正在阅读：管理功能丰富 磊科NR285宽带路由器评测管理功能丰富 磊科NR285宽带路由器评测

　　接下来我们看一下NR285所提供的“安全管理”功能：

　　在“MAC地址过滤”页面中NR285提供了基于MAC的INTERNET访问管理策略，操作直观简便。就像之前说的，用户可以把“默认操作行为”设置为“拒绝”，然后在此页面内添加个别允许访问INTERNET的IP，以实现管控内部PC上网目的。

　　通过某些方法，用户可以在WINDOWS中修改自己主机的MAC地址，使用可以上网的MAC地址，骗过MAC检查，使本来不允许访问INTERNET的IP可以上网，NR285提供了“禁止绑定的MAC地址盗用”功能，这时NR285会检查PC的IP与MAC对应关系是否合法，如果非法，也将无法上网。小编PC的MAC是00-1f-d0-0b-ec-14，IP为1922.168.1.101，小编试着将IP MAC对应规则改为192.168.1.102与00-1f-d0-0b-ec-14，并启用“禁止绑定的MAC地址盗用”功能，网页果然就打不开了。

　　NR285同时也提供了内网IP与MAC对应关系快速全部绑定功能，点击上图页面中的“全部绑定”按扭，NR285会自动检测内网所有PC IP与MAC的对应关系，并实现绑定功能。

　　NR285支持多种方式的IP访问控制，包括限制内部IP，外部IP，限制多种应用类型，限制通讯协议，指定规则生效时间。

　　如果想禁止内部用户对某一INTERNET网站的访问，可以使用DNS过虑功能，此功能可以实现对符合要求的网址进行过滤。

　　小编做了测试，发现NR285的DNS过滤功能有着一个特点，在此详细描述一下，小编上网是通过公司内部的一个代理服务器实现的，在此工作模式下，NR285的DNS过滤功能是无效的，小编试着过滤网易（www.163.com），设置好规则后，发现没有效果，网易的主页依然可以打开，难道是NR285的DNS过滤功能有问题？小编又试着设置了一个规则，也就是如上图所示的第二条规则，*.*pconline*.*，发现此规则是有效的，为什么呢？小编发现，原来pconline这个域名是我们公司内部的一个地址，也就是说，该内址不用通过代理服务器来解析，这种网络结构正好是我们使用最普遍的网络结构——内网所有PC连接NR285，NR285再通过ADSL猫实现INTERNET访问，在这种模式下，NR285的DNS过滤是有效的。在小型网络环境中使用代理服务器上网是很少见的，真正会用到代理服务器实现INTERNET访问的一般是在大型的网络环境中，这时的INTERNET访问规则，DNS域名过虑基本上都是在代理服务器上实现的。

　　网络安全这个字眼现在离我们是越来越近了，网络不论大小，状况基本上都是内外交困，外有DDOS，内有ARP攻击等，所以作为网络边界产品的路由器，具有一定的安全防御功能是很必要的，这有助于保障网络的连通性和稳定性。

　　NR285提供了主流的安全防御功能，对DDOS攻击，内网ARP攻击可以起到抑制作用，小编对其中的部分功能作了验证测试。

　　小编使用kn-Ping这个ICMP-FLOOD工具对NR285进行测试，在不启用ICMP-FLOOD攻击防御功能时，kn-Ping会疯逛的向NR285发送ICMP包，在启用防御功能后，并且设置“ICMP-FLOOD数据包伐值”为10包/秒，小编看到kn-Ping发送ICMP包的速度受到了抑制，正好就是10包/秒的发送量。试着调节不同的伐值，kn-Ping所发送ICMP包的速度正好与之相符，这证明NR285的ICMP-FLOOD攻击防御功能是有效的。

　　接下来，小编使用Wireshark对NR285 所提供的ARP攻击防御功能进行了测试，各位同学可能会问，Wireshark能测试ARP攻击防御功能？当然不能，但Wireshark可以帮助我们了解NR285是如何进行ARP攻击防御的。小编打开Wireshark，将PC与NR285的LAN口相连，在开启其ARP攻击防御功能后，Wireshark收到了持续的由NR285发出的广播数据包，如下图：

　　上图中的第70-74行，80-84行等内容便是NR285发出的广播数据包，NR285使用这一机制持续的更新PC客户端的ARP缓存表，在一定程度上抑制ARP攻击所产生的危害。

　　NR285的连接数限制功能可以设置全局策略，也可以对单个IP设置特殊策略，如上图小编设置的参数，全局默认每IP最大连接数为15，192.168.1.101这台主机为20。