路由器系列教程--防火墙不是花瓶 阻断恶意网站很简单

shanhaoyan

在信息化飞速发展的时代，IC芯片的造价也越来越低，
硬件防火墙已经开始步入SOHO即家庭设备。

而一般用户对这些功能并不了解，路由器的作用仅是能上网即可。
但既然我们有了硬件防火墙？何不好好利用他一翻呢？

下面大家随着冰雷来看看什么是硬件防火墙，硬件防火墙有什么作用，怎么样用好硬件防火墙。

所谓的防火墙，最基础的功能，即包过滤
网络传输，即封包-解包-传输-封包-解包的过程
而防火墙则可以在解包后，传输前，对包内容进行控制、甚至是过滤。

而要使用这个功能，面向用户的则是“访问控制”功能，专业名称为访问控制列表，即access-list，其简称也就是常说的ACL。

下面我们来看看tomato固件提供的访问控制功能，（其他具备防火墙功能的路由器也类似，照葫芦画瓢即可）




对于入门用户而言，可能其项目会比较多，没关系，其实很简单，且听我一一道来。

启用设置、描述、时间段这些都是顾名思义的东西，按需填写即可，既然我们做的是阻断恶意网站，当然是全天全时段了。
访问控制选择一般访问控制即可，tomato提供针对设备做防火墙功能，这里我们也选择所有设备。

端口/应用部分：即4层/7层设置，由于我们是做恶意网站过滤，因此也并不需要做此项设置，直接留空即可。

下面为http请求，我们只需要将包含恶意攻击的网站输入即可。文后会有一些从网上收集的恶意网站列表。

但最重要的，是一些我们常用的网站，有时也会植入一些恶意广告，或者是弹出一些不和谐的信息，我们也可以将他阻断。
比如我常用下载动漫站点bt.ktxp.com，在进入后则会弹出广告游戏页面，这很烦恼。
这样我们只需将弹出的网址www.cqtiyu.com加入列表中，以后就不会再弹出来了。

而如果当你主动访问该网站时，则是提示404网络错误，其实也就是被路由器阻断访问了。也可以避免误进入恶意网站导致感染木马。



使用防火墙阻断恶意端口

我们知道，大部分的木马、病毒都是利用了端口漏洞进行的攻击，而我们只要将这些没用的端口关闭，就可以有效的阻断这些攻击，
防火墙可以有效的做到这一点，这也是每个企业网络出口必做的一条ACL。




基于端口规则，我们选择相应设置，TCP或者UDP，端口为双向
常用端口封锁为
tcp source-port eq 3127
tcp source-port eq 1025
tcp source-port eq 5554
tcp source-port eq 9996
tcp source-port eq 1068
tcp source-port eq 135
tcp source-port eq 137
tcp source-port eq 138
tcp source-port eq 139
tcp source-port eq 593
tcp source-port eq 4444
tcp source-port eq 5800
tcp source-port eq 5900
tcp source-port eq 8998
tcp source-port eq 445
udp source-port eq 445
udp source-port eq 1434
udp source-port eq 135
udp source-port eq 137
udp source-port eq 138
udp source-port eq 139
这样我们就可以有效防止一些蠕虫、病毒攻击了


友情提示：
虽然SOHO级路由器具备了防火墙功能，但其终究性能无法与企业级防火墙媲美，我们在使用这项功能时，不必要盲目追求将所有的恶意网站库写入路由器，这是不现实，并且是不可能的。一般每条列表不会超过1024/2048/4096字节（视硬件及固件所定），也就是每条列表大概只能加四五百个网站，而恶意网站库则是成千上万……
因此我们只需要将日常遇到的一些不和谐的广告页面给与相应裁判，使其和谐即可，从需求出发，解决日常使用中的问题。
比如我的pc在上周中了hotclick木马，用了很多杀软都无法完全清除（该木马在指定页面如淘宝、京东等网站自动点击广告，做类似DDOS的分布式刷点击量，虽无害，但不爽），我就在列表中将那个跳转的hotclick页面deny掉，他也就无法正常工作了。