的网站。配置方法如下：1、将“启用WEB安全功能”打勾。2、将“shichangbu”添加到例外IP地址组。3、将“禁用WEB页面提交”打勾。4、过滤文件扩展类型填写：torrent,exe（用英文的逗号分隔）5、过滤的URL关键字填写：bbs,org（用英文的逗号分隔）6、点击“保存”按钮。5.4.5电子公告电子公告功能将按照管理员设置的公告周期定时向用户发送公告内容，内网 用户可以通过浏览器查看到公告内容。聊天软件过滤、P2P软件过滤和股票软件过滤采用深度协议分析技术，可以 有效限制内网计算机使用MSN、飞信、skype、迅雷、电驴、BT、VAGAA、KUGOO、PP

31、LIVE、 PPSTREAM、股票行情软件等应用程序。对于QQ的封锁，除了可以封锁QQ通过代理登陆外， 还可以针对QQ号码封锁，允许例外的QQ号码登陆。注意：由于某些P2P软件或者聊天软件的版本不同或是有更新，可能应用软 件过滤功能会对该版本的软件失效，飞鱼星科技会不定期更新软件特征库，确保过滤功能对 绝大多数的软件版本有效。1、聊天软件过滤聊天软件过滤提供对QQ、MSN、飞信、SKYPE、阿里旺旺软件的过滤。比如禁 止所有计算机使用QQ、MSN、skype、飞信、阿里旺旺等聊天软件，并且只允许市场部登陆 工作QQ12345678、23456789，其余私人QQ不能登陆。配置方法很简单，首先启

32、用“聊天软 件过滤”，然后对禁止使用的聊天软件选择“开启”，并保存即可。如下所示：1、点击“例外的QQ号”，添加新规则。2、输入允许使用的QQ号码12345678和23456789，并添加注释。3、点击“保存”按钮。完成后界面如下图所示:2、股票软件过滤提供了对股票行情软件大智慧、钱龙、同花顺、证券之星、指南针，以及运用了以上 这些软件特征代码的其他“衍生”行情软件，都具有过滤作用，杜绝了员工上班炒股的行为。 比如，禁止所有的电脑使用股票行情软件。即IP地址不设例外就行了。3、P2P软件过滤比如禁止内网的所有用户组使用迅雷、电驴、BT、VAGAA、KUGOO、PPLIVE/PPSTREAM等P

33、2P软件。按照如下图所示配置即可:5.4.5游戏过滤游戏过滤功能可以阻止内网用户登录当前一些热门游戏。详细的游戏列表如下图所示：5.4.6防火墙设置本界面提供了飞鱼星路由器内置的高性能防火墙的配置。防火墙访问控制规则一旦设置 后，路由器将运用所配置的规则来匹配报文中的相关信息，决定允许或者拒绝报文通过。比如禁止市场部(shichangbu)的计算机在每周二、周三的9:00-10:00禁止访问virus组的所有服务。点击“添加新规则”，在出现的界面中这样配置:1、不使用：保持默认，不勾选。若勾选，则本条规则配置后不生效。2、动作：禁止。3、接口： LAN。4、协议：ALLALL/1-655355

34、、目的端口范围：当协议为ALL时，目的端口范围默认为所有端口。6、目的地址组：选择下拉菜单 virus”7、源地址组：选择下拉菜单shichangbu”8、时间：9:00-10:009、工作日期：周二、周三完成后点击“保存”即可。如下图所示：注意：规则的匹配顺序是从上到下，一旦匹配了一条规则就会马上执行，下 面的规则不再进行匹配。因此一般将比较细化的规则放在上面，可以使用“上下移动”键来 调整规则顺序。防火墙的一键添加按钮可以很方便地实现一些网络访问控制功能。比如配置行政部的计算机只能浏览网页和收发邮件，禁止其他互联网应用，如下图所示:5.4.7由K件监控当内网计算机使用邮件客户端（如foxm

35、ail），通过POP3/SMTP协议收发邮 件时，进行收发的邮件可以被路由器监控，并将邮件内容抄送到指定日志查看工具或指定的 邮箱。该功能可分两种方式进行邮件监控：1、启用“邮件日志监控服务”，通过日志查看软件监控邮件。2、通过配置“Web邮件监控服务”实现邮件的监控。方式一：启用“邮件日志监控服务”，通过日志查看软件监控邮件。1、通过此方式实现邮件监控时，必须首先开启路由器的系统日志功能，然后运行日志 服务器软件，并在路由器上指定接收日志的服务器的IP地址。如图所示:2、开启上网行为管理功能中的邮件监控功能，如图所示:3、此时在内网一台PC上使用foxmail邮件客户端，采用POP3/SMT

