在局域網的日常的管理中，出于保密或安全性等其他方面的需要，管理員對不同的用戶可能有不同的要求與限制



在小型的辦公室或家庭的局域網中，很大一部分是通過ADSL Modem來共享上網的，在局域網的日常的管理中，出于保密或安全性等其他方面的需要，管理員對不同的用戶可能有不同的要求與限制。例如某個部門的用戶在上班時間就只允許他們能夠收發E-mail，而限制他們瀏覽WEB站點和下載軟件；對另外的一些用戶，可能就要開放瀏覽WEB站點的權限等等不同的要求，還有，出于安全的需要，對連接上因特網的電腦，我們很多時候只需要進行"單邊訪問"，即只讓內網的機器訪問因特網，而不希望因特網中的機器訪問內網。其實，要實現這些功能并不需要復雜的設置與昂貴的配件設備，使用ADSL Modem內置的IP過濾功能就能輕松完成。其實，IP過濾的設置并不復雜，只需要了解其中各個參數的具體含義，再結合自身的需求加以設置就行了。為了使大家能夠更好地了解與使用好IP過濾功能，下面，筆者就以市面上常見的采用Globespan的芯片的ADSL Modem為例來具體說明IP過濾功能的詳細設置及應用，并對設置頁面中的各個參數都作了詳細的解釋與說明，還在此基礎上列舉幾個了具體的應用實例。 使用IP過濾，輕松管理網絡

一、IP過濾能干什么
二、查看IP過濾設置
三、設置全局參數
四、添加IP過濾規則
五、應用舉例


　　一、IP過濾能干什么

　　所謂IP過濾，實際上就是允許你建立一套規則，以便在你的內部局域網和因特網之間以及內部局域網之間控制流入和流出數據的轉發。它能允許你控制因特網和內部局域網之間將要通過的數據類型，能阻擋局域網內的某些計算機訪問某類未授權的數據和私自訪問因特網資源的企圖，也能夠阻擋外部發起的訪問內部局域網的計算機。當你定義了一個IP過濾規則并開啟了它的功能的話，就指定ADSL Modem檢查每個數據包，檢測它們是否符合在規則中的設定。這個設定包括網絡或正在傳送包的internet協議，數據傳送的方向（如從局域網到因特網或從因特網到局域網），源計算機的IP地址，目的計算機IP地址和其他特有的數據包。如果數據包符合在IP規則中指定的設定，依靠在規則中指定的行為，則數據包能夠被接受（繼續轉發到它的目的站點）或者被拒絕（丟棄掉）。

　　可以創建IP過濾規則來限制你局域網上的某些計算機訪問某種類型數據或某些互聯網站點，你還能限制由外面進行訪問你局域網上的計算機的行為。

　　二、查看IP過濾設置

　　在瀏覽器的地址欄中鍵入192.168.1.1，輸入用戶名和密碼后，可以點擊"服務"標簽，然后在任務欄中點擊"IP Filter"（IP過濾）。在IP過濾設置頁上有可以修改的"全局設置"，在"IP過濾規則表"中是所有當前已經制定的規則，通過點擊最右邊的操作欄中的三種圖標來編輯（）、刪除（）和查看（
）相應規則，在運行狀態欄中，紅色表示此條規則沒有被運行，綠色則代表規則已應用。在此頁面中我們可以通過下方的"添加"按鈕添加各種不同的IP過濾規則。


　　三、設置全局參數
　　在IP過濾設置頁，共分為上下兩欄，上欄四項為IP過濾的全局設置參數，在下欄的IP過濾規則表中是所有當前已經制定的規則。如下圖二所示。下面對全局設置中的各個參數給大家解釋一下。

　全局設置頁面參數的四個選項分別是安全等級、Private Default Action、Public Default Action和DMZ Default Action，每個各下拉菜單中的具體選項含義如下：

