广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

在局域网的日常的管理中，出于保密或安全性等其他方面的需要，管理员对不同的用户可能有不同的要求与限制

在小型的办公室或家庭的局域网中，很大一部分是通过adsl modem来共享上网的，在局域网的日常的管理中，出于保密或安全性等其他方面的需要，管理员对不同的用户可能有不同的要求与限制。例如某个部门的用户在上班时间就只允许他们能够收发e-mail，而限制他们浏览web站点和下载软件；对另外的一些用户，可能就要开放浏览web站点的权限等等不同的要求，还有，出于安全的需要，对连接上因特网的电脑，我们很多时候只需要进行"单边访问"，即只让内网的机器访问因特网，而不希望因特网中的机器访问内网。其实，要实现这些功能并不需要复杂的设置与昂贵的配件设备，使用adsl modem内置的ip过滤功能就能轻松完成。其实，ip过滤的设置并不复杂，只需要了解其中各个参数的具体含义，再结合自身的需求加以设置就行了。为了使大家能够更好地了解与使用好ip过滤功能，下面，笔者就以市面上常见的采用globespan的芯片的adsl modem为例来具体说明ip过滤功能的详细设置及应用，并对设置页面中的各个参数都作了详细的解释与说明，还在此基础上列举几个了具体的应用实例。
使用ip过滤，轻松管理网络

一、ip过滤能干什么
二、查看ip过滤设置
三、设置全局参数
四、添加ip过滤规则
五、应用举例
　一、ip过滤能干什么
　　所谓ip过滤，实际上就是允许你建立一套规则，以便在你的内部局域网和因特网之间以及内部局域网之间控制流入和流出数据的转发。它能允许你控制因特网和内部局域网之间将要通过的数据类型，能阻挡局域网内的某些计算机访问某类未授权的数据和私自访问因特网资源的企图，也能够阻挡外部发起的访问内部局域网的计算机。当你定义了一个ip过滤规则并开启了它的功能的话，就指定adsl modem检查每个数据包，检测它们是否符合在规则中的设定。这个设定包括网络或正在传送包的internet协议，数据传送的方向（如从局域网到因特网或从因特网到局域网），源计算机的ip地址，目的计算机ip地址和其他特有的数据包。如果数据包符合在ip规则中指定的设定，依靠在规则中指定的行为，则数据包能够被接受（继续转发到它的目的站点）或者被拒绝（丢弃掉）。
　　可以创建ip过滤规则来限制你局域网上的某些计算机访问某种类型数据或某些互联网站点，你还能限制由外面进行访问你局域网上的计算机的行为。
　　二、查看ip过滤设置
　　在浏览器的地址栏中键入192.168.1.1，输入用户名和密码后，可以点击"服务"标签，然后在任务栏中点击"ip filter"（ip过滤）。在ip过滤设置页上有可以修改的"全局设置"，在"ip过滤规则表"中是所有当前已经制定的规则，通过点击最右边的操作栏中的三种图标来编辑、删除和查看相应规则，在运行状态栏中，红色表示此条规则没有被运行，绿色则代表规则已应用。在此页面中我们可以通过下方的"添加"按钮添加各种不同的ip过滤规则。如下图一所示
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

三、设置全局参数
　　在ip过滤设置页，共分为上下两栏，上栏四项为ip过滤的全局设置参数，在下栏的ip过滤规则表中是所有当前已经制定的规则。如下图二所示。下面对全局设置中的各个参数给大家解释一下。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

图2：全局设置
　　全局设置页面参数的四个选项分别是安全等级、private default action、public default action和dmz default action，每个各下拉菜单中的具体选项含义如下：
　　安全等级：
　　用来设定哪一种安全级别的ip过滤规则有效，它是每条规则指定安全等级的基础。例如：当high级别被选择，则仅仅安全级别为高的规则有效，对于选择medium 和low设置也相应一样，如none被选择，ip过滤将被禁止。
　　private/public/dmz default action：
　　用来设定private/public/dmz三种类别接口的缺省行为（允许/拒绝），这个设置指定一个默认的动作，当adsl接口接收到不符合过滤规则的数据包时在private、public或dmz型设备接口上执行（接受或拒绝）这个默认的动作。你可以为每个接口类型指定一个不同的默认动作,这三种接口类型可以在创建接口（如 ppp接口等）时被设定。
　　（1）public接口一般用于连接到因特网。ppp、eoa和ipoa一般都是public接口。在public接口上被收到的数据包将受到防火墙最严格的限制。典型的像，除了在其他ip过滤规则中被允许的规则，其他所有从外网发起的访问内网（你的局域网）的请求都将被拒绝（被public接口丢弃）。一般在public接口上的总的设置为"拒绝"，这样所有从外网的计算机发出到你局域网上的访问都被拒绝（在public接口上丢弃它的数据包），除非那些符合指定ip过滤规则的访问才接受。
　　（2）private接口用于连接你的局域网（modem的以太口），在private接口上收到的数据包几乎不受到防火墙限制，因为数据方向都是在你的局域网里。典型的，由内网发起的访问internet的请求都是被允许的。一般在私用接口上的总的设置为"接受"，这样局域网上的计算机才能访问adsl连接的互联网。
　　（3）dmz（非军事区）涉及到公网用户访问内网服务器（虚拟服务器）的问题，默认这种访问是被禁止的。计算机在访问因特网上时它可以访问公网和内网的信息（例如一台局域网中的公用服务器），输入dmz接口不管是局域网内的还是外面送来的数据包受到防火墙保护设置的限制介于public和private接口的限制之间。在dmz接口的总的设置可能是"拒绝"，管理员可能在当时配置ip过滤规则时允许某些类型的访问。

[nextpage]

四、添加ip过滤规则
　　看了上面这么多关于ip过滤的介绍，不知大家有没有心烦，不过前面的都是基础知识，有了对ip过滤的初步认识后，现在我们就要开始添加一条新的ip过滤规则了，则点击"添加"按钮，马上就进入到ip过滤规则的添加页面。如下图三所示。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

图3：添加一条ip过滤规则
　　这个页面可有些复杂了，满満一大屏幕的参数需要选择与填写，不过也不用怕，我们慢慢来把各项参数搞明白，那就接着往下看吧。
　　●rule id：规则的序号，每一个规则必须指定一个有顺序的id号，最小序号最先执行，直到找到相符的规则为止。建议填5 或10 的倍数（例如：10，20，30），以方便如果在有必要时再在两条规则间添加新的规则。
　　●action：指当数据包与规则的标准相符合时规则将要如何处理它，即是选择接受（发送数据包至目的地）或拒绝（放弃数据包）。
　　●方向：指规则是否应用到经过接口上的进入或输出的数据包上。incoming 参考进入局域网的数据包。outgoing参考局域网接口的数据包。在接口上进入的数据包进入你的局域网，而输出的数据包则从你的局域网输出。你可以使用规则来指定在进入方向上限制外网的计算机来访问你的局域网。
　　●接口：对于规则生效的设备接口，如all/ppp-0 等。
　　●in 接口：数据包被传送到被选择的接口，如all/ppp-0 等。这个选项只有在规则指定输出方向才生效。
　　●log option：在规则生效时是否建立历史纪录。当选择了enabled，在系统上这条规则每次被调用都将会创建一条记录，历史纪录条目包括有违反时间、造成违反的源计算机ip地址、目标计算机ip地址、使用的协议、源和目标端口和违反在前多少分钟时发生（日志有助于发现和解决问题）。这个信息也可以用电子邮件发送给指定的管理员。
　　●安全等级：有高/中/低三个级别。:安全等级一定要适合总规则，只有规则的安全等级与总规则的安全等级配置设定相一致时这条规则才起作用（出现在主ip过滤页上）。例如，如果规则设为中等级别而且总的防火墙等级也设为中等级别时，那么这条规则将起作用。
[nextpage]
●blacklist status：确定是否将违反规则操作的计算机加到黑名单。
　　●log tag：历史纪录的标签。在历史纪录中数据包违反规则的事件的最多可为16个字符的记录描述，如果你要设定历史纪录标签，请确定己将"log option"选项设为enable。
　　●开始 /end time：规则生效的时间范围。
　　●源ip地址：发送源数据包的计算机ip 地址，在下拉菜单中，可以选择的规则包括：
　　①any：所有的源ip 地址。
　　②it：任何在数值上小于特定地址的源ip 地址。
　　③lteq：任何在数值上小于或等于特定地址的源ip 地址。
　　④gt：任何在数值上大于特定地址的源ip 地址。
　　⑤eq：任何在数值上等于特定地址的源ip 地址。
　　⑥ neq： 任何在数值上不等于特定地址的源ip 地址。
　　⑦range：任何在数值上确定范围内的源ip 地址。
　　⑧out of range：任何在数值上超出确定范围的源ip 地址。
　　⑨self：对于这项规则生效的adsl/以太网路由接口的ip 地址。
　　●目的ip地址：目标计算机的ip 地址（即是数据包要发送到的计算机的ip地址），在源ip地址框中选项描述和以下选项均可选用，除了源ip地址描述的规则外还包括：
　　bcast：确定规则将对于任何被送到接收接口的广播地址的数据包激活（使用广播地址把数据包发送到所有在你局域网上的主机或者连接到指定接口的子网络）。当你选择了此项时，你不必指定它的地址，此时地址框变为灰色不可用。
　　●协议：对于规则必须符合的协议，如tcp/udp/icmp 等。你可以指定发送的数据包一定要包含选定的协议、不一定要包含选定的协议或者调用规则不用理会协议，通常使用的协议有tcp、udp和icmp，还有其它由iana（internet assigned numbers authority　互联网号码分配权威组织）定义的从0到255的识别号码。
　　●保存状态：存储状态。如果使用此项，那么在特定接口上使用ip协议期间将执行过滤状态并且规则也应用在其它方向。
　　●源端口：数据包来源的计算机的标准端口，这个框交将是灰色（无法输入），除非你已经选择了tcp或udp协议，选择此项时可参照源ip地址中的描述。
　　●目标端口：目的计算机的标准端口（即是数据包将要发送到的那一类型计算机的端口号），这个框交将是灰色（无法输入），除非你已经选择了tcp或udp协议，选择此项时可参照源ip地址中的描述。
　　●tcp flag：确定规则是否适用于同步（syn）标记的tcp 数据包/非同步（not-syn）标记的数据包或是所有tcp 数据包，这个框是灰色（无法输入）的，除非你已经选择tcp作为它的协议。
　　●icmp type：确定icmp 数据包报头在等于/不等于或是所用的icmp 数据包内被激活。指是否将icmp类型框中的icmp数据包头部的数值用作一个标准值。这个号码值可能是一些从0－255的十进制号码，你可以规定icmp值一定要符合或不符合那个在刚才指定的数值，或者你可以在所有的icmp数据包中选择一些可以调用规则的。这个框是灰色（无法输入）的，除非你已经选择icmp作为它的协议。
　　●icmp code：确定icmp 数据包的数据值。指是否将icmp号码框中的icmp数据包头部的数值用作一个标准值。这个号码值可能是一些从0－255的十进制号码，你可以规定icmp值一定要符合或不符合那个在刚才指定的数值，或者你可以在所有的icmp数据包中选择一些可以调用规则的。这个框是灰色（无法输入）的除非你已经选择icmp作为它的协议。
　　●ip frag pkt：确定规则是用于包含/不包含或是忽略包含碎片的ip 数据包。你可以从以下选项中选择一个：
　　yes：仅在ip数据包含有碎片时规则仍可调用。
　　no：仅在ip数据不包含有碎片规则可调用。
　　ignore：（默认）不管ip数据包是否含有碎片时规则都可调用，只要求它们符合其他标准就行。
　　●ip option pkt：确定规则是用于包含/不包含或是忽略数据包报头的ip 数据包。你可以从以下选项中选择一个：
　　yes：仅在数据包含有头部选项时规则才可以调用。
　　no：仅在数据包不含有头部选项时规则才可以调用。
　　ignore：（默认）不管ip数据包是否含有头部选项规则都可调用，只要求它们符合其他标准就行。
　　●packet size：确定规则是否在某个数据包的文件字节大小范围内生效。（lt为少于，gt为大于，lteg为不大于，等等，参照"源ip地址" 中的设置。）
　　● tod rule status（technical objective documents）：确定规则是否在特定的时间范围内生效。如果选择"启用"（默认的选择），则在指定的时间内规则是可用的。如果选择"禁用"，则在规定的时间内规则是不可用的，但在其它时间规则是可用的。

[nextpage]
五、应用举例
　　1、限制部分计算机访问web网站
　　例如，如果我们要限制内部网络ip地址为192.168.1.5---192.168.1.20 的计算机访问web网站，则可以添加一个如下图四所示的ip过滤规则。填入一个ip规则号如5，在action中选"deny"，在方向中选"outgoing"，接口选"all"，in 接口选"all"，log option选"disable"，安全等级选"medium"，blacklist status选"disable"，log tag中不用填写，在开始时间和end time中分别填入00：00：00与23：59：59，源ip地址中选"range"，并填入开始和结束的ip地址，目标ip地址中选"any"，协议中选"eq"和"tcp"，把保存状态勾选上，源端口中选"any"，目标端口中选"eq"，并在下拉列表中选择"http（80）"，tcp flag中选"all"，其他的选项都选择默认值就行了。再提交，一切ok。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

图4：限制部分计算机访问web网站
　　2、只允许部分计算机访问web网站
　　如果我们只允许内部网络ip地址为192.168.1.10---192.168.1.30 的计算机访问web网站，则可以添加一个如下图五所示的ip过滤规则。填入一个ip规则号如5，在源ip地址中选"out of range"，并填入开始和结束的ip地址，其他的选项如同上例一样。再提交。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

图5：只允许部分计算机访问web网站

[nextpage]
3、限制部分计算机收发e_mail
　　如果我们只允许内部网络ip地址为192.168.1.10---192.168.1.40 的计算机收发e_mail，则可以添加一个如下图六所示的ip过滤规则。填入一个ip规则号如15，基本设置跟例一差不多，只要在源ip地址中选"range"，并填入开始和结束的ip地址，目标端口中选"range"，并在每一个下拉列表中选择"smtp（25）"，在第二个下拉列表中选择"pop3（110）"，其他的选项都跟前两例描述的一样或选择默认值就行了。然后再提交。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

图6：限制部分计算机收发e_mail
　　以上三例ip添加设置好后，点击提交，回到下图七所示面的页面。
screen.width-300)this.width=screen.width-300 border=0 alt=click to open in new window>

图7：设置好全局参数
　　再设置好全局参数，安全等级：选择medium。public default action：选择accept。private default action：选择accept。dmz default action：选择deny。点击提交，完成设置。如果规则的安全等级符合全局设置设定的安全等级，那么在此规则的状态栏是将出现一个绿色的小球，标志此规则现在已经生效了，当规则失效或者它的安全超级安全级别与总的配置设定的安全等级不同时将是显示为一个红球。

（）