36、P协议收发邮件时， 在日志服务器192.168.100.221上安装的日志查看工具中可以监控到内网用户经过路由 器接收和发送的邮件。（注意：若邮件中携带有附件，该附件小于20Mbyte，也可以一并监控到。）方式二：通过配置“Web邮件监控服务”实现邮件的监控。取消方式一中的“启动邮件 监控服务”，点击展开“Web邮件监控服务”，并勾中“启用邮件监控功能”如图所示:比如监控除了市场部(shichangbu)的计算机收发邮件情况，并将监控的邮件内容抄送 到邮箱test。路由器上使用test1发送被监控邮件，该邮箱的SMTP服务 器为，该邮箱的用户名为test1，密码为test1。注意，所配置的邮箱

37、必须是 一个已被申请，并可以正常使用的邮箱。1、将“启用邮件监控功能”打勾。2、将“ shichangbu ”添加到例外地址组。3、接收邮箱：被监控的邮件将会发送到该邮箱，本例为test4、SMTP服务器：发件邮箱的SMTP服务器地址，本例为5、SMTP发件邮箱：发件邮箱的地址，本例为：test16、SMTP用户：发件邮箱的用户名，本例为：test17、SMTP用户密码：发件邮箱的密码，本例为：test1完成后点击“保存”即可。如下图所示：5.5网络安全5.5.1攻击防御本界面提供全新网络自防御体系配置。飞鱼星网络自防御机制能够侦测及阻挡ARP欺 骗，源路由攻击，IP/端口扫描，DoS等网络攻

38、击，可以有效防止多种病毒攻击。即使内网 存在恶意流量，飞鱼星独有的“网络自防御”技术可以杜绝整个网络的瘫痪，以保证其他主 机浏览、聊天、游戏等的正常应用，确保网络整体的正常运营。ARP欺骗防御保护：内网ARP欺骗保护功能，请使用默认配置。广播风暴抑制：在一个布局不合理的局域网中或者局域网有某些病毒时，内网会有很大比例 的广播包，大量广播包会导致内网速度变慢，运行不稳定。此功能通过拦截内网的大量广播 包来保证内网的稳定运行。内网病毒防御：此功能可以阻断来自内网中毒计算机对路由器的攻击。在一个比较复杂的内 网环境中，使用飞鱼星路由器，可以在“系统信息”看到路由器一天拦截到几百万个数据包， 内网运行

39、状况稳定；在同样环境下，如果使用其他路由器，内网几乎无法运行。过滤未知协议：如果“启用”，路由器可以阻止来自LAN 口的特殊类型的乱包攻击。Syn-flood攻击防御/ udp-flood攻击防御/ icmp-flood攻击防御：飞鱼星独有的防御来自 内网的针对路由器的DoS攻击。后面的参数都是飞鱼星根据当前攻击类型的特点做的优化设 计，请保持默认配置。响应外网ping请求：出于安全考虑，请保持默认“禁止”。选项如果启用，外网用户将可 以ping通路由器的WAN 口地址，这样配置会增加风险。远程诊断/升级：默认选择“启用”。这样，飞鱼星工程师可以通过 外网远程连接到路由器上，帮您进行网络故障诊

40、断。试试？ ？阻断外网请求：默认选择“禁止”。如果启用，外网用户将不能访问内网的虚拟服务器。 外部开放端口保护：保护内网的虚拟服务器。使内网虚拟服务器在受到来自外网的恶意攻击 的情况下，不至于瘫痪，确保网络整体的正常运营。5.5.2连接限制通过网络连接数限制功能，可以设置内网每台计算机能够使用的最大连接数， 每台主机300条连接数是一个标准值，其中UDP连接数建议限制为50条。连接限制功能既可以统一对内网的所有计算机进行最大NAT连接数限制，也可以单独限 制某些特殊功能计算机（比如服务器）的最大连接数，还可以启用高级连接数限制，保证某 些游戏更加快速地连接到服务器。该功能针对网络实际的应用情况