　　安全等級：

　　用來設定哪一種安全級別的IP過濾規則有效，它是每條規則指定安全等級的基礎。例如：當High級別被選擇，則僅僅安全級別為高的規則有效，對于選擇Medium 和Low設置也相應一樣，如None被選擇，IP過濾將被禁止。

　　Private/Public/DMZ Default Action：

　　用來設定Private/Public/DMZ三種類別接口的缺省行為（允許/拒絕），這個設置指定一個默認的動作，當ADSL接口接收到不符合過濾規則的數據包時在Private、Public或DMZ型設備接口上執行（接受或拒絕）這個默認的動作。你可以為每個接口類型指定一個不同的默認動作,這三種接口類型可以在創建接口（如 PPP接口等）時被設定。

　　（1）Public接口一般用于連接到因特網。PPP、EoA和IPoA一般都是Public接口。在Public接口上被收到的數據包將受到防火墻最嚴格的限制。典型的像，除了在其他IP過濾規則中被允許的規則，其他所有從外網發起的訪問內網（你的局域網）的請求都將被拒絕（被Public接口丟棄）。一般在Public接口上的總的設置為"拒絕"，這樣所有從外網的計算機發出到你局域網上的訪問都被拒絕（在Public接口上丟棄它的數據包），除非那些符合指定IP過濾規則的訪問才接受。

　　（2）Private接口用于連接你的局域網（Modem的以太口），在Private接口上收到的數據包幾乎不受到防火墻限制，因為數據方向都是在你的局域網里。典型的，由內網發起的訪問Internet的請求都是被允許的。一般在私用接口上的總的設置為"接受"，這樣局域網上的計算機才能訪問ADSL連接的互聯網。

　　（3）DMZ（非軍事區）涉及到公網用戶訪問內網服務器（虛擬服務器）的問題，默認這種訪問是被禁止的。計算機在訪問因特網上時它可以訪問公網和內網的信息（例如一臺局域網中的公用服務器），輸入DMZ接口不管是局域網內的還是外面送來的數據包受到防火墻保護設置的限制介于Public和Private接口的限制之間。在DMZ接口的總的設置可能是"拒絕"，管理員可能在當時配置IP過濾規則時允許某些類型的訪問。

　　四、添加IP過濾規則

　　看了上面這么多關于IP過濾的介紹，不知大家有沒有心煩，不過前面的都是基礎知識，有了對IP過濾的初步認識后，現在我們就要開始添加一條新的IP過濾規則了，則點擊"添加"按鈕，馬上就進入到IP過濾規則的添加頁面。

　　這個頁面可有些復雜了，滿満一大屏幕的參數需要選擇與填寫，不過也不用怕，我們慢慢來把各項參數搞明白，那就接著往下看吧。

　　●Rule ID：規則的序號，每一個規則必須指定一個有順序的ID號，最小序號最先執行，直到找到相符的規則為止。建議填5 或10 的倍數（例如：10，20，30），以方便如果在有必要時再在兩條規則間添加新的規則。

　　●Action：指當數據包與規則的標準相符合時規則將要如何處理它，即是選擇接受（發送數據包至目的地）或拒絕（放棄數據包）。

　　●方向：指規則是否應用到經過接口上的進入或輸出的數據包上。Incoming 參考進入局域網的數據包。Outgoing參考局域網接口的數據包。在接口上進入的數據包進入你的局域網，而輸出的數據包則從你的局域網輸出。你可以使用規則來指定在進入方向上限制外網的計算機來訪問你的局域網。

　　●接口：對于規則生效的設備接口，如ALL/PPP-0 等。

　　●In 接口：數據包被傳送到被選擇的接口，如ALL/PPP-0 等。這個選項只有在規則指定輸出方向才生效。

　　●Log Option：在規則生效時是否建立歷史紀錄。當選擇了Enabled，在系統上這條規則每次被調用都將會創建一條記錄，歷史紀錄條目包括有違反時間、造成違反的源計算機IP地址、目標計算機IP地址、使用的協議、源和目標端口和違反在前多少分鐘時發生（日志有助于發現和解決問題）。這個信息也可以用電子郵件發送給指定的管理員。

