使用IP地址过滤可以拒绝或允许局域网中计算机与互联网之间的通信。可以拒绝或允许特定IP地址的特定的端口号或所有端口号。
您可以利用按钮添加新条目来增加新的过滤规则,或者通过“修改”、“删除”链接来修改或删除已设过滤规则,甚至可以通过按钮移动来调整各条过滤规则的顺序,以达到不同的过滤优先级(ID序号越靠前则优先级越高)。
图35 IP地址过滤
1. 生效时间:该项用来指定过滤条目的有效时间,在该段时间外,此过滤条目不起作用。
2. 局域网IP地址:局域网中被控制的计算机的IP地址,为空表示对局域网中所有计算机进行控制。此处可以输入一个IP地址段,例如:192.168.1.123-192.168.1.185。
3. (局域网)端口:局域网中被控制的计算机的服务端口,为空表示对该计算机的所有服务端口进行控制。此处可以输入一个端口段,例如:1030-2000。
4. 广域网IP地址:广域网中被控制的计算机(如网站服务器)的IP地址,为空表示对整个广域网进行控制。此处可以输入一个IP地址段,例如:61.145.238.6-61.145.238.47。
5. (广域网)端口:广域网中被控制的计算机(如网站服务器)的服务端口,为空表示对该网站所有服务端口进行控制。此处可以输入一个端口段,例如:25-110。
6. 协议:此处显示被控制的数据包所使用的协议。
7. 通过:该项显示符合本条目所设置的规则的数据包是否可以通过路由器,“是”表示允许该条目通过路由器,“否”表示不允许该条目通过路由器。
8. 状态:显示该条目状态“生效”或“失效”,只有状态为生效时,本条过滤规则才生效。
例1:如果您希望禁止局域网中IP地址为192.168.1.7的计算机在8:30到18:00之间收发邮件,禁止IP地址为192.168.1.8的计算机在8:00到18:00之间访问IP为202.96.134.12的网站,对局域网中的其它计算机则不做任何限制,这时您可以按照如下步骤设置:
第一步:在图34界面中打开防火墙总开关。
第二步:在图34中开启“IP地址过滤”,设置“缺省过滤规则”为“凡是不符合已设IP地址过滤规则的数据包,允许通过本路由器”。
第三步:在图35界面中点击添加新条目,然后在下36中按要求添加过滤条目。下图是禁止192.168.1.7的计算机在8:30到18:00之间发送邮件的设置,设置完成后点击保存按钮。
图36 添加IP地址过滤条目
第四步:回到第三步,继续设置过滤条目:禁止局域网中IP地址为192.168.1.7的计算机在8:30到18:00之间接收邮件,禁止IP地址为192.168.1.8的计算机在8:00到18:00之间访问IP为202.96.134.12的网站。完成例1中设置一共需要设置3条IP过滤规则,依次对应下面列表中的三条过滤条目。
1. 域名过滤
选择菜单安全设置→域名过滤,您可以在下图37界面中查看并添加域名过滤条目。 域名过滤可以阻止LAN中所有计算机访问广域网(如互联网)上的特定域名,该特性会拒绝所有到特定域名如http和ftp的请求。您可以利用按钮添加新条目来增加新的过滤规则,或者通过“修改”、“删除”链接来修改或删除旧的过滤规则。
图37 域名过滤
1. 域名:拒绝被LAN计算机访问的域名。
2. 状态:显示该条目状态“生效”或“失效”,只有状态为生效时,本条过滤规则才生效。
例1:如果您希望禁止局域网中的计算机在8:30到18:00之间访问“www.yahoo.com.cn”、“sina.com”的网站,禁止局域网中的计算机在8:00到12:00之间访问所有以“.net”结尾的网站,这时您可以按照如下步骤设置:
第一步:在图34界面中打开防火墙总开关并开启“域名过滤”。
第二步:在图37界面中点击添加新条目,然后在下图38界面中设置条目信息。下图是在8:30到18:00之间拒绝访问www.yahoo.com.cn网站的设置,设置完成后,点击保存按钮。
图38 添加域名过滤条目
第三步:回到第二步,继续设置过滤条目:禁止局域网中的计算机在8:30到18:00之间访问“sina.com”禁止局域网中的计算机在8:00到12:00之间访问所有以“.net”结尾的网站。完成例1中设置一共需要设置3条域名过滤规则,依次对应下面列表中的三条过滤条目。
1. MAC地址过滤
选择菜单安全设置→MAC地址过滤,您可以在下图39界面中查看并添加MAC地址过滤条目。
MAC地址过滤功能通过MAC地址允许或拒绝局域网中计算机访问广域网,有效控制局域网内用户的上网权限。您可以利用按钮添加新条目来增加新的过滤规则;或者通过“修改”、“删除”链接来修改或删除旧的过滤规则。
图39 MAC地址过滤
1. MAC地址:该项是您希望管理的计算机的MAC地址。 2. 描述:该项是对该计算机的适当描述。
TP-LINK TL-WR941N 11N无线路由器安装设置详细说明书及配置指
南!
