輕松使用IP過濾進行網(wǎng)絡管理

2019-11-04 20:15:11

字體：大中小

來源：轉載

供稿：網(wǎng)友

　　在小型的辦公室或家庭的局域網(wǎng)中，很大一部分是通過ADSL Modem來共享上網(wǎng)的，在局域網(wǎng)的日常的治理中，出于保密或安全性等其他方面的需要，治理員對不同的用戶可能有不同的要求與限制。例如某個部門的用戶在上班時間就只答應他們能夠收發(fā)E-mail，而限制他們?yōu)g覽WEB站點和下載軟件；對另外的一些用戶，可能就要開放瀏覽WEB站點的權限等等不同的要求，還有，出于安全的需要，對連接上因特網(wǎng)的電腦，我們很多時候只需要進行"單邊訪問"，即只讓內(nèi)網(wǎng)的機器訪問因特網(wǎng)，而不希望因特網(wǎng)中的機器訪問內(nèi)網(wǎng)。其實，要實現(xiàn)這些功能并不需要復雜的設置與昂貴的配件設備，使用ADSL Modem內(nèi)置的ip過濾功能就能輕松完成。其實，IP過濾的設置并不復雜，只需要了解其中各個參數(shù)的具體含義，再結合自身的需求加以設置就行了。為了使大家能夠更好地了解與使用好IP過濾功能，下面，筆者就以市面上常見的采用Globespan的芯片的ADSL Modem為例來具體說明IP過濾功能的具體設置及應用，并對設置頁面中的各個參數(shù)都作了具體的解釋與說明，還在此基礎上列舉幾個了具體的應用實例。

　　一、IP過濾能干什么

　　所謂IP過濾，實際上就是答應你建立一套規(guī)則，以便在你的內(nèi)部局域網(wǎng)和因特網(wǎng)之間以及內(nèi)部局域網(wǎng)之間控制流入和流出數(shù)據(jù)的轉發(fā)。它能答應你控制因特網(wǎng)和內(nèi)部局域網(wǎng)之間將要通過的數(shù)據(jù)類型，能阻擋局域網(wǎng)內(nèi)的某些計算機訪問某類未授權的數(shù)據(jù)和私自訪問因特網(wǎng)資源的企圖，也能夠阻擋外部發(fā)起的訪問內(nèi)部局域網(wǎng)的計算機。當你定義了一個IP過濾規(guī)則并開啟了它的功能的話，就指定ADSL Modem檢查每個數(shù)據(jù)包，檢測它們是否符合在規(guī)則中的設定。這個設定包括網(wǎng)絡或正在傳送包的internet協(xié)議，數(shù)據(jù)傳送的方向（如從局域網(wǎng)到因特網(wǎng)或從因特網(wǎng)到局域網(wǎng)），源計算機的IP地址，目的計算機IP地址和其他特有的數(shù)據(jù)包。假如數(shù)據(jù)包符合在IP規(guī)則中指定的設定，依靠在規(guī)則中指定的行為，則數(shù)據(jù)包能夠被接受（繼續(xù)轉發(fā)到它的目的站點）或者被拒絕（丟棄掉）。

　　可以創(chuàng)建IP過濾規(guī)則來限制你局域網(wǎng)上的某些計算機訪問某種類型數(shù)據(jù)或某些互聯(lián)網(wǎng)站點，你還能限制由外面進行訪問你局域網(wǎng)上的計算機的行為。

　　二、查看IP過濾設置

　　在瀏覽器的地址欄中鍵入192.168.1.1，輸入用戶名和密碼后，可以點擊"服務"標簽，然后在任務欄中點擊"IP Filter"（IP過濾）。在IP過濾設置頁上有可以修改的"全局設置"，在"IP過濾規(guī)則表"中是所有當前已經(jīng)制定的規(guī)則，通過點擊最右邊的操作欄中的三種圖標來編輯（）、刪除（）和查看（）相應規(guī)則，在運行狀態(tài)欄中，紅色表示此條規(guī)則沒有被運行，綠色則代表規(guī)則已應用。在此頁面中我們可以通過下方的"添加"按鈕添加各種不同的IP過濾規(guī)則。如下圖一所示

輕松使用IP過濾進行網(wǎng)絡治理（圖一）

圖1：IP過濾頁面 三、設置全局參數(shù)

