Инструкция по эксплуатации TP-Link TL-WR741ND V4
Страница 67
Беспроводной маршрутизатор N 150 Мбит/с
4-39 Настройки базовой защиты
Межсетевой экран – Межсетевой экран обеспечивает защиту сети. Здесь вы можете
включить или выключить его.
Межсетевой экран SPI – Функция SPI (Stateful Packet Inspection – Фильтрация
пакетов на основе данных о состоянии соединения, также известная как Dynamic
Packet Filtering – Динамическая фильтрация по пакетам) помогает предотвращать
кибер-атаки посредством отслеживания большего числа параметров за сессию.
Данная функция производит анализ трафика во время сессии на предмет
соответствия требованиям протокола. По умолчанию межсетевой экран SPI
включен. Если вы хотите, чтобы компьютеры локальной сети могли
взаимодействовать с внешним миром, вам следует отключить эту функцию.
VPN – Функция VPN Passthrough должна быть включена, если вы хотите разрешить
создание VPN-туннелей согласно протоколам IPSec, PPTP или L2TP для прохождения
межсетевого экрана маршрутизатора.
Пропуск трафика PPTP – Протокол PPTP (Point-to-Point Tunneling Protocol)
позволяет создавать туннели в IP-сети. Чтобы разрешить PPTP-туннелям проход
через маршрутизатор не изменяйте выбранное по умолчанию значение Включить.
Пропуск трафика L2TP – Протокол L2TP (Layer 2 Tunneling Protocol) – это метод,
используемый для организации сессий типа Point-to-Point через Интернет на
уровне второго слоя. Чтобы разрешить L2TP-туннелям проход через
маршрутизатор, не изменяйте выбранное по умолчанию значение Включить.
Пропуск трафика IPSec – Протокол IPSec (Internet Protocol Security) – это набор
протоколов, обеспечивающих защищенную передачу данных через IP-сетей
Межсетевой экран spi tp link что это
Вопрос: Что такое SPI у Интернет-маршрутизаторов (роутеров) серии DI-XXX? Ответ:
При установлении любой сессии TCP/IP NAT открывает для нее порт. После завершения сессии порт еще несколько минут остается открытым. Теоретически, если в этот момент производится атака на роутер путем сканирования открытых портов, то появляется возможность проникновения во внутреннюю сеть. Или же атакующий может пытаться посылать пакеты на этот открытый порт в течение сессии.
При включении функции SPI происходит запоминание информации о текущем состоянии сессии и производится анализ всех входящих пакетов для проверки их корректности.
В случае некорректности входящего пакета ( например, адрес отправителя не равен адресу, к которому посылался запрос или номер пакета не соответствует ожидаемому ) — такой пакет блокируется и в логе появляется запись о таком событии.
Для включения SPI сначала нужно настроить подключение к интернет- маршрутизатору по локальной сети, подключиться веб-браузером по IP-адресу интернет- маршрутизатора, ввести имя и пароль для входа на страницу настроек (согласно прилагаемой к нему документации).
Из данной инструкции вы узнаете как настроить блокировку веб-сайта на наших беспроводных роутерах. В качестве примера мы возьмем модель TL-WR841N V13.
Шаг 1: Как войти на веб-страницу вашего роутера
Перейдите в Access Control (Контроль доступа) > Host (Узел), затем нажмите Add New…(Добавить)
Выберите ‘IP Address’, затем введите краткое описание для правила хоста в поле Host Description. Введите диапазон IP-адресов в сети, к которому требуется заблокировать доступ.
Нажмите Save (Сохранить) – новое правило Хоста теперь будет отображаться на странице «Host Settings» («Настройки хоста»).
Выберите Доменное имя в качестве типа режима. Создайте уникальное описание (например, цель_1) для цели в поле Target Description (Описание цели) и введите доменное имя, полное имя или ключевые слова (например, TP-LINK) в поле Domain Name.
Выберите Access Control (Контроль доступа) > Schedule (Расписание) и настройте параметры расписания. Нажмите Кнопку Add New… «Добавить».
Создайте уникальное описание (например, schedule_1) для расписания в поле Schedule Description (Описание расписания), задайте дни и период времени и нажмите кнопку Save (Сохранить).
Нажмите кнопку Add New… (Добавить), затем введите краткое описание правила в поле Rule Name.
