防火墙禁止内网访问

防火墙禁止内网访问因特网
第一步：添加需要设置的内网ip。

IP 设置
这里主要用于预先定义一些IP，以方便用于其地方（如防火墙里的访问规则、服务管理的负载均衡&流量管理等的下拉菜单中使用）。

这里的基本操作有增加、修改、删除。

单击〈添加IP设置〉可以进入相应页面，
◆单IP：这里可填入IP和MAC地址，如果IP和MAC都填入，则绑定这个IP和MAC。

◆一组IP：即以子网掩码限定的一组IP。

◆一段IP：即以起始IP和终止IP定义的一段IP地址。

◆其他IP或域名：这里可以填入IP或域名，也可以混合使用。

第二步：设置规则
过滤规则
网络访问规则评估网络流量的发源地IP 地址，目的地IP 地址和IP 协议种类，并决定是否让这个IP 流量穿透防火墙。

当设定网络访问规则时，记得，取消所有防火墙的保护或禁止所有Internet的访问是不可能的。

在防火墙策略中,可以设置HTTP 的过滤规则, 包括过滤域名,文件后缀名和非标准HTTP 请求。

非标准HTTP 请求只对从内网到外网的HTTP 请求有效，较常用的包括过滤QQ，MSN等即时通信程序。

比如QQ: 首先过滤掉8000，443等QQ上网端口，再过滤掉非标准HTTP 请求（通过80端口上网），
就可以阻止QQ 上网。

应为MSN 使用80端口上网，这里的域名过滤是第四层的过滤，与IP 地址设置中的域名不相同，那里的域名如果用在防火墙规则中，是第三层的过滤，可以与这里的域名过滤结合使用。

当创立或删除网络访问规则时要极端的谨慎。

自定义的规则能越过默认的规则，但是有几个默认的规则则永远有效，而且自定义的规则永不得越过这几个规则。

这些是：
◆ 从LAN 的那一边到Socks5硬件网关的10000 端口服务是永远允许的。

◆ 从LAN 的那一边来的DHCP 服务是永远允许的。

◆ 从LAN 的那一边来的DNS 服务是永远允许的。

针对性的网络规则，注意：序列号在先的规则先起作用，当检测到数据包符合某条规则后，该规则被执行，防火墙将不再检测后续规则。

您若要编辑访问规则，单击在操作栏的<修改>按钮。

这修改过滤规则屏幕看起来很像增加过滤规则屏幕。

输入您的变更并且单击<保存>按钮保存过滤规则。

假如您所需要的服务没有列在表里，请单击<新增规则>按钮加入新的访问规则。

◆ 启用本条规则：点取右边的启用框框会使此页所配置的规则生效。

◆ 序列号：输入阿拉伯数字，但最小号有最高的优先级。

单击<保存>按钮保存新增的访问规则。