“Firewallrule”的版本间的差异

来自WFilter上网行为管理系统文档和指南
跳转至: 导航搜索
第1行: 第1行:
 
{{DISPLAYTITLE:防火墙规则}}
 
{{DISPLAYTITLE:防火墙规则}}
 +
 +
“防火墙模块”用于配置基于IP和端口的防火墙策略,如需过滤网页、协议应用等,请使用“模块”中的“上网行为管理”各模块。
 +
 
== 新增规则 ==
 
== 新增规则 ==
<p>'''接口''':对应“网络设置”-“接口设置”中的内网外网。</p>
+
[[文件: Firewall_set.jpg|650px]]
<p>'''源IP''':数据包是从哪个IP发出来的,起源IP。支持“所有IP”、“指定IP”和“指定IP段”3种IP格式。当选择“指定IP”时,可以输入单个IP地址,或者IP段(比如192.168.1.0/24)。选择“指定IP段”时,需要输入IP范围。</p>
+
 
<p>'''目的IP''':数据包要到达的IP,发往哪里。支持“所有IP”、“指定IP”和“指定IP段”3种IP格式。当选择“指定IP”时,可以输入单个IP地址,或者IP段(比如192.168.1.0/24)。选择“指定IP段”时,需要输入IP范围。</p>
+
新增防火墙规则,如上图。以下是各项的说明。
<p>'''目的端口''':数据包要到达的端口。“端口”支持一个端口或者一个端口范围,例:8000或者8000:9000(范围)。</p>
+
 
<p>'''协议类型''':TCP或者UDP或者两者皆有。</p>
+
* '''接口''':分为“内网”和“外网”,配置该规则在哪个接口上起作用。
<p>'''动作''':“阻止”:客户机会立即收到被拒绝的数据包(RST)。“丢弃”:直接丢弃数据包,客户机需要等待连接超时。“通过”:放行该数据包。</p>
+
* '''源IP''':数据包的源IP。支持“所有IP”、“指定IP”和“指定IP段”3种IP格式。
<p>'''生效时间''':设置该条防火墙规则的生效时间,可以指定时间段,也可以任何时间都生效。</p>
+
** 选择“指定IP”时,可以输入单个IP地址,或者IP段(比如192.168.1.10或者192.168.1.0/24)。
<p>'''时间段''':“生效时间”设为指定时间后后可以设置,配置规则生效的开始时间和结束时间。</p>
+
** 选择“指定IP段”时,需要输入IP范围。
<p>'''星期''':设置在一周内,规则生效的时间。</p>
+
* '''目的IP''':数据包的目的IP,配置同上。
[[文件: Firewall_set.jpg]]
+
* '''目的端口''':数据包的目的端口。支持一个端口或者一个端口范围,例:8000或者8000:9000(范围)</p>
 +
* '''动作'''
 +
** “阻止”:客户机会立即收到被拒绝的数据包(RST)
 +
** “丢弃”:直接丢弃数据包,客户机需要等待连接超时。
 +
** “通过”:放行该数据包。
 +
* '''生效时间''''''时间段''''''星期''':设置该策略生效的时间段。
 +
 
 +
== 规则的匹配 ==
 +
 
 +
每一个数据包都会从上往下对策略进行匹配,当匹配到其中一条时,则不再继续匹配。所以,规则的顺序是规则能否生效的一个重要因素。
 +
如果要调整规则的顺序,请点击“排序”的图标进行拖动,然后点击“确认”保存。如下图:
 +
[[文件: ros_firewall_01.png.jpg|650px]]
 +
 
 
== 高级设置 ==
 
== 高级设置 ==
<p>'''丢弃无效的数据包''':对于无效的数据包进行丢弃。</p>
+
一些高级设置的选项,建议开启。
<p>'''启用SYN-flood防护''':SYN Flood是一种广为人知的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。开启后可以防止受到SYN-flood攻击。</p>
+
 
<p>'''允许WAN口Ping通''':允许从WAN口ping通路由器。</p>
+
* '''丢弃无效的数据包''':对于无效的数据包进行丢弃。
[[文件: Firewall_advanced.jpg]]
+
* '''启用SYN-flood防护''':SYN Flood是一种广为人知的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。开启后可以防止受到SYN-flood攻击。</p>
 +
* '''允许WAN口Ping通''':允许从WAN口ping通路由器。</p>
 +
[[文件: Firewall_advanced.jpg|400px]]

2015年12月16日 (三) 15:54的版本


“防火墙模块”用于配置基于IP和端口的防火墙策略,如需过滤网页、协议应用等,请使用“模块”中的“上网行为管理”各模块。

1 新增规则

Firewall set.jpg

新增防火墙规则,如上图。以下是各项的说明。

  • 接口:分为“内网”和“外网”,配置该规则在哪个接口上起作用。
  • 源IP:数据包的源IP。支持“所有IP”、“指定IP”和“指定IP段”3种IP格式。
    • 选择“指定IP”时,可以输入单个IP地址,或者IP段(比如192.168.1.10或者192.168.1.0/24)。
    • 选择“指定IP段”时,需要输入IP范围。
  • 目的IP:数据包的目的IP,配置同上。
  • 目的端口:数据包的目的端口。支持一个端口或者一个端口范围,例:8000或者8000:9000(范围)</p>
  • 动作
    • “阻止”:客户机会立即收到被拒绝的数据包(RST)。
    • “丢弃”:直接丢弃数据包,客户机需要等待连接超时。
    • “通过”:放行该数据包。
  • 生效时间时间段星期:设置该策略生效的时间段。

2 规则的匹配

每一个数据包都会从上往下对策略进行匹配,当匹配到其中一条时,则不再继续匹配。所以,规则的顺序是规则能否生效的一个重要因素。 如果要调整规则的顺序,请点击“排序”的图标进行拖动,然后点击“确认”保存。如下图: 650px

3 高级设置

一些高级设置的选项,建议开启。

  • 丢弃无效的数据包:对于无效的数据包进行丢弃。
  • 启用SYN-flood防护:SYN Flood是一种广为人知的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。开启后可以防止受到SYN-flood攻击。</p>
  • 允许WAN口Ping通:允许从WAN口ping通路由器。</p>

Firewall advanced.jpg