В поле «Host:» (Узел) выберите правило узла, определенное на Шаге 2
В поле «Target:» (Цель) выберите целевое правило, определенное на Шаге 3
В поле «Schedule:» (Расписание) выберите «в любое время» (это сделает правило всегда активным)
В поле «Action:» (Действие) выберите «Deny» (Запретить).
В поле «Status:» (Состояние) выберите «Enabled» (Включено).
Нажмите кнопку Save (Сохранить) – новое правило контроля доступа появится на странице «Access Control Rule Management» (Управление правилами контроля доступа).
Маршрутизаторы фирмы Tp-Link в нашей сети с ЗАВОДСКОЙ прошивкой работают только в режиме PPPoE.
Для возможности работать через этот режим подключения требуется связываться с техподдержкой.
Для работы роутера с прошивкой от производителя нужно продиктовать MAC адрес роутера технической поддержке.
Затем нужно зайти в любой браузер, и в адресной строке указывает IP адрес веб-интерфейса настройки роутера 192.168.0.1.
В веб интерфейсе в основном меня выберите пункт «Сеть» и подпункт «WAN» (1).
Выберите тип соединения PPPoE / PPPoE Россия (2).
Введите пользовательские логин доступа и два раза пароль доступа. (3).
В разделе «Вторичное подключение» обязательно нужно отметить пункт Динамический IP адрес (4).
В разделе «Режим подключение» выберите пункт Подключать автоматически (5).
После завершение настроек внизу нажмите Сохранить.
Для облегчения диагностики возможных неполадок рекомендуем отключить брандмауэр (межсетевой экран) роутера.
Для этого в основном меню выберите пункт Безопасность, Настройки базовой защиты, и напротив пункта «межсетевой экран SPI» выберите «Выключить».
После этого можно настроить беспроводную сеть.
Для этого сначала зайдите в основном меня в пункт «Беспроводной режим», «Настройки беспроводного режима» (1).
Потом в разделе меню Беспроводной режим, Защита беспроводного режима (1).
Выберите тип шифрования WPA/WPA2 Personal (2).
В графе версия выберите WPA2-PSK, и в графе Пароль PSK укажите желаемый пароль (3).
Обратите внимание что если Вы работаете с роутером по WiFi, то после любых изменений настроек беспроводной сети, связь с роутером теряется, и нужно устанавливать соединение с роутером снова, с учетом новых настроек WiFi.
Межсетевой экран spi tp link что это
Обычно понятия брандмауэр в Windows и в роутере различаются. Брандмауэр на подобие того, что в Windows обычно называется Secured NAT (не часто сие опция встречается в роутерах) и во включенном режиме работает как «Усечёный конус» (Restricted cone), вот вам немного википедии, чтобы быть немного вкурсе по поводу типов NAT:
P.S.: Если признаться честно, то эти «типы» NAT реализуются как набор правил фильтрации входящих пакетов для брандмауэра.
Но под Firewall в роутерах чаще подразумевается SPI
Т.е. он вскрыает пакеты и смотрит что там, а также ведёт статистику защая от DDoS-атак, SYN-флуда и т.д.
Суть в том, что вся эта защита требует ресурсов процессора и может вносить из-за этого задержки, поэтому на бюджетных роутерах для обеспечения быстродействия ставим NAT в Open (если есть возможность), а SPI отключаем.
Если опцию «Secured NAT» не часто можно встретить, то DMZ уж точно есть почти в каждом роутере.
DMZ (англ. Demilitarized Zone — демилитаризованная зона, ДМЗ) — сегмент сети, содержащий общедоступные сервисы и отделяющий их от частных[1]. В качестве общедоступного может выступать, например, веб-сервис: обеспечивающий его сервер, который физически размещён в локальной сети (Интранет), должен отвечать на любые запросы из внешней сети (Интернет), при этом другие локальные ресурсы (например, файловые серверы, рабочие станции) необходимо изолировать от внешнего доступа.
В домашних роутерах он отличается только тем, что «общедоступный сервис» не отделёт от внутренней сети. С помощью DMZ как раз можно отключить фильтрацию (или блокировку) входящих пакетов, но для отдельно взятого компьютера.
Но если у вас какой-нибудь хардкорный роутер (например Mikrotik), то там не найдётся упоминания о DMZ и что в таком случае делать? Тут следует знать, что DMZ это тот же Port Forward (Проброс портов), но не на один порт, а на все, т.е. в таком случае следует сделать проброс портов от 1 до 65535.