　　在IP過濾設置頁，共分為上下兩欄，上欄四項為IP過濾的全局設置參數(shù)，在下欄的IP過濾規(guī)則表中是所有當前已經(jīng)制定的規(guī)則。如下圖二所示。下面對全局設置中的各個參數(shù)給大家解釋一下。
　　
輕松使用IP過濾進行網(wǎng)絡治理（圖二）

圖2：全局設置

　　全局設置頁面參數(shù)的四個選項分別是安全等級、PRivate Default Action、Public Default Action和DMZ Default Action，每個各下拉菜單中的具體選項含義如下：

　　安全等級：

　　用來設定哪一種安全級別的IP過濾規(guī)則有效，它是每條規(guī)則指定安全等級的基礎。例如：當High級別被選擇，則僅僅安全級別為高的規(guī)則有效，對于選擇Medium 和Low設置也相應一樣，如None被選擇，IP過濾將被禁止。

　　Private/Public/DMZ Default Action：

　　用來設定Private/Public/DMZ三種類別接口的缺省行為（答應/拒絕），這個設置指定一個默認的動作，當ADSL接口接收到不符合過濾規(guī)則的數(shù)據(jù)包時在Private、Public或DMZ型設備接口上執(zhí)行（接受或拒絕）這個默認的動作。你可以為每個接口類型指定一個不同的默認動作,這三種接口類型可以在創(chuàng)建接口（如 PPP接口等）時被設定。

　　（1）Public接口一般用于連接到因特網(wǎng)。PPP、EoA和IPoA一般都是Public接口。在Public接口上被收到的數(shù)據(jù)包將受到防火墻最嚴格的限制。典型的像，除了在其他IP過濾規(guī)則中被答應的規(guī)則，其他所有從外網(wǎng)發(fā)起的訪問內(nèi)網(wǎng)（你的局域網(wǎng)）的請求都將被拒絕（被Public接口丟棄）。一般在Public接口上的總的設置為"拒絕"，這樣所有從外網(wǎng)的計算機發(fā)出到你局域網(wǎng)上的訪問都被拒絕（在Public接口上丟棄它的數(shù)據(jù)包），除非那些符合指定IP過濾規(guī)則的訪問才接受。

　　（2）Private接口用于連接你的局域網(wǎng)（Modem的以太口），在Private接口上收到的數(shù)據(jù)包幾乎不受到防火墻限制，因為數(shù)據(jù)方向都是在你的局域網(wǎng)里。典型的，由內(nèi)網(wǎng)發(fā)起的訪問Internet的請求都是被答應的。一般在私用接口上的總的設置為"接受"，這樣局域網(wǎng)上的計算機才能訪問ADSL連接的互聯(lián)網(wǎng)。

　　（3）DMZ（非軍事區(qū)）涉及到公網(wǎng)用戶訪問內(nèi)網(wǎng)服務器（虛擬服務器）的問題，默認這種訪問是被禁止的。計算機在訪問因特網(wǎng)上時它可以訪問公網(wǎng)和內(nèi)網(wǎng)的信息（例如一臺局域網(wǎng)中的公用服務器），輸入DMZ接口不管是局域網(wǎng)內(nèi)的還是外面送來的數(shù)據(jù)包受到防火墻保護設置的限制介于Public和Private接口的限制之間。在DMZ接口的總的設置可能是"拒絕"，治理員可能在當時配置IP過濾規(guī)則時答應某些類型的訪問。 QQread.com 推出各大專業(yè)服務器評測 linux服務器的安全性能 SUN服務器 HP服務器 DELL服務器 IBM服務器聯(lián)想服務器浪潮服務器曙光服務器同方服務器華碩服務器寶德服務器 四、添加IP過濾規(guī)則

　　看了上面這么多關于IP過濾的介紹，不知大家有沒有心煩，不過前面的都是基礎知識，有了對IP過濾的初步熟悉后，現(xiàn)在我們就要開始添加一條新的IP過濾規(guī)則了，則點擊"添加"按鈕，馬上就進入到IP過濾規(guī)則的添加頁面。如下圖三所示。

