很多黑客攻擊、DDoS攻擊都來(lái)源于國(guó)外，所以對(duì)于大部分局域網(wǎng)來(lái)說(shuō)，屏蔽國(guó)外IP就可以減少百分之九十的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。在本文中，我將介紹如何用WSG上網(wǎng)行為管理來(lái)屏蔽境外IP地址。

防火墻規(guī)則的配置

要實(shí)現(xiàn)禁止國(guó)外IP的訪問(wèn)，我們需要配置兩條防火墻規(guī)則，一條是允許國(guó)內(nèi)IP地址，一條是屏蔽所有IP。請(qǐng)注意：防火墻規(guī)則的匹配是按順序進(jìn)行的，這樣的效果就是國(guó)內(nèi)IP匹配第一條規(guī)則被放行，其他IP都匹配第二條規(guī)則被禁止。如圖：

有一點(diǎn)要注意的就是防火墻的區(qū)域方向，要過(guò)濾外網(wǎng)的訪問(wèn)，那么區(qū)域就要選擇“外網(wǎng)”，到內(nèi)網(wǎng)端口映射服務(wù)器的訪問(wèn)走的是“轉(zhuǎn)發(fā)”方向。所以防火墻規(guī)則要這樣來(lái)設(shè)置，以第一條為例，如下圖：

源IP選擇”自定義“，然后點(diǎn)擊”編輯“，可以輸入自定義的IP范圍和域名，也可以選擇國(guó)家地區(qū)。在本例中，我們選擇的是指定國(guó)家地區(qū)（China），這樣的效果就是只有來(lái)源中國(guó)的訪問(wèn)才會(huì)被允許。如下圖：

另外一條規(guī)則是屏蔽所有，如圖：

通過(guò)上述的兩條規(guī)則配合使用，就可以實(shí)現(xiàn)只允許國(guó)內(nèi)IP，并且禁止所有外網(wǎng)IP，屏蔽境外IP訪問(wèn)公司局域網(wǎng)的功能，從而杜絕來(lái)自國(guó)外的網(wǎng)絡(luò)攻擊，提升公司局域網(wǎng)網(wǎng)絡(luò)安全指數(shù)。