Application-level gateway, или ALG (с англ. — «шлюз прикладного уровня») — компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT пользователи могут пользоваться протоколом.
Что такое брандмауэр SPI?
Брандмауэр является одним из основных инструментов, защищающих устройства от различных атак и вирусов, распространяющихся через интернет. Однако не все они одинаково мощные и безопасные. Брандмауэр SPI — это один из вариантов, который вы можете выбрать.
Что такое SPI?
Stateful packet inspection (или динамическая фильтрация пакетов) — это технология, которая отслеживает активные соединения и проверяет, соответствуют ли входящие пакеты данных этим соединениям. Затем он решает, разрешить или запретить им проходить через брандмауэр.
Если кратко, устройства передают данные в пакетах, чтобы получающая сторона могла их легче обрабатывать. Один большой блок данных может быть разделен на несколько пакетов. Но хакеры могут взломать эти пакеты, чтобы нанести вред принимающему серверу. Вот тут брандмауэр SPI проверяет, являются ли эти пакеты легитимными и соответствуют ли они уже установленному соединению. Он отбрасывает пакеты, которые не относятся к доверенному соединению, тем самым сводя к минимуму возможность взлома.
Что такое брандмауэр SPI?
Брандмауэр SPI (проверка пакетов с контролем состояния соединений) защищает устройства, проверяя входящие пакеты от существующих подключений.
Обычный брандмауэр делает проверку на статических значениях, таких как адрес источника или назначения. Он не учитывает трафик соединения пакета и применяет один и тот же набор правил для всех пакетов и не может получать никакую информацию о своем подключении. Эти брандмауэры нельзя настроить на открытие и закрытие сессий. Они также не могут определить, поступают ли пакеты с легитимного IP-адреса. Поэтому, они не так безопасны, как брандмауэры SPI, но зато быстрее.
Как работают брандмауэры SPI?
Брандмауэр SPI может запоминать атрибуты каждого соединения и использовать эту информацию для определения надежности пакета. Он хранит полученную информацию, изучая пакеты и устанавливая правила. Благодаря этому, он видит весь контекст пакета, а не только его содержимое.
Благодаря такой памяти брандмауэр SPI не нуждается в тщательном осмотре каждого пакета, поэтому он работает быстрее, чем deep packet inspection (DPI). Последний деконструирует пакеты, чтобы проверить, правильно ли они сформированы и содержат ли они какой-либо вредоносный код. DPI используется для самых различных целей, включая управление сетью, безопасность, интеллектуальный анализ данных или интернет-цензуру. Он обеспечивает безопасность за счет снижения скорости.
1 настройки базовой защиты – Инструкция по эксплуатации TP-Link TL-WR740N V4
Страница 67
Беспроводной маршрутизатор N 150 Мбит/с
4.9.1 Настройки базовой защиты
Безопасность – Настройки базовой защиты, вы можете выполнить базовые
настройки безопасности (рис. 4-41).
4-41 Настройки базовой защиты
Межсетевой экран – Межсетевой экран обеспечивает защиту сети. Здесь вы можете
включить или выключить его.
Межсетевой экран SPI – Функция SPI (Stateful Packet Inspection – Фильтрация
пакетов на основе данных о состоянии соединения, также известная как Dynamic
Packet Filtering – Динамическая фильтрация по пакетам) помогает предотвращать
кибер-атаки посредством отслеживания большего числа параметров за сессию.
Данная функция производит анализ трафика во время сессии на предмет
соответствия требованиям протокола. По умолчанию межсетевой экран SPI
включен. Если вы хотите, чтобы компьютеры локальной сети могли
взаимодействовать с внешним миром, вам следует отключить эту функцию.
VPN – Функция VPN Passthrough должна быть включена, если вы хотите разрешить
создание VPN-туннелей согласно протоколам IPSec, PPTP или L2TP для прохождения
межсетевого экрана маршрутизатора.
Пропуск трафика PPTP – Протокол PPTP (Point-to-Point Tunneling Protocol)
позволяет создавать туннели в IP-сети. Чтобы разрешить PPTP-туннелям проход
через маршрутизатор не изменяйте выбранное по умолчанию значение
Пропуск трафика L2TP – Протокол L2TP (Layer 2 Tunneling Protocol) – это метод,
используемый для организации сессий типа Point-to-Point через Интернет на
уровне второго слоя. Чтобы разрешить L2TP-туннелям проход через
маршрутизатор, не изменяйте выбранное по умолчанию значение