41、，更加合理地分配连接数 资源，有效的保证内网整体的可用性与可靠性。比如配置内网每台计算机的连接数为300条，并且启用高级连接数限制，内网DMZ主机 192.168.0.99 连接数为2000 条，UDP 连接限制为300条；内网段 192.168.0.22-192.168.0.24 的几台web服务器的连接数为1000条，UDP连接限制为50条。结果如下图所示：5.5.3 IP/MAC 绑定本功能用于实现内网计算机的IP地址与MAC地址之间的绑定。路由器的ARP映射表 如果被更改，整个网络将陷于瘫痪。使用飞鱼星集成的IP-MAC扫描工具，一键绑定内网计 算机的IP和MAC，可以极大降低因ARP

42、欺骗造成的“掉线”故障。网络管理人员总是希望网络是秩序良好、运行稳定，但事实往往不尽人意：IP地址被 随意改动导致IP地址冲突而使合法的主机不能上网；无法限制某些IP地址的主机访问互 联网等，飞鱼星提供的地址绑定功能可以很好的解决这些问题。地址绑定一旦配置完成后，指定的IP地址就只能被指定的计算机使用，解决了局域 网中IP地址被随意改动而导致的IP地址冲突。另外也可以通过选中“禁止未绑定ARP信 息的主机通过”选项来禁止所有未被绑定的计算机出访互联网。点击“动态列表”“扫描MAC”，可以扫描出内网活动主机的IP/MAC地址，如下图所示：该扫描列表中的主机可以被单台绑定或者全部绑定（点击“绑定所

43、有IP/MAC项”）。点击“批量绑定”，在此手动添加内网主机的IP/MAC项，IP和MAC之间用一个空格 分开。点击“保存”按钮，可以将绑定内容添加到绑定列表。点击“绑定列表”，该列表显示目前已被绑定的内网主机的IP/MAC信息。可以通过点击“编辑”图标为每条IP/MAC添加注释内容。如果将“禁止未绑定IP/MAC的主机通过”打勾，则内网未被路由器绑定IP/MAC的 计算机不能通过该路由器上网。5.5.4 ARP信任机制ARP信任设置的基本选项如下图:启用ARP信任检测功能：启用ARP信任检测功能，路由器将自动对学习的ARP信息进行 验证，保证路由器学习到正确的ARP信息。启用ARP超时机制：

44、在启用ARP信任检测功能后，可以开启超时机制，使路由器定期对 已经学习到的ARP信息进行重新学习和验证，大大提高了路由器自动对IP/MAC表维护的 正确性。启用“ARP信任检测功能”后，可以在信任列表里查看当前已被路由器信任的IP/MAC 信息。“绑定所有IP/MAC项”可以将已信任的IP/MAC添加到绑定列表中，“删除所有IP/MAC 项”可以清空该列表内容。5.5.5 MAC地址过滤本界面提供的MAC地址过滤功能可以禁止内网计算机上网。有时候可能需要禁止内网某 些计算机上网，只要找到该计算机的MAC地址，在MAC地址过滤里添加一条规则，便可以实 现。比如：想禁止MAC地址是00:01:02

45、:03:04:05的计算机上网。首先，点击“添加新规则” 并填写计算机MAC地址，然后点击“保存”按钮，配置结果如下图所示：5.6 QoS流量控制5.6.1 QoS流量控制本功能可对内网每个ip或者网段进行带宽限制。它基于飞鱼星第三代智能流控技术， 可以有效地防止P2P应用过渡消耗带宽资源。独特的流控算法灵活分配剩余带宽，在“保障 带宽”的前提下充分利用带宽总资源，进退自如的“弹性流控”即使在高负荷的大型网络中， 也能充分体现其灵敏，高效，弹性的特点，且不影响路由器的整体性能。在“功能配置”界面可以对流量控制的一些特性进行配置：启用流量控制：流量控制功能总开关，启用该选项流量控制功能才会生效。

46、启用优先级流控：启用优先级流控之后可以在优先级流控规则中配置优先保障的重要应用， 从而保证单机在带宽达到限制峰值的情况下部分数据优先传输，以保障企业关键业务的正常 开展。启用分接口的流控：启用分接口的流控可以对不同的WAN 口线路设置不同的流控规则，使得 各线路在带宽不同的情况下更加合理的利用总带宽。比如配置优先级流控，要求内网所有计算机访问网页的数据优先传输，配置的方法如下 图所示:不使用：本条规则配置后不生效，但规则并不被删除。协议：可选项有TCP、UDP、TCP/UDP或者ALL。本例为TCP。端口：目的端口范围。本例为80端口。地址：规则生效的IP地址范围。本例为内网所有主机。描述：可

