路由器防火牆IP地址過濾技巧

路由器防火牆IP地址過濾用於通過IP地址設置內網主機對外網的訪問權限，適用於這樣的需求：在某個時間段，禁止/允許內網某個IP（段）所有或部分端口和外網IP的所有或部分端口的通信。 .

通常並不是說需要多麼高級的路由器才會帶防火牆功能，就是普通的一般家庭路由器都自帶防火牆功能。他們之間的產別在於設置限制規則的條目數量，比如最基本的防火牆是設置8條規則，好一點的路由器可以設置32條規則或者是無限制數量的規則。

.

普通路由器防火牆的基本功能一般分為：IP地址過濾、域名過濾、MAC地址過濾。以下主要講解普通路由器防火牆的IP地址過濾設置技巧。 .

以下用TP-Link的路由器來舉例，其他品牌的路由器IP地址過濾都是大同小異，我們主要掌握路由器防火牆的IP地址過濾的方法和思想就可以了。 .

開啟IP地址過濾功能時，必須要開啟防火牆總開關，並明確地址過濾的缺省過濾規則，如下圖路由器所示：  .

.

路由器防火牆IP地址過濾設置 .

路由器防火牆的IP地址過濾，缺省過濾規則有兩種：1、凡是不符合已設IP地址過濾規則的數據包，允許通過本路由器；2、凡是不符合已設IP地址過濾規則的數據包，禁止通過本路由器； .

以下通過兩個例子來說明如何使用過濾規則： .

例一： .

預期目的：不允許內網192.168.1.100-192.168.1.102的IP地址訪問外網所有IP地址；允許192.168.1.103完全不受限制的訪問外網的所有IP地址。設置方法如下： .

 1． 選擇缺省過濾規則為：凡是不符合已設IP地址過濾規則的數據包，禁止通過本路由器： .

.

路由器防火牆IP地址過濾設置 .

2． 添加IP地址過濾新條目： .

允許內網192.168.1.103完全不受限制的訪問外網的所有IP地址 .

因默認規則為“禁止不符合IP過濾規則的數據包通過路由器”，所以內網電腦IP地址段：192.168.1.100-192.168.1.102不需要進行添加，默認禁止其通過。

.

.

路由器防火牆IP地址過濾設置

.

3． 保存後生成如下條目，即能達到預期目的：  .

.

路由器防火牆IP地址過濾設置 .

例二： .

預期目的：內網192.168.1.100-192.168.1.102的IP地址在任何時候都只能浏覽外網網頁；192.168.1.103從上午8點到下午6點只允在外網219.134.132.62郵件服務器上收發郵件，其余時間不能和對外網通信。 .

浏覽網頁需使用到80端口（HTTP協議），收發電子郵件使用25（SMTP）與110（POP），同時域名服務器端口號53（DNS） .

設置方法如下： .

1． 選擇缺省過濾規則為：凡是不符合已設IP地址過濾規則的數據包，禁止通過本路由器： .

.

路由器防火牆IP地址過濾設置 .

2． 設置生成如下條目後即能達到預期目的： .

.

路由器防火牆IP地址過濾設置 .

 除了掌握路由器防火牆的IP地址過濾方法和規則，還需要靈活運用到實際網絡需求中並掌握其技巧，從而制定出行之有效的防火牆規則。 .

.