輕松使用IP過濾進行網(wǎng)絡治理（圖三）

圖3：添加一條IP過濾規(guī)則

　　這個頁面可有些復雜了，滿満一大屏幕的參數(shù)需要選擇與填寫，不過也不用怕，我們慢慢來把各項參數(shù)搞明白，那就接著往下看吧。
　　●Rule ID：規(guī)則的序號，每一個規(guī)則必須指定一個有順序的ID號，最小序號最先執(zhí)行，直到找到相符的規(guī)則為止。建議填5 或10 的倍數(shù)（例如：10，20，30），以方便假如在有必要時再在兩條規(guī)則間添加新的規(guī)則。

　　●Action：指當數(shù)據(jù)包與規(guī)則的標準相符合時規(guī)則將要如何處理它，即是選擇接受（發(fā)送數(shù)據(jù)包至目的地）或拒絕（放棄數(shù)據(jù)包）。

　　●方向：指規(guī)則是否應用到經(jīng)過接口上的進入或輸出的數(shù)據(jù)包上。Incoming 參考進入局域網(wǎng)的數(shù)據(jù)包。Outgoing參考局域網(wǎng)接口的數(shù)據(jù)包。在接口上進入的數(shù)據(jù)包進入你的局域網(wǎng)，而輸出的數(shù)據(jù)包則從你的局域網(wǎng)輸出。你可以使用規(guī)則來指定在進入方向上限制外網(wǎng)的計算機來訪問你的局域網(wǎng)。

　　●接口：對于規(guī)則生效的設備接口，如ALL/PPP-0 等。

　　●In 接口：數(shù)據(jù)包被傳送到被選擇的接口，如ALL/PPP-0 等。這個選項只有在規(guī)則指定輸出方向才生效。

　　●Log Option：在規(guī)則生效時是否建立歷史紀錄。當選擇了Enabled，在系統(tǒng)上這條規(guī)則每次被調用都將會創(chuàng)建一條記錄，歷史紀錄條目包括有違反時間、造成違反的源計算機IP地址、目標計算機IP地址、使用的協(xié)議、源和目標端口和違反在前多少分鐘時發(fā)生（日志有助于發(fā)現(xiàn)和解決問題）。這個信息也可以用電子郵件發(fā)送給指定的治理員。

　　●安全等級：有高/中/低三個級別。:安全等級一定要適合總規(guī)則，只有規(guī)則的安全等級與總規(guī)則的安全等級配置設定相一致時這條規(guī)則才起作用（出現(xiàn)在主IP過濾頁上）。例如，假如規(guī)則設為中等級別而且總的防火墻等級也設為中等級別時，那么這條規(guī)則將起作用。

　　●Blacklist Status：確定是否將違反規(guī)則操作的計算機加到黑名單。

　　●Log Tag：歷史紀錄的標簽。在歷史紀錄中數(shù)據(jù)包違反規(guī)則的事件的最多可為16個字符的記錄描述，假如你要設定歷史紀錄標簽，請確定己將"Log Option"選項設為Enable。

　　●開始 /End Time：規(guī)則生效的時間范圍。

　　●源IP地址：發(fā)送源數(shù)據(jù)包的計算機IP 地址，在下拉菜單中，可以選擇的規(guī)則包括：

　　①Any：所有的源IP 地址。
　　②It：任何在數(shù)值上小于特定地址的源IP 地址。
　　③Lteq：任何在數(shù)值上小于或等于特定地址的源IP 地址。
　　④Gt：任何在數(shù)值上大于特定地址的源IP 地址。
　　⑤Eq：任何在數(shù)值上等于特定地址的源IP 地址。
　　⑥ Neq：任何在數(shù)值上不等于特定地址的源IP 地址。
　　⑦Range：任何在數(shù)值上確定范圍內(nèi)的源IP 地址。

　　⑧out of range：任何在數(shù)值上超出確定范圍的源IP 地址。
　　⑨self：對于這項規(guī)則生效的ADSL/以太網(wǎng)路由接口的IP 地址。
　　●目的IP地址：目標計算機的IP 地址（即是數(shù)據(jù)包要發(fā)送到的計算機的IP地址），在源IP地址框中選項描述和以下選項均可選用，除了源IP地址描述的規(guī)則外還包括：

