使用IP过滤，轻松管理网络（5）

　　 
　　使用IP过滤，轻松管理网络
    五、应用举例

1、限制部分计算机访问WEB网站

　　例如，如果我们要限制内部网络IP地址为192.168.1.5---192.168.1.20 的计算机访问WEB网站，则可以添加一个如下图四所示的IP过滤规则。填入一个IP规则号如5，在Action中选"Deny"，在方向中选"Outgoing"，接口选"ALL"，IN 接口选"ALL"，Log Option选"Disable"，安全等级选"Medium"，Blacklist Status选"Disable"，Log Tag中不用填写，在开始时间和End Time中分别填入00：00：00与23：59：59，源IP地址中选"range"，并填入开始和结束的IP地址，目标IP地址中选"any"，协议中选"eq"和"TCP"，把保存状态勾选上，源端口中选"any"，目标端口中选"eq"，并在下拉列表中选择"HTTP（80）"，TCP Flag中选"ALL"，其他的选项都选择默认值就行了。再提交，一切OK。

图4：限制部分计算机访问WEB网站

2、只允许部分计算机访问WEB网站

　　如果我们只允许内部网络IP地址为192.168.1.10---192.168.1.30 的计算机访问WEB网站，则可以添加一个如下图五所示的IP过滤规则。填入一个IP规则号如5，在源IP地址中选"out of range"，并填入开始和结束的IP地址，其他的选项如同上例一样。再提交。

图5：只允许部分计算机访问WEB网站

3、限制部分计算机收发E_Mail

　　如果我们只允许内部网络IP地址为192.168.1.10---192.168.1.40 的计算机收发E_Mail，则可以添加一个如下图六所示的IP过滤规则。填入一个IP规则号如15，基本设置跟例一差不多，只要在源IP地址中选"range"，并填入开始和结束的IP地址，目标端口中选"range"，并在每一个下拉列表中选择"SMTP（25）"，在第二个下拉列表中选择"POP3（110）"，其他的选项都跟前两例描述的一样或选择默认值就行了。然后再提交。

图6：限制部分计算机收发E_Mail

　　以上三例IP添加设置好后，点击提交，回到下图七所示面的页面。

图7：设置好全局参数

　　再设置好全局参数，安全等级：选择Medium。Public Default Action：选择Aclearcase/" target="_blank" >ccept。Private Default Action：选择Accept。DMZ Default Action：选择Deny。点击提交，完成设置。如果规则的安全等级符合全局设置设定的安全等级，那么在此规则的状态栏是将出现一个绿色的小球，标志此规则现在已经生效了，当规则失效或者它的安全超级安全级别与总的配置设定的安全等级不同时将是显示为一个红球。（完）

原文转自：http://www.ltesting.net