很多黑客攻擊、DDoS攻擊都來源于國外,所以對于大部分局域網(wǎng)來說,屏蔽國外IP就可以減少百分之九十的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。在本文中,我將介紹如何用WSG上網(wǎng)行為管理來屏蔽境外IP地址。
防火墻規(guī)則的配置
要實(shí)現(xiàn)禁止國外IP的訪問,我們需要配置兩條防火墻規(guī)則,一條是允許國內(nèi)IP地址,一條是屏蔽所有IP。請注意:防火墻規(guī)則的匹配是按順序進(jìn)行的,這樣的效果就是國內(nèi)IP匹配第一條規(guī)則被放行,其他IP都匹配第二條規(guī)則被禁止。如圖:
有一點(diǎn)要注意的就是防火墻的區(qū)域方向,要過濾外網(wǎng)的訪問,那么區(qū)域就要選擇“外網(wǎng)”,到內(nèi)網(wǎng)端口映射服務(wù)器的訪問走的是“轉(zhuǎn)發(fā)”方向。所以防火墻規(guī)則要這樣來設(shè)置,以第一條為例,如下圖:
源IP選擇”自定義“,然后點(diǎn)擊”編輯“,可以輸入自定義的IP范圍和域名,也可以選擇國家地區(qū)。在本例中,我們選擇的是指定國家地區(qū)(China),這樣的效果就是只有來源中國的訪問才會(huì)被允許。如下圖:
另外一條規(guī)則是屏蔽所有,如圖:
通過上述的兩條規(guī)則配合使用,就可以實(shí)現(xiàn)只允許國內(nèi)IP,并且禁止所有外網(wǎng)IP,屏蔽境外IP訪問公司局域網(wǎng)的功能,從而杜絕來自國外的網(wǎng)絡(luò)攻擊,提升公司局域網(wǎng)網(wǎng)絡(luò)安全指數(shù)。