启动和登录
启动路由器并成功登录路由器管理页面后,浏览器会显示管理员模式的界面,如图3。 在左侧菜单栏中,共有如下几个菜单:运行状态、设置向导、QSS安全设置、网络参数、无线设置、DHCP服务器、转发规则、安全设置、路由功能、动态DNS和系统工具。单击某个菜单项,您即可进行相应的功能设置。下面将详细讲解各个菜单的功能。
图3 启动和登录
运行状态
选择菜单运行状态,您可以查看路由器当前的状态信息,包括LAN口状态、无线状态、WAN口状态和WAN口流量统计信息,如图4。
图4 运行状态
版本信息:此处显示路由器当前的软硬件版本号。
LAN口状态:此处显示路由器当前LAN口的MAC地址、IP地址和子网掩码。
无线状态:此处显示路由器当前的无线设置状态,包括SSID、频段和频段带宽信息。 WAN口状态:此处显示路由器当前WAN口的MAC地址、IP地址、子网掩码、网关和DNS服务器地址。
WAN口流量统计:此处显示当前WAN口接收和发送的数据流量信息。 IP(IP/IP/PPPoE/L2TP/PPTP)PPPoEInternetInternet
设置向导
详见《TL-WR941N 11N无线宽带路由器用户手册》。 QSS安全设置
择菜单QSS安全设置,您可以在下图5界面中进行快速无线安全设置。 选
图5 QSS安全设置
QSS功能:QSS即快速安全设置,您可以使用该功能快速建立与无线网卡之间的无线连接。默认状态为开启。
当前PIN码:PIN码即个人识别码,用于标识一件无线产品。PIN码可以更改,如果目前使用的PIN码与他人重复,可以点击产生新的PIN码,也可以点击恢复初始PIN码返回到最初PIN码值。
添加新设备:点击添加设备进入添加新设备界面,在此您可以通过手动配置路由器,添加要与其进行连接的无线设备。
QSS(快速安全设置)能够快速建立与无线网卡之间的安全连接。如果您现在拥有支持WPS的无线网卡,您可以通过下面任意一种方法快速组建安全的无线网络:
方法一(推荐):
1. 按下路由器面板上的QSS快速安全按钮。
接着按下网卡上的QSS快速安全按钮2到3秒不放。
接下来是网卡与路由器建立无线安全网络的过程,请稍作等待。
出现下图所示界面则表示快速安全连接配置成功,单击完成结束。
按下路由器面板上的QSS快速安全按钮。
进入网卡QSS软件配置界面,单击下一步。
在随后出现的界面中选择第一项,单击下一步。
图30 特殊应用程序
1. 触发端口:该端口是应用程序首先发起连接的端口,只有在该端口上发起连接,开放端口中的所有端口才可以开放,否则开放端口是不会开放的。
2. 触发协议:代表触发端口上使用的协议,可以选择ALL、UDP或TCP。若不清楚采用哪种协议,可以选用ALL。
3. 开放端口:当向触发端口上成功发起连接后,对应的开放端口会打开,应用程序便可以向该开放端口发起后续的连接。此处可以输入一个或者多个端口或端口段,端口段输入格式为“开始端口-结束端口”,中间用“-”隔开,不同的端口段用“,”隔开。
