“防火墻模塊”用于配置基于IP和端口的防火墻策略，如果您需要過濾網(wǎng)頁、禁止協(xié)議應用等，請使用“模塊”中的“上網(wǎng)行為管理”各模塊。 下面是學習啦小編跟大家分享的是軟路由的防火墻配置，歡迎大家來閱讀學習。

　　軟路由的防火墻配置

　　工具/原料

　　WFilter ROS

　　方法/步驟

　　1 新增規(guī)則

　　新增防火墻規(guī)則，如上圖。以下是各項的說明。

　　(1)接口：分為“內(nèi)網(wǎng)”和“外網(wǎng)”，配置該規(guī)則在哪個接口上起作用。

　　(2)源IP：數(shù)據(jù)包的源IP。支持“所有IP”、“指定IP”和“指定IP段”3種IP格式。

　　a. 選擇“指定IP”時，可以輸入單個IP地址，或者IP段(比如192.168.1.10或者192.168.1.0/24)。

　　b. 選擇“指定IP段”時，需要輸入IP范圍。

　　(3) 目的IP：數(shù)據(jù)包的目的IP，配置同上。

　　(4)目的端口：數(shù)據(jù)包的目的端口。支持一個端口或者一個端口范圍，例：8000或者8000-9000(范圍)

　　(5) 動作：

　　a. “阻止”：客戶機會立即收到被拒絕的數(shù)據(jù)包(RST)。

　　b.“丟棄”：直接丟棄數(shù)據(jù)包，客戶機需要等待連接超時。

　　c. “通過”：放行該數(shù)據(jù)包。

　　· 生效時間、時間段、星期：設置該策略生效的時間段。

　　2 規(guī)則的匹配

　　每一個數(shù)據(jù)包都會從上往下對策略進行匹配，當匹配到其中一條時，則不再繼續(xù)匹配。所以，規(guī)則的順序是規(guī)則能否生效的一個重要因素。 如果要調(diào)整規(guī)則的順序，請點擊“排序”的圖標進行拖動，然后點擊“確認”保存。如下圖：

　　3 高級設置

　　一些高級設置的選項，建議開啟。

　　a.丟棄無效的數(shù)據(jù)包：對于無效的數(shù)據(jù)包進行丟棄。

　　b.啟用SYN-flood防護：SYN Flood是一種廣為人知的DoS(拒絕服務攻擊)與DDoS(分布式拒絕服務攻擊)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接 請求，從而使得被攻擊方資源耗盡(CPU滿負荷或內(nèi)存不足)的攻擊方式。開啟后可以防止受到SYN-flood攻擊。

　　c. 允許WAN口Ping通：允許從WAN口ping通路由器。

　　4應用新配置

　　注：WFilter ROS的web界面是80端口。添加上面的80端口防火墻規(guī)則后。外網(wǎng)就可以打 開WFIlter ROS web界面。如圖：