　　●安全等級：有高/中/低三個級別。:安全等級一定要適合總規則，只有規則的安全等級與總規則的安全等級配置設定相一致時這條規則才起作用（出現在主IP過濾頁上）。例如，如果規則設為中等級別而且總的防火墻等級也設為中等級別時，那么這條規則將起作用。


　　●Blacklist Status：確定是否將違反規則操作的計算機加到黑名單。

　　●Log Tag：歷史紀錄的標簽。在歷史紀錄中數據包違反規則的事件的最多可為16個字符的記錄描述，如果你要設定歷史紀錄標簽，請確定己將"Log Option"選項設為Enable。

　　●開始 /End Time：規則生效的時間范圍。

　　●源IP地址：發送源數據包的計算機IP 地址，在下拉菜單中，可以選擇的規則包括：

　　①Any：所有的源IP 地址。
　　②It：任何在數值上小于特定地址的源IP 地址。
　　③Lteq：任何在數值上小于或等于特定地址的源IP 地址。
　　④Gt：任何在數值上大于特定地址的源IP 地址。
　　⑤Eq：任何在數值上等于特定地址的源IP 地址。
　　⑥ Neq： 任何在數值上不等于特定地址的源IP 地址。
　　⑦Range：任何在數值上確定范圍內的源IP 地址。
　　⑧out of range：任何在數值上超出確定范圍的源IP 地址。
　　⑨self：對于這項規則生效的ADSL/以太網路由接口的IP 地址。

　　●目的IP地址：目標計算機的IP 地址（即是數據包要發送到的計算機的IP地址），在源IP地址框中選項描述和以下選項均可選用，除了源IP地址描述的規則外還包括：

　　Bcast：確定規則將對于任何被送到接收接口的廣播地址的數據包激活（使用廣播地址把數據包發送到所有在你局域網上的主機或者連接到指定接口的子網絡）。當你選擇了此項時，你不必指定它的地址，此時地址框變為灰色不可用。
　　●協議：對于規則必須符合的協議，如TCP/UDP/ICMP 等。你可以指定發送的數據包一定要包含選定的協議、不一定要包含選定的協議或者調用規則不用理會協議，通常使用的協議有TCP、UDP和ICMP，還有其它由IANA（Internet Assigned Numbers Authority　互聯網號碼分配權威組織）定義的從0到255的識別號碼。

　　●保存狀態：存儲狀態。如果使用此項，那么在特定接口上使用IP協議期間將執行過濾狀態并且規則也應用在其它方向。

　　●源端口：數據包來源的計算機的標準端口，這個框交將是灰色（無法輸入），除非你已經選擇了TCP或UDP協議，選擇此項時可參照源IP地址中的描述。

　　●目標端口：目的計算機的標準端口（即是數據包將要發送到的那一類型計算機的端口號），這個框交將是灰色（無法輸入），除非你已經選擇了TCP或UDP協議，選擇此項時可參照源IP地址中的描述。

　　●TCP Flag：確定規則是否適用于同步（SYN）標記的TCP 數據包/非同步（NOT-SYN）標記的數據包或是所有TCP 數據包，這個框是灰色（無法輸入）的，除非你已經選擇TCP作為它的協議。

　　●ICMP Type：確定ICMP 數據包報頭在等于/不等于或是所用的ICMP 數據包內被激活。指是否將ICMP類型框中的ICMP數據包頭部的數值用作一個標準值。這個號碼值可能是一些從0－255的十進制號碼，你可以規定ICMP值一定要符合或不符合那個在剛才指定的數值，或者你可以在所有的ICMP數據包中選擇一些可以調用規則的。這個框是灰色（無法輸入）的，除非你已經選擇ICMP作為它的協議。