47、以为本规则添加注释。完成后，点击“保存”，将出现如下所示的界面:流量控制功能的典型应用比如：内网有253台计算机，IP地址范围是192.168.0.2192.168.0.254,申请的带 宽是6M，控制内网每台计算机的最大使用带宽为上行50KB，下行50KB，当下行带宽有剩余 时，可使用更多带宽，且规则生效时间为上午9:00-下午18:00。点击“规则列表”“添加新规则”，在出现的界面中做如下的配置:不使用：打勾表示不使用本条规则，规则并不被删除。地址：需要做流量控制的计算机的IP地址。“类型”下拉菜单可以选择为一个网段或者一 台主机。上行限制：设置流量控制的上行流量，默认单位为KB。下行限制

48、：设置流量控制的下行流量，默认单位为KB。上行模式、下行模式：在地址类型为“网段”的情况下，可以设置本网段的计算机每一 IP 地址使用设定的带宽或者本网段的计算机所有IP共享设定的带宽。上行策略、下行策略：即是否选择“弹性流控”。举个例子，内网100台计算机，申请的带宽是10M，限制内网所有计算机上下行流量 均是80KB，策略配置为“仅能使用设定的带宽”，在只有5台计算机上网并且这5台计算 机都在下载软件的情况下，总带宽最多使用5X80KB=400KB。也就是说还有接近6M带宽没 有被使用，白白“浪费”了。如果策略配置为“当带宽有剩余时，可使用更多带宽”，这5 台计算机就会充分利用之前“不属于

49、”他们的6M带宽，于是获得更快的下载速度，当有其 他计算机上网时，他们会将这6M带宽“公平地”交出，每台计算机在保证总带宽没有被占 满的情况下，可以使用多余带宽，直到可使用带宽达到给它设定的最大值。接口：是否需要配置分接口流控。如果选择任意，则为不分接口流控，此时使用非弹性流控， 则单机下载最大速度约等于所设定的值；如果选择WAN1，则为对WAN1进行流控，此时使用 非弹性流控，则单机使用WAN1带宽下载速度约等于所设定的值，但是单机下载总带宽可能 会大于所设定的值。时间：本规则生效的时间段范围。描述：添加对于本条规则的注释。点击“保存”按钮，出现如下的界面:5.7高级选项5.7.1端口映射本

50、界面提供端口映射的配置。端口映射又称虚拟服务器，当内网使用私有地址时，比如 10.x.x.x/172.16.x.x/192.168.x.x,外部网络无法直接访问内网中的服务器。通过在路由器上 做端口映射，配置内网服务器的IP与端口以后，外部网络便可以访问内网服务器，从而使 用内网提供的服务。比如：内网有100台计算机，已经配置好一台FTP服务器，它的IP地址是192.168.0.5, 如果想让外网用户也可以访问此服务器，可以这样操作：点击“添加新规则”，做如下的配置：不使用：打勾表示不使用本条规则，规则并不被删除。外部端口：指定一个对外开放的端口，映射到内部服务器开放的端口上，外部端口可以指定

51、 为一个连续的端口范围，但是需与内部开放端口相对应。如果不指定，则外部端口与内部端 口相同。填写范围1 65535。内部IP：内网的服务器的IP地址。内部端口：内网服务器提供的服务所使用的端口。内部端口可以指定为一个连续的端口范围， 但是需与外部开放端口相对应。请参考“常见的端口和服务对照表”。协议：服务器提供的服务所使用的协议，如不清楚是哪种协议，可以选择“TCP/UDP”。请 参考“常见的端口和服务对照表”。映射线路：如果是双WAN接入，在这里选择外网用户通过哪条线路进来访问内网的服务器， 系统默认选择“WAN1/WAN2”。若外网用户从WAN1访问，就用WAN1 口的IP地址，否则，用

52、WAN2 口的IP地址。注释：可以在这里简单备注一下本条规则。点击“保存”按钮，出现如下的界面：网络服务使用协议端口ftp文件传输TCP21Ssh安全远程管理TCP22telnet远程登录TCP23Smtp简单邮件传输TCP25Time时间同步TCP37DNS域名解析UDP53www网页浏览TCP80POP3邮局协议3TCP110Snmp简单网络管理协议UDP161CS serverCS网络游戏TCP27015常见的端口和服务对照表5.7.2静态路由静态路由就是静态的路由表信息。在某些网络环境下，需要修改静态路由表，指定静态 路由信息来实现正常通信。比如：指定内网的主机访问221.12.12.

