軟路由的防火牆配置

　　“防火牆模組”用於配置基於IP和埠的防火牆策略，如果您需要過濾網頁、禁止協議應用等，請使用“模組”中的“上網行為管理”各模組。 下面是小編跟大家分享的是，歡迎大家來閱讀學習~

　　工具/原料

　　WFilter ROS

　　方法/步驟

　　1 新增規則

　　新增防火牆規則，如上圖。以下是各項的說明。

　　***1***介面：分為“內網”和“外網”，配置該規則在哪個介面上起作用。

　　***2***源IP：資料包的源IP。支援“所有IP”、“指定IP”和“指定IP段”3種IP格式。

　　a. 選擇“指定IP”時，可以輸入單個IP地址，或者IP段***比如192.168.1.10或者192.168.1.0/24***。

　　b. 選擇“指定IP段”時，需要輸入IP範圍。

　　***3*** 目的IP：資料包的目的IP，配置同上。

　　***4***目的埠：資料包的目的埠。支援一個埠或者一個埠範圍，例：8000或者8000-9000***範圍***

　　***5*** 動作：

　　a. “阻止”：客戶機會立即收到被拒絕的資料包***RST***。

　　b.“丟棄”：直接丟棄資料包，客戶機需要等待連線超時。

　　c. “通過”：放行該資料包。

　　· 生效時間、時間段、星期：設定該策略生效的時間段。

　　2 規則的匹配

　　每一個數據包都會從上往下對策略進行匹配，當匹配到其中一條時，則不再繼續匹配。所以，規則的順序是規則能否生效的一個重要因素。 如果要調整規則的順序，請點選“排序”的圖示進行拖動，然後點選“確認”儲存。如下圖：

　　3 高階設定

　　一些高階設定的選項，建議開啟。

　　a.丟棄無效的資料包：對於無效的資料包進行丟棄。

　　b.啟用SYN-flood防護：SYN Flood是一種廣為人知的DoS***拒絕服務攻擊***與DDoS***分散式拒絕服務攻擊***的方式之一，這是一種利用TCP協議缺陷，傳送大量偽造的TCP連線 請求，從而使得被攻擊方資源耗盡***CPU滿負荷或記憶體不足***的攻擊方式。開啟後可以防止受到SYN-flood攻擊。

　　c. 允許WAN口Ping通：允許從WAN口ping通路由器。

　　4應用新配置

　　注：WFilter ROS的web介面是80埠。新增上面的80埠防火牆規則後。外網就可以打 開WFIlter ROS web介面。如圖：