　　●ICMP Code：確定ICMP 數據包的數據值。指是否將ICMP號碼框中的ICMP數據包頭部的數值用作一個標準值。這個號碼值可能是一些從0－255的十進制號碼，你可以規定ICMP值一定要符合或不符合那個在剛才指定的數值，或者你可以在所有的ICMP數據包中選擇一些可以調用規則的。這個框是灰色（無法輸入）的除非你已經選擇ICMP作為它的協議。

　　●IP Frag Pkt：確定規則是用于包含/不包含或是忽略包含碎片的IP 數據包。你可以從以下選項中選擇一個：

　　Yes：僅在IP數據包含有碎片時規則仍可調用。

　　No：僅在IP數據不包含有碎片規則可調用。

　　Ignore：（默認）不管IP數據包是否含有碎片時規則都可調用，只要求它們符合其他標準就行。

　　●IP Option Pkt：確定規則是用于包含/不包含或是忽略數據包報頭的IP 數據包。你可以從以下選項中選擇一個：

　　Yes：僅在數據包含有頭部選項時規則才可以調用。

　　No：僅在數據包不含有頭部選項時規則才可以調用。

　　Ignore：（默認）不管IP數據包是否含有頭部選項規則都可調用，只要求它們符合其他標準就行。

　　●Packet Size：確定規則是否在某個數據包的文件字節大小范圍內生效。（lt為少于，gt為大于，lteg為不大于，等等，參照"源IP地址" 中的設置。）

　　● TOD Rule Status（Technical Objective Documents）：確定規則是否在特定的時間范圍內生效。如果選擇"啟用"（默認的選擇），則在指定的時間內規則是可用的。如果選擇"禁用"，則在規定的時間內規則是不可用的，但在其它時間規則是可用的。
　　五、應用舉例

　　1、限制部分計算機訪問WEB網站

　　例如，如果我們要限制內部網絡IP地址為192.168.1.5---192.168.1.20 的計算機訪問WEB網站，則可以添加一個如下圖四所示的IP過濾規則。填入一個IP規則號如5，在Action中選"Deny"，在方向中選"Outgoing"，接口選"ALL"，IN 接口選"ALL"，Log Option選"Disable"，安全等級選"Medium"，Blacklist Status選"Disable"，Log Tag中不用填寫，在開始時間和End Time中分別填入00：00：00與23：59：59，源IP地址中選"range"，并填入開始和結束的IP地址，目標IP地址中選"any"，協議中選"eq"和"TCP"，把保存狀態勾選上，源端口中選"any"，目標端口中選"eq"，并在下拉列表中選擇"HTTP（80）"，TCP Flag中選"ALL"，其他的選項都選擇默認值就行了。再提交，一切OK。
　　2、只允許部分計算機訪問WEB網站

　　如果我們只允許內部網絡IP地址為192.168.1.10---192.168.1.30 的計算機訪問WEB網站，則可以添加一個如下圖五所示的IP過濾規則。填入一個IP規則號如5，在源IP地址中選"out of range"，并填入開始和結束的IP地址，其他的選項如同上例一樣。再提交。
　　3、限制部分計算機收發E_Mail

　　如果我們只允許內部網絡IP地址為192.168.1.10---192.168.1.40 的計算機收發E_Mail，則可以添加一個如下圖六所示的IP過濾規則。填入一個IP規則號如15，基本設置跟例一差不多，只要在源IP地址中選"range"，并填入開始和結束的IP地址，目標端口中選"range"，并在每一個下拉列表中選擇"SMTP（25）"，在第二個下拉列表中選擇"POP3（110）"，其他的選項都跟前兩例描述的一樣或選擇默認值就行了。然后再提交。
　　再設置好全局參數，安全等級：選擇Medium。Public Default Action：選擇Accept。Private Default Action：選擇Accept。DMZ Default Action：選擇Deny。點擊提交，完成設置。如果規則的安全等級符合全局設置設定的安全等級，那么在此規則的狀態欄是將出現一個綠色的小球，標志此規則現在已經生效了，當規則失效或者它的安全超級安全級別與總的配置設定的安全等級不同時將是顯示為一個紅球。