53、0/24这个网络的资源从WAN1出去，WAN1的网 关地址是61.121.13.1，可以按此操作：点击添加新规则，做如下的配置：不使用：打勾表示不使用本条规则，规则并不被删除。目标网络地址：输入目标网络的网络地址。掩码：目标网络地址的子网掩码，可以根据实际情况选择。网关：输入与目标网络匹配的数据交付的网关地址，在本例是WAN1 口的网关。接口：指定数据交付的接口，在本例是WAN1 口。描述：可以在这里简单备注一下本条规则。点击“保存”按钮，出现如下的界面:静态路由的批量添加功能可以快速地一次性添加多条静态路由规则。使用批量添加时请 注意书写格式，例如233.233.233.0 233.233.

54、234.255 WAN1每个条目之间用一个空格隔开， 尤其注意IP地址一定要填写正确，否则错误的静态路由规则会导致您的网络不流畅，甚至 无法使用。点击“保存”按钮以后，所添加的静态路由信息会自动加载到规则列表中。5.7.3源地址路由源地址路由就是指定具体的主机从具体的WAN 口访问外网。此功能可以根据 实际情况灵活调度多WAN的使用，实现负载均衡。比如：指定内网IP地址为192.168.0.2192.168.0.100这个段的主机访问外网从WAN2出去。可以按此操作：点击“添加新规则”，做如下的配置:不使用：打勾表示不使用本条规则，规则并不被删除。 源地址：指定内网的一个地址段，或者一个IP地

55、址。 接口：选择该地址（段）访问外网从哪个接口出去。描述：可以在这里简单备注一下本条规则。点击“保存”按钮，出现如下的界面：5.7.4应用调度应用调度用来配置具体的应用程序访问外网时通过哪个WAN 口出去。此功能可以根据 实际情况灵活调度多WAN的使用，实现负载均衡。比如：指定内网的所有用户浏览网页的流量从WAN2 口出去，假设内网的所有计算机的 IP 地址范围是从 192.168.0.2 到 192.168.0.254。详细的配置方法是：首先在功能配置页面，启用“应用调度”功能，并点击“保存”按 钮。然后点击添加规则，做如下的配置：不使用：打勾表示不使用本条规则，规则并不被删除。协议：应用程

56、序所使用的协议，请根据实际情况选择。可以是TCP、UDP或者二者兼有，这 种情况下需要指定端口的范围；也可以是具体的应用协议，比如HTTP、POP3，这种情况下 不需要指定端口的范围。端口：当协议选择TCP、UDP或者TCP/UDP的情况下，指定端口的范围。地址：填写内网的一个地址（段）。接口：指定通过哪个接口出访。描述：可以在这里备注一下本规则。点击“保存”按钮，出现如下的界面：5.7.5地址转换随着Internet网络爆炸性的膨胀，IP地址短缺及路由规模越来越大已成为一个相当严 重的问题。为了解决这个日益严重的问题，出现了多种方案。目前在应用中最有效的解决方 案为网络地址转换（NAT）。一

57、个组织网络内部可以自定义其IP地址（不需要经过申请，即私有的IP地址，如 10.x.x.x/172.16.x.x/192.168.x.x），在本组织内部，各计算机之间通过私有IP地址进行通 讯。而当组织内部的计算机要与外部Internet网络进行通讯时，具有NAT功能的设备负责 将私有的IP地址转换为公网IP地址（即申请的合法IP地址）进行通信。简单地说，NAT 就是通过将私有IP地址转换为公网IP地址。本界面的地址转换功能提供多对一转换和一对一转换两种模式。1. NAT外出规则比如：内网有主网段192.168.0.0/24，有一个扩展网段192.168.1.0/24 （已经在内网 设置 内网

