WFilter ROS 的防火牆配置
“防火牆模組”用於配置基於IP和埠的防火牆策略,如果您需要過濾網頁、禁止協議應用等,請使用“模組”中的“上網行為管理”各模組。
下面介紹:如何配置防火牆規則。
工具/原料
WFilter ROS
方法/步驟
1 新增規則
新增防火牆規則,如上圖。以下是各項的說明。
(1)介面:分為“內網”和“外網”,配置該規則在哪個介面上起作用。
(2)源IP:資料包的源IP。支援“所有IP”、“指定IP”和“指定IP段”3種IP格式。
a. 選擇“指定IP”時,可以輸入單個IP地址,或者IP段(比如192.168.1.10或者192.168.1.0/24)。
b. 選擇“指定IP段”時,需要輸入IP範圍。
(3) 目的IP:資料包的目的IP,配置同上。
(4)目的埠:資料包的目的埠。支援一個埠或者一個埠範圍,例:8000或者8000-9000(範圍)
(5) 動作:
a. “阻止”:客戶機會立即收到被拒絕的資料包(RST)。
b.“丟棄”:直接丟棄資料包,客戶機需要等待連線超時。
c. “通過”:放行該資料包。
· 生效時間、時間段、星期:設定該策略生效的時間段。
2 規則的匹配
每一個數據包都會從上往下對策略進行匹配,當匹配到其中一條時,則不再繼續匹配。所以,規則的順序是規則能否生效的一個重要因素。 如果要調整規則的順序,請點選“排序”的圖示進行拖動,然後點選“確認”儲存。如下圖:
3 高階設定
一些高階設定的選項,建議開啟。
a.丟棄無效的資料包:對於無效的資料包進行丟棄。
b.啟用SYN-flood防護:SYN Flood是一種廣為人知的DoS(拒絕服務攻擊)與DDoS(分散式拒絕服務攻擊)的方式之一,這是一種利用TCP協議缺陷,傳送大量偽造的TCP連線 請求,從而使得被攻擊方資源耗盡(CPU滿負荷或記憶體不足)的攻擊方式。開啟後可以防止受到SYN-flood攻擊。
c. 允許WAN口Ping通:允許從WAN口ping通路由器。
4應用新配置
注:WFilter ROS的web介面是80埠。新增上面的80埠防火牆規則後。外網就可以打 開WFIlter ROS web介面。如圖:
