很多黑客攻擊、DDoS攻擊都來源于國外，所以對于大部分局域網(wǎng)來說，屏蔽國外IP就可以減少百分之九十的網(wǎng)絡(luò)安全風(fēng)險。在本文中，我將介紹如何用WSG上網(wǎng)行為管理來屏蔽境外IP地址。

防火墻規(guī)則的配置

要實(shí)現(xiàn)禁止國外IP的訪問，我們需要配置兩條防火墻規(guī)則，一條是允許國內(nèi)IP地址，一條是屏蔽所有IP。請注意：防火墻規(guī)則的匹配是按順序進(jìn)行的，這樣的效果就是國內(nèi)IP匹配第一條規(guī)則被放行，其他IP都匹配第二條規(guī)則被禁止。如圖：

有一點(diǎn)要注意的就是防火墻的區(qū)域方向，要過濾外網(wǎng)的訪問，那么區(qū)域就要選擇“外網(wǎng)”，到內(nèi)網(wǎng)端口映射服務(wù)器的訪問走的是“轉(zhuǎn)發(fā)”方向。所以防火墻規(guī)則要這樣來設(shè)置，以第一條為例，如下圖：

源IP選擇”自定義“，然后點(diǎn)擊”編輯“，可以輸入自定義的IP范圍和域名，也可以選擇國家地區(qū)。在本例中，我們選擇的是指定國家地區(qū)（China），這樣的效果就是只有來源中國的訪問才會被允許。如下圖：

另外一條規(guī)則是屏蔽所有，如圖：

通過上述的兩條規(guī)則配合使用，就可以實(shí)現(xiàn)只允許國內(nèi)IP，并且禁止所有外網(wǎng)IP，屏蔽境外IP訪問公司局域網(wǎng)的功能，從而杜絕來自國外的網(wǎng)絡(luò)攻擊，提升公司局域網(wǎng)網(wǎng)絡(luò)安全指數(shù)。