萬盛學電腦網

 萬盛學電腦網 >> 安全資訊防護 >> 路由器防火牆IP地址過濾技巧

路由器防火牆IP地址過濾技巧

路由器防火牆IP地址過濾用於通過IP地址設置內網主機對外網的訪問權限,適用於這樣的需求:在某個時間段,禁止/允許內網某個IP(段)所有或部分端口和外網IP的所有或部分端口的通信。 .

通常並不是說需要多麼高級的路由器才會帶防火牆功能,就是普通的一般家庭路由器都自帶防火牆功能。他們之間的產別在於設置限制規則的條目數量,比如最基本的防火牆是設置8條規則,好一點的路由器可以設置32條規則或者是無限制數量的規則。

.

普通路由器防火牆的基本功能一般分為:IP地址過濾、域名過濾、MAC地址過濾。以下主要講解普通路由器防火牆的IP地址過濾設置技巧。 .

以下用TP-Link的路由器來舉例,其他品牌的路由器IP地址過濾都是大同小異,我們主要掌握路由器防火牆的IP地址過濾的方法和思想就可以了。 .

開啟IP地址過濾功能時,必須要開啟防火牆總開關,並明確地址過濾的缺省過濾規則,如下圖路由器所示:  .

路由器防火牆IP地址過濾設置 .


路由器防火牆IP地址過濾設置 .

路由器防火牆的IP地址過濾,缺省過濾規則有兩種:1、凡是不符合已設IP地址過濾規則的數據包,允許通過本路由器;2、凡是不符合已設IP地址過濾規則的數據包,禁止通過本路由器; .

以下通過兩個例子來說明如何使用過濾規則: .

例一: .

預期目的:不允許內網192.168.1.100-192.168.1.102的IP地址訪問外網所有IP地址;允許192.168.1.103完全不受限制的訪問外網的所有IP地址。設置方法如下: .

 1. 選擇缺省過濾規則為:凡是不符合已設IP地址過濾規則的數據包,禁止通過本路由器: .

路由器防火牆IP地址過濾設置 .


路由器防火牆IP地址過濾設置 .

2. 添加IP地址過濾新條目: .

允許內網192.168.1.103完全不受限制的訪問外網的所有IP地址 .

因默認規則為“禁止不符合IP過濾規則的數據包通過路由器”,所以內網電腦IP地址段:192.168.1.100-192.168.1.102不需要進行添加,默認禁止其通過。

.

路由器防火牆IP地址過濾設置 .


路由器防火牆IP地址過濾設置

.

3. 保存後生成如下條目,即能達到預期目的:  .

路由器防火牆IP地址過濾設置 .


路由器防火牆IP地址過濾設置 .

例二: .

預期目的:內網192.168.1.100-192.168.1.102的IP地址在任何時候都只能浏覽外網網頁;192.168.1.103從上午8點到下午6點只允在外網219.134.132.62郵件服務器上收發郵件,其余時間不能和對外網通信。 .

浏覽網頁需使用到80端口(HTTP協議),收發電子郵件使用25(SMTP)與110(POP),同時域名服務器端口號53(DNS) .

設置方法如下: .

1. 選擇缺省過濾規則為:凡是不符合已設IP地址過濾規則的數據包,禁止通過本路由器: .

路由器防火牆IP地址過濾設置 .


路由器防火牆IP地址過濾設置 .

2. 設置生成如下條目後即能達到預期目的: .

路由器防火牆IP地址過濾設置 .


路由器防火牆IP地址過濾設置 .

 除了掌握路由器防火牆的IP地址過濾方法和規則,還需要靈活運用到實際網絡需求中並掌握其技巧,從而制定出行之有效的防火牆規則。 .

.

copyright © 萬盛學電腦網 all rights reserved