查看“Firewallrule”的源代码

{{DISPLAYTITLE:防火墙规则}}

“防火墙模块”用于配置基于IP和端口的防火墙策略，如果您需要过滤网页、禁止协议应用等，请使用“模块”中的[[Policy|“上网行为管理”]]各模块。

== 新增规则 ==
[[文件: Firewall_set.jpg|650px]]

新增防火墙规则，如上图。以下是各项的说明。

* '''接口'''：分为“内网”和“外网”，配置该规则在哪个接口上起作用。
* '''源IP'''：数据包的源IP。支持“所有IP”、“指定IP”和“指定IP段”3种IP格式。
** 选择“指定IP”时，可以输入单个IP地址，或者IP段（比如192.168.1.10或者192.168.1.0/24）。
** 选择“指定IP段”时，需要输入IP范围。
* '''目的IP'''：数据包的目的IP，配置同上。
* '''目的端口'''：数据包的目的端口。支持一个端口或者一个端口范围，例：8000或者8000:9000（范围）</p>
* '''动作'''：
** “阻止”：客户机会立即收到被拒绝的数据包(RST)。
** “丢弃”：直接丢弃数据包，客户机需要等待连接超时。
** “通过”：放行该数据包。
* '''生效时间'''、'''时间段'''、'''星期'''：设置该策略生效的时间段。

== 规则的匹配 ==

每一个数据包都会从上往下对策略进行匹配，当匹配到其中一条时，则不再继续匹配。所以，规则的顺序是规则能否生效的一个重要因素。
如果要调整规则的顺序，请点击“排序”的图标进行拖动，然后点击“确认”保存。如下图：

[[文件: ros_firewall_01.png|650px]]

== 高级设置 ==
一些高级设置的选项，建议开启。

* '''丢弃无效的数据包'''：对于无效的数据包进行丢弃。
* '''启用SYN-flood防护'''：SYN Flood是一种广为人知的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。开启后可以防止受到SYN-flood攻击。
* '''允许WAN口Ping通'''：允许从WAN口ping通路由器。

[[文件: Firewall_advanced.jpg|400px]]