4. 开放协议:代表开放端口上使用的协议,可以选择ALL、UDP和TCP。若不清楚采用哪种协议,可以选用ALL。
5. 状态:该项显示该条目状态“生效”或“失效”,只有状态为生效时,本条目的设置才生效。
在图30界面中点击添加新条目按钮,您可以在下图31界面中添加新的特殊应用程序条目。
图31 添加特殊应用程序条目
1. 常用应用程序:在“常用应用程序”中,列出了常用的应用程序,您可以直接从中选择一个,系统则会自动将该常用应用程序的触发端口号和开放端口号添加到对应的“触发端口”和“开放端口”项中,并且会启用该条目。对于常用应用程序中没有列出的程序,您可以手动添加。
完成设置后,点击保存按钮。 1. DMZ主机
选择菜单转发规则→DMZ主机,您可以在下图32界面中设置DMZ(非军事区)主机。 局域网中设置DMZ主机后,该主机将完全暴露给广域网,可以实现双向无限制通信。具体设置时,只需输入局域网中指定为DMZ主机的IP地址,然后选中启用并点击保存即可。向DMZ添加客户机可能会给本地网络带来不安全因素,因此不要轻易使用这一选项。
图32 DMZ主机
1. UPnP设置
选择菜单转发规则→UPnP设置,您可以在下图33界面中查看UPnP信息。
依靠UPnP(Universal Plug and Play)协议,局域网中的主机可以请求路由器进行特定的端口转换,使得外部主机能够在需要时访问内部主机上的资源,例如,Windows XP和Windows ME系统上安装的MSN Messenger,在使用音频和视频通话时就可以利用UPnP协议,这样原本受限于NAT的功能便可以恢复正常使用。
图33 UPnP设置
1. 应用描述:应用程序通过UPnP向路由器请求端口转换时给出的描述。
2. 外部端口:端口转换使用的路由器端口号。 3. 协议类型:表明是对TCP还是UDP进行端口转换。 4. 内部端口:需要进行端口转换的主机端口号。 5. IP地址:需要进行端口转换的主机IP地址。 6. 状态:该项显示条目是否已经启用。
7. 刷新:单击该按钮,可以刷新当前的UPnP列表信息。 UPnP的使用方法如下:
1. 点击启用UPnP按钮开启UPnP功能。
2. 当MSN Messenger等程序在运行中使用本功能时,按刷新按钮可以看到端口转换信息。端口转换信息由应用程序发出请求时提供。
3. 不使用时请点击关闭UPnP按钮关闭UPnP功能。 注意:
因为现阶段版本的UPnP协议的安全性还未得充分保证,在不需要时请关闭UPnP功能。 只有支持UPnP协议的应用程序才能使用本功能,MSN Messenger还可能需要操作系统的支持(如Windows XP /Windows ME)。
UPnP功能需要操作系统的支持(如Windows XP /Windows ME)。 1.
选择菜单安全设置,您可以看到:
单击某个子项,您即可进行相应的功能设置,下面将详细讲解各子项的功能。 1. 防火墙设置
选择菜单安全设置→防火墙设置,您可以在下图34界面中设置路由器的安全项。 该界面控制路由器防火墙总功能的开启,以及各子项功能:IP地址过滤、域名过滤和MAC地址过滤功能的开启和过滤规则。只有防火墙的总开关开启后,后续的安全设置才能够生效(建议在过滤规则设置完成后再开启防火墙总开关),反之,则不能生效。
- 安全设置 防火墙设置 IP地址过滤 域名过滤 MAC地址过滤 高级安全设置
图34 防火墙设置
1. 开启防火墙:这是防火墙的总开关,只有该项开启后,IP地址过滤、域名过滤、MAC地址过滤功能才能启用,反之,则不能被启用。
2. 开启IP地址过滤:关闭或开启IP地址过滤功能并选择缺省过滤规则。只有“开启防火墙”启用后,该项才能生效。
3. 开启域名过滤:关闭或开启域名过滤功能。只有“开启防火墙”启用后,该项才能生效。
4. 开启MAC地址过滤:关闭或开启MAC地址过滤功能并选择缺省过滤规则。只有“开启防火墙”启用后,该项才能生效。
完成设置后,点击保存按钮。 1. IP地址过滤
选择菜单安全设置→IP地址过滤,您可以在下图35界面中查看并添加IP地址过滤条目。
图20 无线网络MAC地址过滤设置
1. MAC地址过滤功能:请在该处选择是否开启路由器的无线网络MAC地址过滤功能。 2. 过滤规则:请选择MAC地址过滤规则,该规则对下面MAC地址条目列表生效。 3. MAC地址:该项指需要进行访问限制的无线网络内的主机MAC地址。
4. 状态:该项显示MAC地址过滤条目的状态。“生效”表示该设置条目被启用,“失效”表示该设置条目未被启用。
5.描述:该项显示对主机的简单描述。
6.添加新条目:单击该项,您可以在随后的界面中添加新的MAC地址过滤条目。 7. 使所有条目生效:单击该按钮,您可以使表中的所有条目生效。 8. 使所有条目失效:单击该按钮,您可以使表中的所有条目失效。 9.删除所有条目:单击该按钮,您可以删除表中所有的条目。
例1:如果您想禁止MAC地址为“00-0A-EB-00-07-BE”和“00-0A-EB-00-07-5F”的主机访问无线网络,其他主机可以访问无线网络,您可以按照以下步骤进行配置:
第一步:在上图20中,点击“启用过滤”按钮,开启无线网络的访问控制功能。
第二步:在图20中,选择过滤规则为“允许列表中生效规则之外的MAC地址访问本无线网络”,并确认访问控制列表中没有任何生效的条目,如果有,将该条目状态改为“失效”或删除 该条目,也可以点击“删除所有条目”按钮,将列表中的条目清空。
第三步: 在图20中,点击“添加新条目”按钮,按照下图21界面,设置MAC地址为“00-0A-EB-00-07-BE”,状态为“生效”。设置完成后,点击保存按钮。
图21 添加无线网络MAC地址过滤条目
第四步:参照第三步,继续添加过滤条目,设置MAC地址为“00-0A-EB-00-07-5F”,状态为“生效”。设置完成后,点击保存按钮。
例1中设置完成后生成的MAC地址过滤列表为:
注意:
如果您开启了无线网络的MAC地址过滤功能,并且过滤规则选择了“禁止列表中生效规则之外的MAC地址访问本无线网络”,而过滤列表中又没有任何生效的条目,那么任何主机都不可以访问本无线网络。
1. 无线高级设置
选择菜单无线设置→无线高级设置,您可以看到如下图22的无线高级设置界面。
图22无线高级设置
1. Beacon时槽:路由器通过发送Beacon广播进行无线网络连接的同步。Beacon时槽表示路由器发送Beacon广播的频率。默认值为100毫秒。Beacon广播的取值范围是20-1000毫秒。
2. RTS阈值:为数据包指定RTS(Request to Send,发送请求)阈值。当数据包长度超过RTS阈值时,路由器就会发送RTS到目的站点来进行协商。接收到RTS帧后,无线站点会回应一个CTS(Clear to Send,清除发送)帧来回应路由器,表示两者之间可以进行无线通信了。
3. 分片阈值:为数据包指定分片阈值。当数据包的长度超过分片阈值时,会被自动分成多个数据包。过多的数据包将会造成网络性能降低,所以分片阈值不应设置过低。默认值为2346。
4. DTIM时槽:该值在 1 至 255 毫秒之间,指定传输指示消息(DTIM)的间隔。 DTIM是一种倒数计时作业,用以告知下一个要接收广播及多播的客户端窗口。当路由器已经为相关联的客户端缓存了广播或者多播信息时,它就会传送夹带有下一个DTIM时槽的DTIM;当客户端听到Beacon讯号时,就会接收该广播和组播信息。默认值为1。
1.主机状态
选择菜单无线设置→主机状态,您可以在下图23界面中查看当前连接到无线网络中的所有主机的基本信息。单击刷新按钮,您可以更新列表中的条目信息。
图23 无线网络主机状态
1. MAC地址:该处显示当前已经连接到无线网络的主机的MAC地址。
2. 当前状态:此项显示当前主机的运行状态。
3. 接收数据包数、发送数据包数:这两项显示当前主机接收和发送的数据包的总数。
1. DHCP服务器 选择菜单DHCP服务器,您可以看到:
单击某个子项,您即可进行相应的功能设置,下面将详细讲解各子项的功能。 1. DHCP服务
选择菜单DHCP服务器→DHCP服务,您将看到DHCP设置界面,如图24。
DHCP指动态主机控制协议(Dynamic Host Control Protocol)。TL-WR941N有一个内置的DHCP服务器,它能够自动分配IP地址给局域网中的计算机。对用户来说,为局域网中的所有计算机配置TCP/IP协议参数并不是一件容易的事,它包括IP地址、子网掩码、网关、以及DNS服务器的设置等。若使用DHCP服务则可以解决这些问题。您可以按照下面各子项说明正确设置这些参数。
- DHCP服务器 DHCP服务 客户端列表
静态地址分配
图24 DHCP服务
1. 地址池开始地址、地址池结束地址:这两项为DHCP服务器自动分配IP地址时的起始地址和结束地址。设置这两项后,内网主机得到的IP地址将介于这两个地址之间。
2. 地址租期:该项指DHCP服务器给客户端主机分配的动态IP地址的有效使用时间。在该段时间内,服务器不会将该IP地址分配给其它主机。
3. 网关:此项应填入路由器LAN口的IP地址,缺省是192.168.1.1。
4. 缺省域名:此项为可选项,应填入本地网域名(默认为空)。 5. 主DNS服务器、备用DNS服务器:这两项为可选项,可以填入ISP提供给您的DNS服务器,不清楚可以向ISP询问。
完成更改后,点击保存按钮。 注意:
若要使用本路由器的DHCP服务器功能,局域网中计算机的TCP/IP协议项必须设置为“自动获得IP地址”。
1. 客户端列表
选择菜单DHCP服务器→客户端列表,您可以查看所有通过DHCP服务器获得IP地址的主机的信息,单击刷新按钮可以更新表中信息,如图25。
图25 客户端列表
1. 客户端名:该处显示获得了IP地址的客户端计算机的名称。 2. MAC地址:该处显示获得了IP地址的客户端计算机的MAC地址。 3. IP地址:该处显示DHCP服务器分配给客户端主机的IP地址。 4. 有效时间:该项指客户端主机获得的IP地址离到期的时间,每个IP地址都有一定的租用时间,客户端软件会在租期到期前自动续约。
1. 静态地址分配
选择菜单DHCP服务器→静态地址分配,您可以在下图26界面中设置静态IP地址。 静态地址分配功能可以为指定MAC地址的计算机预留静态IP地址。当该计算机请求DHCP服务器分配IP地址时,DHCP服务器将给它分配表中预留的IP地址。并且一旦采用,该主机的IP地址将不再改变。
图26 静态地址分配
1. MAC地址:该项指定将要预留静态IP地址的计算机的MAC地址。 2. IP地址:该项指定给内网主机预留的IP地址。
3. 状态:显示该条目状态“生效”或“失效”,只有状态为生效时,本条过滤规则才生效。
4. 添加新条目:单击该按钮,你可以在随后的界面中添加新的静态地址条目,如图27。
5. 使所有条目生效:单击该按钮,您可以使表中的所有条目生效。 6. 使所有条目失效:单击该按钮,您可以使表中的所有条目失效。 7. 删除所有条目:单击该按钮,您可以删除表中所有的条目。 例1:如果您希望给局域网中MAC地址为00-13-8F-A9-6C-CB的计算机预留IP地址:192.168.1.101。这时您可以按照如下步骤设置:
第一步:在图26界面中单击添加新条目。
第二步:在图27界面中设置MAC地址为“00-13-8F-A9-6C-CB”,IP地址为“192.168.1.101”,状态为“生效”。
图27 添加静态地址条目 第三步:点击保存按钮。 1. 转发规则 选择菜单转发规则,您可以看到:
单击某个子项,您即可进行相应的功能设置,下面将详细讲解各子项的功能。
1. 虚拟服务器
选择菜单转发规则→虚拟服务器,您可以在下图28界面中设置虚拟服务器条目。 TL-WR941N可配置为虚拟服务器,它能使通过公共IP地址访问Web或FTP等服务的远程用户自动转向到局域网中的本地服务器。
TL-WR941N内置的防火墙特性能过滤掉未被识别的包,保护您的局域网络。在路由器默认设置下,局域网中所有的计算机都不能被外界看到。如果希望在保护局域网内部不被侵袭的前提下,某些LAN中的计算机在广域网上可见,请使用虚拟服务器。
虚拟服务器可以定义一个服务端口,外网所有对此端口的服务请求都将改发给路由器指定的局域网中的服务器(通过IP地址指定),这样外网的用户便能成功访问局域网中的服务器,而不影响局域网内部的网络安全。
图28 虚拟服务器
1. 服务端口:此项为路由器提供给广域网的服务端口,广域网用户通过向该端口发送请求来获取服务。可输入单个端口值或端口段。端口段输入格式为“开始端口-结束端口”,中间用“-”隔开。
2. IP地址:局域网中被指定提供虚拟服务的服务器地址。 3. 协议:虚拟服务所用的协议,可供选择的有:TCP、UDP和ALL。若对采用的协议不清楚,可以选择ALL。
4. 状态:该项显示该条目状态“生效”或“失效”,只有状态为生效时,本条目的设置才生效。
例1:如果希望广域网用户通过端口21访问您的FTP服务器,FTP服务器在局域网中的IP地址为192.168.1.100,协议选择为TCP,则您可以按照如下步骤设置:
- 转发规则 虚拟服务器 特殊应用程序 DMZ主机 UPnP设置
第一步:在图28界面中点击添加新条目按钮。
第二步:在图29界面中点击“常用服务端口号”下拉菜单,查找FTP服务,选中“FTP”服务。
图29 添加虚拟服务条目
1. 常用服务端口号:在“常用服务端口号”中,列出了常用协议的端口,您可以直接从中选择一个,系统则会将该服务的端口号、协议类型,自动添加到对应序列的“服务端口号”和“协议”项中,您只需要再为其指定服务器IP地址并启用即可。对于常用服务端口中没有列出的端口,如果需要,也可以在服务端口处手动添加。
第三步:输入IP地址为“192.168.1.100”,设置条目状态为“生效”。 第四步:单击保存按钮。
设置好以后,您只要在局域网的服务器上进行相应的设置,广域网的计算机就可以访问到您局域网的服务器上了。
例2:如果希望广域网用户通过端口80访问您的Web服务器,Web服务器在局域网中的IP地址为192.168.1.101,协议选择为ALL,则您可以按照如下步骤设置:
第一步:在图28界面中点击添加新条目按钮。
第二步:在图29界面中设置服务端口为“80”,输入IP地址为“192.168.1.101”,选择协议为“ALL”。
第三步:点击保存按钮。
例1和例2设置完成后生成的虚拟服务列表为:
注意:
如果设置了服务端口为80的虚拟服务器,则需要将安全设置→远端WEB管理的“WEB管理端口”设置为80以外的值,如88,否则会发生冲突,从而导致虚拟服务器不起作用。
例1中的服务在“常用服务端口”中已经提供,对于“常用服务端口”中没有提供的服务,可参照例2来添加。
1. 特殊应用程序
选择菜单转发规则→特殊应用程序,您可以在下图30界面中设置特殊应用程序条目。 某些应用需要多条连接,如Internet网络游戏、视频会议、网络电话等。由于防火墙的存在,这些程序无法在简单的NAT路由器下工作。然而,特殊应用程序使得某些这样的应用程序能够在NAT路由器下工作。当一个应用程序向触发端口上发起连接时,对应的所有开放端口将会打开,以备后续连接并提供服务。