很多黑客攻击、DDoS攻击都来源于国外,所以对于大部分局域网来说,屏蔽国外IP就可以减少百分之九十的网络安全风险。在本文中,我将介绍如何用WSG上网行为管理来屏蔽境外IP地址。
防火墙规则的配置
要实现禁止国外IP的访问,我们需要配置两条防火墙规则,一条是允许国内IP地址,一条是屏蔽所有IP。请注意:防火墙规则的匹配是按顺序进行的,这样的效果就是国内IP匹配第一条规则被放行,其他IP都匹配第二条规则被禁止。如图:
有一点要注意的就是防火墙的区域方向,要过滤外网的访问,那么区域就要选择“外网”,到内网端口映射服务器的访问走的是“转发”方向。所以防火墙规则要这样来设置,以第一条为例,如下图:
源IP选择”自定义“,然后点击”编辑“,可以输入自定义的IP范围和域名,也可以选择国家地区。在本例中,我们选择的是指定国家地区(China),这样的效果就是只有来源中国的访问才会被允许。如下图:
另外一条规则是屏蔽所有,如图:
通过上述的两条规则配合使用,就可以实现只允许国内IP,并且禁止所有外网IP,屏蔽境外IP访问公司局域网的功能,从而杜绝来自国外的网络攻击,提升公司局域网网络安全指数。