58、扩展IP里配置）。外网单WAN接入，WAN 口光纤有2个IP地址，218.6.90.34 和218.6.90.35，WAN1 口已经配置了一个IP地址218.6.90.34，默认情况下主网段和扩展 网段的计算机NAT以后都用218.6.90.34出访；但是，如果想让扩展网段的计算机NAT以后 用IP地址218.6.90.35出访，可以按此操作:点击添加新规则，做如下的配置：不使用：打勾表示不使用本条规则，规则并不被删除。源地址：内网扩展地址已经在内网设置里面配置，所以不需要将“设为内网扩展地址”打勾。 IP地址和掩码请填写需要NAT转换的计算机的网段和掩码，本例是192.168.1.1/24。

59、目标地址：需要访问的目的地址。“类型”可以选择“任意”或者“子网”。如果选择“任 意”，表示源地址出访到任意目标地址的数据包都需要用转换地址做NAT出访。如果选择“子网”，则表示源地址出访到指定目标地址段的数据包才用转换地址做NAT出访。通常 情况下这里保持默认配置。转换接口：如果选择“不指定接口 ”，则必须填写转换地址，该地址是ISP提供的合法IP 地址；如果指定相应的WAN 口，则转换地址自动为当前WAN 口 IP （仅用于WAN 口是 PPPoE情况）。本例选择“不指定接口”。转换地址：NAT以后，源地址使用填写的转换地址访问外网。这里可以填写一个地址或一个 地址段，设置地址段时，最大长

60、度为16个地址。注释：可以在这里简单备注一下本条规则。点击“保存”按钮，出现如下的界面:2. NAT 一 对一本路由器通过NAT 一对一的方式支持DMZ功能。这个功能可以使内网某台特定计算 机向互联网完全开放，支持更多的网络应用。本路由器支持DMZ主机的数量只取决于您所 拥有的合法IP地址的数量，如果一台PC设置成DMZ主机后，就完全暴露在公网上，这时 候这台PC失去了 NAT防火墙的保护，所以请谨慎使用。比如：内网有网段192.168.0.0/24，外网单WAN接入，WAN 口光纤有2个IP地址， 218.6.90.34 和 218.6.90.35, WAN1 口已经配置了一个 IP 地址

61、218.6.90.34,将内网计算机 192.168.0.4作NAT 一对一转换，外部地址选择218.6.90.35，可以按此操作：将标签切换到“ NAT 一对一”，点击添加新规则，做如下的配置：不使用：打勾表示不使用本条规则，规则并不被删除。 内部地址：填写主机的内部IP地址。外部地址：填写一个外网IP地址用来作一对一的映射。请注意：填写的外网地址必须是网 络服务商已经提供的合法的静态地址，否则NAT 一对一功能无法实现。转换接口：规则作用于哪个WAN 口。规则描述：可以在这里简单备注一下本条规则。点击“保存”按钮，出现如下的界面：5.7.6域名转发本界面提供域名服务功能，路由器直接向内网的

62、计算机转发其域名缓存列表中的域名地 址。域名转发工作的前提是“启用DNS缓存转发”功能。通过域名转发规则，可以将指定的 域名同指定的IP地址绑定起来，在内网中生效，这个设置同外部网络的DNS解析没有关系。比如：内网有台WEB服务器，IP地址为192.168.0.3,设定域名 为。设置内网所有的计算机的DNS值和内网网关相 同。然后点击添加新规则，做如下的配置：名称：填写内部主机的名称。域名：指定内部主机的域名，注意：这个域名仅在局域网内网生效，并且需要开启DNS缓存 转发功能。IP地址：填写内部主机的IP地址。描述：可以在这里简单备注一下本条规则。点击“保存”按钮，出现如下的界面：重启路由器使域名转发功能生效后，您就可以在内网计算机的浏览器上输入 来访问内网的WEB服务器了。5.7.7动态域名Internet上的域名解析一般是静态的，即一个域名所对应的IP地址是静态的，长期不 变的。动态域名的功能，就是实现固定域名到动态IP地址之间的解析。因为ADSL PPPoE 用户上网的时候分配到的IP地址都是动态的（每次重新拨号所获取的IP地址不同），用传 统的静态域名解析方法，ADSL用户想把自己上网的计算机做成一个有固定域名的网站，是 不可能的。而有了动态域名，这个美梦就可以成真。用户可以申请一个域名，利用动态域名 解析服务，把域名与自己上网的计算机联系在一