基于此环境下，家用路由器厂商在设计产品时愈发注重这点。于是，基带防火墙功能的路由器大量上市，满足了用户的需求。

　　对于广大用户来说，对于防火墙的了解只局限于计算机软件，有的甚至不知道自己使用的路由器还有防火墙功能，这就造成了路由器功能的浪费。在效用上而言，路由器的防火墙功能一点也不比计算机系统使用的防火墙要差。下面我们就来简单讲讲路由器防火墙的功用。

　　路由器通常支持一个或者多个防火墙功能;它们可被划分为用于 Internet 连接的低端设备和传统的高端路由器。低端路由器提供了用于阻止和允许特定 IP 地址和端口号的基本防火墙功能，并使用 NAT 来隐藏内部 IP 地址。它们通常将防火墙功能提供为标准的、为阻止来自Internet 的入侵进行了优化的功能;虽然不需要配置，但是对它们进行进一步配置可进一步优化它们的性能。

　　高端路由器可配置为通过阻止较为明显的入侵(如 ping)以及通过使用 ACL 实现其他 IP 地址和端口限制，来加强访问权限。也可提供其他的防火墙功能，这些功能在某些路由器中提供了静态数据包筛选。在高端路由器中，以较低的成本提供了与硬件防火墙设备相似的防火墙功能，但是吞吐量较低。

　　我们手头有一个totolink的路由器，我们来看一下它的防火墙提供什么功能。

　　路由器防火墙功能简介

　　防火墙广域网控制

　　上图所示是防火墙的广域网访问控制，它提供了网页访问控制。我们可以从中设置源IP地址或MAC地址来确定黑名单。也就是说我们可以让某些联网的电脑不能访问设置的受限网址。

　　路由器防火墙功能简介

　　"/>

　　上图中我们可以看到这款路由器可以过滤屏蔽的数据包类型，诸如一些即时聊天软件、P2P软件和一些网络游戏。

　　说得简单点，路由器防火墙实现的是包的过滤，他能侦测所有进出端口的数据包并加之检测和过滤。这就是从根本上出发，保障信息网络的安全。

　　另外，路由器的防火墙能对一些常见的网络攻击进行防护，千万不要小看这些攻击，任何一个都有可能使你陷入断网甚至更糟的局面。

　　防范攻击方式

　　我们简单介绍一下常见的网络攻击。

　　SYN Flood：我们叫做SYN泛洪。SYN Flood是当前最流行的DoS(拒绝服务攻击)与DdoS(分布式拒绝服务攻击)的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。换句话说，这个攻击如果不加以防范的话会引起网络设备宕机。

　　明白这种攻击的基本原理，还是要从TCP连接建立的过程开始说起：大家都知道，TCP与UDP不同，它是基于连接的，也就是说：为了在服务端和客户端之间传送TCP数据，必须先建立一个虚拟电路，也就是TCP连接，建立TCP连接的标准过程是这样的：首先，请求端(客户端)发送一个包含SYN标志的TCP报文，SYN即同步(Synchronize)，同步报文会指明客户端使用的端口以及TCP连接的初始序号;第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认(Acknowledgment)。第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。以上的连接过程在TCP协议中被称为三次握手(Three-way Handshake)。

　　问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的(第三次握手无法完成)，这种情况下服务器端一般会重试(再次发送SYN+ACK给客户端)并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级(大约为30秒-2分钟);一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端

　　也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求(毕竟客户端的正常请求比率非常之小)，此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击(SYN洪水攻击)。

　　Smurf攻击：Smurf攻击是以最初发动这种攻击的程序名“Smurf”来命名的。这种攻击方法结合使用了IP欺骗和ICMP回复方法使大量网络传输充斥目标系统，引起目标系统拒绝为正常系统进行服务。Smurf攻击通过使用将回复地址设置成受害网络的广播地址的ICMP应答请求(ping)数据包，来淹没受害主机，最终导致该网络的所有主机都对此ICMP应答请求做出答复，导致网络阻塞。更加复杂的Smurf将源地址改为第三方的受害者，最终导致第三方崩溃。

　　ARP攻击：ARP攻击，是针对以太网地址解析协议(ARP)的一种攻击技术。此种攻击可让攻击者取得局域网上的数据封包甚至可篡改封包，且可让网络上特定计算机或所有计算机无法正常连接。

　　border

　　防火墙防范攻击简介

　　ARP攻击简介

　　ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

　　ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。这个一传十，十传百是最恐怖的。

　　ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE浏览器频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象(无法ping通网关)，重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。

　　以上就是几个我们常见的网络攻击形式，不过好在这些攻击路由器基本都能进行防范。所以千万不要忽略了你的路由器这些功能，物尽其用才是最好的选择。