本页面提供基本的网络安全防御配置，用来提升网络的安全性。通过在本页面进行简单地配置，可以有效防御ARP欺骗、DoS/DDoS攻击、冲击波以及震荡波等常见病毒攻击；还可以禁止LAN口接收ARP广播包和IGMP多播包，有效屏蔽MSN、QQ等即时聊天软件的使用；有效屏蔽BT、迅雷搜索等常用P2P软件的使用；还可以禁止内网用户访问某些特定的股票和游戏网站；通过NAT会话数限制，可以有效对P2P海量下载软件以及蠕虫病毒的控制，避免部分主机占用过多系统资源和网络带宽。

 

   允许响应外部PING：启用后，设备的各个广域网接口都能响应来自外网的PING请求。一般情况下，为安全性起见，请关闭此功能。只有在某些特别情况下，例如网络调试时，才需开启此功能；

    启用ARP欺骗防御：启用此功能，并将局域网所有PC的IP/MAC全部绑定（可在安全配置—>ARP欺骗防御中配置），设备就可以有效防御ARP欺骗攻击了；

    启用DoS/DDoS攻击防御：启用后，设备将有效防御内网常见的DoS/DDoS攻击。目前，只能防御伪造源地址攻击。启用此功能后，设备将只允许源IP地址与LAN口IP地址在同一个网段的数据包通过，此时，三层交换机后的主机将不能通过设备访问外网；

    启用冲击波等病毒防御：启用后，设备将有效防御冲击波、震荡波等常见病毒攻击。启用此功能后，设备将直接丢弃LAN口接收到的协议为TCP，目的端口为135、136、137、138、139、445、1025、5554、9996的数据包，此时，局域网主机将无法访问外网主机提供的相关端口服务，例如windows文件共享服务、打印共享服务等；

     禁止ARP广播包：选中后，LAN口将不接受局域网用户发送的ARP广播包，此时必须在内网PC和设备上进行IP/MAC双向绑定，内网用户才能连通设备；

     禁止IGMP广播包：选中后，LAN口将不接受局域网用户发送的IGMP多播包；

     禁止QQ：选中后，就可以禁止局域网用户使用QQ聊天；

     禁止MSN：选中后，就可以禁止局域网用户使用MSN聊天；

     禁止P2P：选中后，就可以禁止局域网用户使用常用P2P软件。目前，可以禁止使用BitComet、比特精灵，此外，还可以禁止迅雷搜索资源；

     生效时间段：在“禁止QQ”、“禁止MSN”或“禁止P2P”栏选择“生效时间段”，可以控制内网用户不同时间段的聊天或P2P下载权限；

 禁止股票网址：选中后，就可以禁止局域网用户访问特定的股票网站，单击“更新策略”超链接，立即链接到指定的WEB站点下载并自动更新股    票网址策略库，还可以通过单击“股票网址”或“游戏网址”超链接查看所禁止的股票网址和游戏网址；

     禁止游戏网址： 选中后，就可以禁止局域网用户访问特定的游戏网站，单击“更新策略”超链接，立即链接到指定的WEB站点下载并自动更新游戏网址策略库，还可以通过单击“股票网址”或“游戏网址”超链接查看禁止用户访问的股票网址和游戏网址；

     启用NAT会话数限制：选中后，可以限制局域网每台主机所能占用的“最大会话数”；如有需要，还可以分别限制每台主机所能占用的“最大TCP会话数”、“最大UDP会话数”以及“最大ICMP会话数”。如果不选中，将被设置为系统最大的会话数；

 最大会话数：局域网每台主机所能占用的最大并发NAT会话数；

 最大TCP会话数：局域网每台主机所能占用的由TCP协议构成的最大并发NAT会话数。构成TCP会话的主要应用有WEB浏览、FTP文件传输、网络游戏、SMTP/POP3邮件传输等；

 最大UDP会话数：局域网每台主机所能占用的由UDP协议构成的最大并发NAT会话数。构成UDP会话的主要应用有DNS服务、网络游戏、TFTP文件传输等；

 最大ICMP会话数：局域网每台主机所能占用的由ICMP协议构成的最大并发NAT会话数。构成ICMP会话的主要应用有PING检测、网络扫描工具等。

 更新策略：在“禁止QQ”、“禁止MSN”、 “禁止P2P”、“禁止股票网址”或者“禁止游戏网址”栏，单击“更新策略” 超链接，系统立即连接到指定WEB站点，下载并自动更新对应的策略库。更新成功后，相关配置立即生效。此外，还可以在安全配置—>策略库中的“策略库信息列表”中，查看并更新QQ、MSN和P2P策略库。

 保存：配置参数生效；

 重填：恢复到修改前的配置参数。

 提示：

1.  当某些局域网应用（比如网络游戏）发生连接速度变慢的情况时，可以适当提高“最大会话数”以及“最大UDP会话数”（或者“最大TCP会话数”）。注意，上述会话数设置过高可能会导致设备减弱甚至丧失防止DDoS攻击的能力；

2.  一般情况下，最大会话数不能设置得太小：建议“最大NAT会话数”和“最大TCP会话数”均不小于100、“最大UDP会话数”不小于50、“最大ICMP会话数”不小于10，如果它们的值太小，将导致局域网用户不能上网或上网异常。