首先,开启IP地址过滤功能前,必须确保防火墙总开关已启用。同时,需要明确缺省过滤规则,即在未明确指定的情况下,数据包的默认处理方式。通常有两种选择:允许所有未指定数据包通过,或禁止所有未指定数据包通过。明确规则后,即可开始具体的配置。
以一个实际案例为例,假设我们需要实现以下目标:内网IP段192.168.1.100-192.168.1.102在上班时间(上午8点到下午6点)只能访问外网的Web服务(端口80),而192.168.1.103在此时间段内只能访问特定邮件服务器(IP地址为219.134.132.62,端口25和110),其余时间则禁止所有外网访问。
具体设置步骤如下:
1. **设置缺省过滤规则**: - 进入防火墙设置页面,选择“IP地址过滤”选项。 - 将缺省过滤规则设置为“禁止不符合已设IP地址过滤规则的数据包通过本路由器”。这样,所有未明确允许的数据包将被自动阻止。
2. **添加特定IP地址过滤条目**: - **针对192.168.1.100-192.168.1.102的设置**: - 点击“添加新条目”,输入IP段192.168.1.100-192.168.1.102。 - 设置允许访问的端口为80(HTTP),时间范围为上午8点到下午6点。 - 保存设置。 - **针对192.168.1.103的设置**: - 再次点击“添加新条目”,输入IP地址192.168.1.103。 - 设置允许访问的IP地址为219.134.132.62,端口为25(SMTP)和110(POP),时间范围为上午8点到下午6点。 - 保存设置。
3. **验证配置**: - 完成所有条目添加后,检查生成的过滤规则列表,确保每一条目准确无误。 - 可以通过实际访问测试,验证各IP地址在规定时间段内的访问权限是否符合预期。
此外,为了提高网络管理的灵活性,还可以设置临时豁免规则,应对突发情况。例如,在特定情况下,需要临时允许某个IP地址无条件访问外网,可以添加一条临时规则,设置有效期为特定时间段。
通过以上步骤,可以实现对内网IP地址的精细化管理,有效提升网络安全性。需要注意的是,IP地址过滤规则应定期 review 和更新,以适应不断变化的网络环境和安全需求。
总之,IP地址过滤作为一种重要的网络安全措施,通过合理的配置和管理,能够有效控制内网主机的对外访问行为,保障网络安全稳定运行。
IP地址过滤用于通过IP地址设置内网主机对外网的访问权限,适用于这样的需求:在某个时间段,禁止/允许内网某个IP(段)所有或部分端口和外网IP的所有或部分端口的通信。
开启IP地址过滤功能时,必须要开启防火墙总开关,并明确IP地址过滤的缺省过滤规则(设置过程中若有不明确处,可点击当前页面的“帮助”按钮查看帮助信息):
下面将通过两个例子说明IP地址过滤的使用。
例一:
预期目的:不允许内网192.168.1.100-192.168.1.102的IP地址访问外网所有IP地址;允许192.168.1.103完全不受限制的访问外网的所有IP地址。设置方法如下:
1. 选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器:
2. 添加IP地址过滤新条目:
允许内网192.168.1.103完全不受限制的访问外网的所有IP地址
因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”,所以内网电脑IP地址段:192.168.1.100-192.168.1.102不需要进行添加,默认禁止其通过。
3. 保存后生成如下条目,即能达到预期目的:
例二:
预期目的:内网192.168.1.100-192.168.1.102的IP地址在任何时候都只能浏览外网网页;192.168.1.103从上午8点到下午6点只允在外网219.134.132.62邮件服务器上收发邮件,其余时间不能和对外网通信。
浏览网页需使用到80端口(HTTP协议),收发电子邮件使用25(SMTP)与110(POP),同时域名服务器端口号53(DNS)
设置方法如下:
1. 选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器:
2. 设置生成如下条目后即能达到预期目的:
