很多黑客攻擊、DDoS攻擊都來源于國外,所以對于大部分局域網來說,屏蔽國外IP就可以減少百分之九十的網絡安全風險。在本文中,我將介紹如何用WSG上網行為管理來屏蔽境外IP地址。
防火墻規(guī)則的配置
要實現(xiàn)禁止國外IP的訪問,我們需要配置兩條防火墻規(guī)則,一條是允許國內IP地址,一條是屏蔽所有IP。請注意:防火墻規(guī)則的匹配是按順序進行的,這樣的效果就是國內IP匹配第一條規(guī)則被放行,其他IP都匹配第二條規(guī)則被禁止。如圖:
有一點要注意的就是防火墻的區(qū)域方向,要過濾外網的訪問,那么區(qū)域就要選擇“外網”,到內網端口映射服務器的訪問走的是“轉發(fā)”方向。所以防火墻規(guī)則要這樣來設置,以第一條為例,如下圖:
源IP選擇”自定義“,然后點擊”編輯“,可以輸入自定義的IP范圍和域名,也可以選擇國家地區(qū)。在本例中,我們選擇的是指定國家地區(qū)(China),這樣的效果就是只有來源中國的訪問才會被允許。如下圖:
另外一條規(guī)則是屏蔽所有,如圖:
通過上述的兩條規(guī)則配合使用,就可以實現(xiàn)只允許國內IP,并且禁止所有外網IP,屏蔽境外IP訪問公司局域網的功能,從而杜絕來自國外的網絡攻擊,提升公司局域網網絡安全指數(shù)。