　　Bcast：確定規(guī)則將對于任何被送到接收接口的廣播地址的數(shù)據(jù)包激活（使用廣播地址把數(shù)據(jù)包發(fā)送到所有在你局域網(wǎng)上的主機或者連接到指定接口的子網(wǎng)絡）。當你選擇了此項時，你不必指定它的地址，此時地址框變?yōu)榛疑豢捎谩?br />
　　●協(xié)議：對于規(guī)則必須符合的協(xié)議，如TCP/UDP/ICMP 等。你可以指定發(fā)送的數(shù)據(jù)包一定要包含選定的協(xié)議、不一定要包含選定的協(xié)議或者調用規(guī)則不用理會協(xié)議，通常使用的協(xié)議有TCP、UDP和ICMP，還有其它由IANA（Internet Assigned Numbers Authority　互聯(lián)網(wǎng)號碼分配權威組織）定義的從0到255的識別號碼。

　　●保存狀態(tài)：存儲狀態(tài)。假如使用此項，那么在特定接口上使用IP協(xié)議期間將執(zhí)行過濾狀態(tài)并且規(guī)則也應用在其它方向。

　　●源端口：數(shù)據(jù)包來源的計算機的標準端口，這個框交將是灰色（無法輸入），除非你已經(jīng)選擇了TCP或UDP協(xié)議，選擇此項時可參照源IP地址中的描述。

　　●目標端口：目的計算機的標準端口（即是數(shù)據(jù)包將要發(fā)送到的那一類型計算機的端口號），這個框交將是灰色（無法輸入），除非你已經(jīng)選擇了TCP或UDP協(xié)議，選擇此項時可參照源IP地址中的描述。

　　●TCP Flag：確定規(guī)則是否適用于同步（SYN）標記的TCP 數(shù)據(jù)包/非同步（NOT-SYN）標記的數(shù)據(jù)包或是所有TCP 數(shù)據(jù)包，這個框是灰色（無法輸入）的，除非你已經(jīng)選擇TCP作為它的協(xié)議。

　　●ICMP Type：確定ICMP 數(shù)據(jù)包報頭在等于/不等于或是所用的ICMP 數(shù)據(jù)包內(nèi)被激活。指是否將ICMP類型框中的ICMP數(shù)據(jù)包頭部的數(shù)值用作一個標準值。這個號碼值可能是一些從0－255的十進制號碼，你可以規(guī)定ICMP值一定要符合或不符合那個在剛才指定的數(shù)值，或者你可以在所有的ICMP數(shù)據(jù)包中選擇一些可以調用規(guī)則的。這個框是灰色（無法輸入）的，除非你已經(jīng)選擇ICMP作為它的協(xié)議。

　　●ICMP Code：確定ICMP 數(shù)據(jù)包的數(shù)據(jù)值。指是否將ICMP號碼框中的ICMP數(shù)據(jù)包頭部的數(shù)值用作一個標準值。這個號碼值可能是一些從0－255的十進制號碼，你可以規(guī)定ICMP值一定要符合或不符合那個在剛才指定的數(shù)值，或者你可以在所有的ICMP數(shù)據(jù)包中選擇一些可以調用規(guī)則的。這個框是灰色（無法輸入）的除非你已經(jīng)選擇ICMP作為它的協(xié)議。

　　●IP Frag Pkt：確定規(guī)則是用于包含/不包含或是忽略包含碎片的IP 數(shù)據(jù)包。你可以從以下選項中選擇一個：

　　Yes：僅在IP數(shù)據(jù)包含有碎片時規(guī)則仍可調用。

　　No：僅在IP數(shù)據(jù)不包含有碎片規(guī)則可調用。

　　Ignore：（默認）不管IP數(shù)據(jù)包是否含有碎片時規(guī)則都可調用，只要求它們符合其他標準就行。

　　●IP Option Pkt：確定規(guī)則是用于包含/不包含或是忽略數(shù)據(jù)包報頭的IP 數(shù)據(jù)包。你可以從以下選項中選擇一個：

　　Yes：僅在數(shù)據(jù)包含有頭部選項時規(guī)則才可以調用。

　　No：僅在數(shù)據(jù)包不含有頭部選項時規(guī)則才可以調用。

　　Ignore：（默認）不管IP數(shù)據(jù)包是否含有頭部選項規(guī)則都可調用，只要求它們符合其他標準就行。

　　●Packet Size：確定規(guī)則是否在某個數(shù)據(jù)包的文件字節(jié)大小范圍內(nèi)生效。（lt為少于，gt為大于，lteg為不大于，等等，參照"源IP地址" 中的設置。）

