首先,我们来看一个基本的场景。假设你想要在特定时间段内限制内网中某个IP段的访问权限,同时允许另一个IP地址无限制地访问互联网。以下是如何设置这样的规则:
1. 确保防火墙总开关开启,并设置默认过滤规则为“禁止不符合IP地址过滤规则的数据包通过路由器”。 2. 对于不需要限制的IP地址,如192.168.1.103,添加一条过滤规则,允许它无限制地访问所有外网IP地址。 3. 对于需要限制的IP地址段,如192.168.1.100-192.168.1.102,由于默认规则已经禁止不符合条件的数据包,所以无需额外设置。
这样,内网中的192.168.1.103可以自由访问互联网,而192.168.1.100-192.168.1.102则在默认规则下被禁止访问。
接下来,我们来看一个更复杂的场景。假设需要实现以下需求:
- 内网192.168.1.100-192.168.1.102的IP地址在任何时间都只能访问外网网页。 - 内网192.168.1.103从上午8点到下午6点只能访问特定的邮件服务器,其余时间则不能访问任何外网。
为了实现这一目标,你需要做以下设置:
1. 首先,设置默认过滤规则为“禁止不符合IP地址过滤规则的数据包通过路由器”。 2. 对于网页浏览,允许80端口(HTTP协议)的访问,这意味着内网IP地址段192.168.1.100-192.168.1.102可以在任何时间访问所有外网网页。 3. 对于邮件访问,设置两个规则:一个是允许25端口(SMTP)和110端口(POP)的访问,以确保192.168.1.103可以收发邮件;另一个是允许53端口(DNS)的访问,以支持域名解析。 4. 限制192.168.1.103的访问时间,确保只有在工作时间(上午8点到下午6点)才能访问邮件服务器。
通过以上设置,你可以确保内网主机在特定时间段内只能访问必要的资源,从而提高网络安全性。
此外,IP地址过滤还可以应用于其他场景,例如:
- 防止内部用户访问不安全的网站,通过设置过滤规则,禁止对特定IP地址的访问。 - 控制员工上网时间,通过设置时间段限制,减少不必要的网络使用。 - 保护内部网络不受外部攻击,通过设置过滤规则,防止恶意流量进入内网。
总之,IP地址过滤是一个强大而灵活的工具,可以帮助网络管理员更好地管理网络资源,提高网络安全性。通过合理的配置和监控,可以确保网络正常运行,同时保护企业数据不受威胁。
IP地址过滤用于通过IP地址设置内网主机对外网的访问权限,适用于这样的需求:在某个时间段,禁止/允许内网某个IP(段)所有或部分端口和外网IP的所有或部分端口的通信。
开启IP地址过滤功能时,必须要开启防火墙总开关,并明确IP地址过滤的缺省过滤规则(设置过程中若有不明确处,可点击当前页面的“帮助”按钮查看帮助信息):
下面将通过两个例子说明IP地址过滤的使用。
例一:
预期目的:不允许内网192.168.1.100-192.168.1.102的IP地址访问外网所有IP地址;允许192.168.1.103完全不受限制的访问外网的所有IP地址。设置方法如下:
1. 选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器:
2. 添加IP地址过滤新条目:
允许内网192.168.1.103完全不受限制的访问外网的所有IP地址
因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”,所以内网电脑IP地址段:192.168.1.100-192.168.1.102不需要进行添加,默认禁止其通过。
3. 保存后生成如下条目,即能达到预期目的:
例二:
预期目的:内网192.168.1.100-192.168.1.102的IP地址在任何时候都只能浏览外网网页;192.168.1.103从上午8点到下午6点只允在外网219.134.132.62邮件服务器上收发邮件,其余时间不能和对外网通信。
浏览网页需使用到80端口(HTTP协议),收发电子邮件使用25(SMTP)与110(POP),同时域名服务器端口号53(DNS)
设置方法如下:
1. 选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器:
2. 设置生成如下条目后即能达到预期目的:
