使用IP过滤，轻松管理网络（2）

　　 
　　使用IP过滤，轻松管理网络
    三、设置全局参数

　　在IP过滤设置页，共分为上下两栏，上栏四项为IP过滤的全局设置参数，在下栏的IP过滤规则表中是所有当前已经制定的规则。如下图二所示。下面对全局设置中的各个参数给大家解释一下。

图2：全局设置

　　全局设置页面参数的四个选项分别是安全等级、Private Default Action、Public Default Action和DMZ Default Action，每个各下拉菜单中的具体选项含义如下：

安全等级：

　　用来设定哪一种安全级别的IP过滤规则有效，它是每条规则指定安全等级的基础。例如：当High级别被选择，则仅仅安全级别为高的规则有效，对于选择Medium 和Low设置也相应一样，如None被选择，IP过滤将被禁止。

Private/Public/DMZ Default Action：

　　用来设定Private/Public/DMZ三种类别接口的缺省行为（允许/拒绝），这个设置指定一个默认的动作，当ADSL接口接收到不符合过滤规则的数据包时在Private、Public或DMZ型设备接口上执行（接受或拒绝）这个默认的动作。你可以为每个接口类型指定一个不同的默认动作,这三种接口类型可以在创建接口（如 PPP接口等）时被设定。

　　（1）Public接口一般用于连接到因特网。PPP、EoA和IPoA一般都是Public接口。在Public接口上被收到的数据包将受到防火墙最严格的限制。典型的像，除了在其他IP过滤规则中被允许的规则，其他所有从外网发起的访问内网（你的局域网）的请求都将被拒绝（被Public接口丢弃）。一般在Public接口上的总的设置为"拒绝"，这样所有从外网的计算机发出到你局域网上的访问都被拒绝（在Public接口上丢弃它的数据包），除非那些符合指定IP过滤规则的访问才接受。

　　（2）Private接口用于连接你的局域网（Modem的以太口），在Private接口上收到的数据包几乎不受到防火墙限制，因为数据方向都是在你的局域网里。典型的，由内网发起的访问Internet的请求都是被允许的。一般在私用接口上的总的设置为"接受"，这样局域网上的计算机才能访问ADSL连接的互联网。

　　（3）DMZ（非军事区）涉及到公网用户访问内网服务器（虚拟服务器）的问题，默认这种访问是被禁止的。计算机在访问因特网上时它可以访问公网和内网的信息（例如一台局域网中的公用服务器），输入DMZ接口不管是局域网内的还是外面送来的数据包受到防火墙保护设置的限制介于Public和Private接口的限制之间。在DMZ接口的总的设置可能是"拒绝"，管理员可能在当时配置IP过滤规则时允许某些类型的访问。

原文转自：http://www.ltesting.net