• 首页
• 产品目录
  • 加密产品
    • 标准版
    • 标准版+
    • 专业版
  • 商用安全产品
    • 数据服务器
    • 安全U盘
    • Web 防篡改系统
  • 企业防泄密系统
    • 设计经典版
    • 管理平台版
    • 至尊企业版
• 解决方案
• 服务与支持
  • 在线支持
  • 软件下载
• 保密技术
• 关于我们

二、IP筛选器设置

　　1. 服务启用后，在“IP路由选择”中选择“常规”项，双击“本地连接”，弹出属性对话框，其中有“入站筛选器”和“出站筛选器”两个选项，点击进入，可以进行IP筛选。

　　2. 数据包筛选器分为入站筛选器和出站筛选器两个选项，分别对应接收到的数据包和发出的数据包，对于某一个接口而言，入站数据包指的是从此接口接收到的数据包，而不论此数据包的源IP地址和目的IP地址。出站数据包指的是从此接口发出的数据包，而不论此数据包的源IP地址和目的IP地址。

　　3. 下图是筛选器的界面，点击“新建”按钮可以添加IP筛选器。

　　接受所有除符合下列条件以外的数据包：当接受到的数据包匹配下面所设置的筛选器时，丢弃此数据包，允许所有不匹配筛选器设置的数据包。

　　丢弃所有的包，满足下面条件的除外：当接受到的数据包匹配下面所设置的筛选器时，允许此数据包，丢弃所有不匹配筛选器设置的数据包。

　　4. IP筛选器的属性如下图所示，可以通过源网络、目标网络和协议来对IP数据包进行筛选。可以只设置源网络或目标网络，或者都不设置，只根据协议来进行筛选。“源网络”是指IP数据包的来源的地址，“目标网络”是指IP数据包发往的地址。

　　5. 对于筛选器的设置，子网掩码中设置为“0”的位，在IP地址中必须设置为“0”。如果设置错误，则会提示输入的IP地址和子网掩码不兼容，如下图所示。
　　对于源网络和目标网络的匹配，路由和远程访问服务器是按照以下原则进行：将IP数据包的源IP地址和目的IP地址分别与IP筛选器中设置的源网络和目标网络的子网掩码进行相与操作，然后再和IP筛选器中的源网络的IP地址和目的网络的IP地址进行比较。在相与操作中，与“0”相与永远为“0”，因此任何IP地址和子网掩码的“0”位相与后均为“0”。而如果你设置的筛选器中IP地址对应的位却设置为“1”，那么你的筛选器将永远都得不到匹配，因此此筛选器就没有任何作用。

　　例：只允许规定的IP地址通过远程桌面访问服务器
　　1. 在筛选器中添加如下地址，源网络中为允许用远程桌面访问服务器的机器的IP地址，目标网络为服务器的IP地址，不填代表任意地址。所选协议为TCP协议，3389为远程桌面的服务端口，源端口0代表任意端口。添加好后，点击确定。

　　2. 在如下界面中多了一条记录，因为只允许一台机通过远程桌面访问服务器，筛选器操作应该选择“丢弃所有的包，满足下面条件的除外”。点击“确定”按钮确认添加该记录。

　　3. 在IP地址为192.168.1.136的机器上，可以通过远程桌面访问服务器，如下图所示。

　　4. 在其他机器上，不能通过远程桌面访问服务器，如下图所示。

　　5. 至此，可以看到IP筛选已经起作用了。

关联文档

• secWall与Windows路由器的组合安全方案（一）
   
• secWall与Windows路由器的组合安全方案（三）
   
• secWall与Windows路由器的组合安全方案（四）
   
• secWall与Windows路由器的组合安全方案（五）
   
• secWall与Windows路由器的组合安全方案（六）
   
• secWall与Windows路由器的组合安全方案（七）