　　● TOD Rule Status（Technical Objective Documents）：確定規(guī)則是否在特定的時間范圍內(nèi)生效。假如選擇"啟用"（默認的選擇），則在指定的時間內(nèi)規(guī)則是可用的。假如選擇"禁用"，則在規(guī)定的時間內(nèi)規(guī)則是不可用的，但在其它時間規(guī)則是可用的。　　五、應用舉例

　　1、限制部分計算機訪問WEB網(wǎng)站

　　例如，假如我們要限制內(nèi)部網(wǎng)絡IP地址為192.168.1.5---192.168.1.20 的計算機訪問WEB網(wǎng)站，則可以添加一個如下圖四所示的IP過濾規(guī)則。填入一個IP規(guī)則號如5，在Action中選"Deny"，在方向中選"Outgoing"，接口選"ALL"，IN 接口選"ALL"，Log Option選"Disable"，安全等級選"Medium"，Blacklist Status選"Disable"，Log Tag中不用填寫，在開始時間和End Time中分別填入00：00：00與23：59：59，源IP地址中選"range"，并填入開始和結束的IP地址，目標IP地址中選"any"，協(xié)議中選"eq"和"TCP"，把保存狀態(tài)勾選上，源端口中選"any"，目標端口中選"eq"，并在下拉列表中選擇"HTTP（80）"，TCP Flag中選"ALL"，其他的選項都選擇默認值就行了。再提交，一切OK。

輕松使用IP過濾進行網(wǎng)絡治理（圖四）

圖4：限制部分計算機訪問WEB網(wǎng)站

　　2、只答應部分計算機訪問WEB網(wǎng)站

　　假如我們只答應內(nèi)部網(wǎng)絡IP地址為192.168.1.10---192.168.1.30 的計算機訪問WEB網(wǎng)站，則可以添加一個如下圖五所示的IP過濾規(guī)則。填入一個IP規(guī)則號如5，在源IP地址中選"out of range"，并填入開始和結束的IP地址，其他的選項如同上例一樣。再提交。

輕松使用IP過濾進行網(wǎng)絡治理（圖五）

圖5：只答應部分計算機訪問WEB網(wǎng)站 QQread.com 推出各大專業(yè)服務器評測 Linux服務器的安全性能 SUN服務器 HP服務器 DELL服務器 IBM服務器聯(lián)想服務器浪潮服務器曙光服務器同方服務器華碩服務器寶德服務器 3、限制部分計算機收發(fā)E_Mail 　

　　假如我們只答應內(nèi)部網(wǎng)絡IP地址為192.168.1.10---192.168.1.40 的計算機收發(fā)E_Mail，則可以添加一個如下圖六所示的IP過濾規(guī)則。填入一個IP規(guī)則號如15，基本設置跟例一差不多，只要在源IP地址中選"range"，并填入開始和結束的IP地址，目標端口中選"range"，并在每一個下拉列表中選擇"SMTP（25）"，在第二個下拉列表中選擇"POP3（110）"，其他的選項都跟前兩例描述的一樣或選擇默認值就行了。然后再提交。

輕松使用IP過濾進行網(wǎng)絡治理（圖六）

　　圖6：限制部分計算機收發(fā)E_Mail

　　以上三例IP添加設置好后，點擊提交，回到下圖七所示面的頁面。

輕松使用IP過濾進行網(wǎng)絡治理（圖七）

　　圖7：設置好全局參數(shù)

　　再設置好全局參數(shù)，安全等級：選擇Medium。Public Default Action：選擇Accept。Private Default Action：選擇Accept。DMZ Default Action：選擇Deny。點擊提交，完成設置。假如規(guī)則的安全等級符合全局設置設定的安全等級，那么在此規(guī)則的狀態(tài)欄是將出現(xiàn)一個綠色的小球，標志此規(guī)則現(xiàn)在已經(jīng)生效了，當規(guī)則失效或者它的安全超級安全級別與總的配置設定的安全等級不同時將是顯示為一個紅球。

上一篇：企業(yè)IP電話部署之保障QoS

下一篇：教程：使用LCS2005組建企業(yè)即時交流平臺