网络边界防火墙的基本作用
家里装防盗门是为了防小偷,企业或家庭网络装防火墙,其实也是一个道理。网络边界防火墙就像一道电子岗哨,守在网络的入口处,决定哪些数据能进来,哪些请求该拦下。比如你在家办公连公司系统,或者开个小型网站对外服务,没这道防线,黑客扫描、恶意流量可能分分钟找上门。
明确你的设备类型
设置前先搞清楚用的是哪种防火墙。常见的情况有三种:路由器自带防火墙功能、专用硬件防火墙设备(比如华为USG、深信服AF)、软件防火墙(如Windows防火墙或第三方安全软件)。大多数家庭和小微企业用的是第一种,也就是路由器集成的防火墙模块。
登录管理界面开始配置
打开浏览器,输入路由器后台地址,通常是192.168.1.1或192.168.0.1,用管理员账号密码登录。不同品牌路径略有差异,但基本都能在“安全设置”或“防火墙”菜单里找到相关选项。
开启基础防护功能
进入防火墙设置页后,先把几个关键开关打开:启用DoS攻击防护、开启SYN Flood防御、过滤IP碎片包。这些选项能挡住常见的洪水攻击和异常数据包。如果你发现某段时间网络卡顿但网速正常,很可能是被轻量级攻击了,这些功能就是用来防这类情况的。
配置访问控制规则(ACL)
假设你在家里搭了个NAS,只想让办公室的同事访问,其他外网请求一律拒绝。可以在“访问规则”里添加一条策略:
源地址:203.0.113.50/32 <!-- 办公室公网IP -->
目标地址:192.168.1.100 <!-- NAS内网IP -->
协议类型:TCP
目标端口:548 <!-- AFP文件共享端口 -->
动作:允许然后再加一条默认拒绝所有外部访问的规则,放在最后,形成“白名单”机制。
端口映射与DMZ的区别要搞清
有些人为了省事直接开了DMZ主机,把某台设备完全暴露在公网下,这等于把家门钥匙挂在门外,非常危险。正确的做法是按需做端口映射(Port Forwarding)。比如你要架设一个Web服务器,只开放80和443端口即可,而不是整个机器。
外部端口:80
内部IP:192.168.1.200
内部端口:80
协议:TCP
状态:启用这样只有HTTP/HTTPS流量会被转发,其他端口依然处于隐藏状态。
定期查看日志排查异常
防火墙日志不是摆设。每周花几分钟看看有没有大量来自同一IP的拒绝记录,比如某个境外IP反复尝试连接23(Telnet)或22(SSH)端口,说明有人在扫你的设备。可以把这类IP加入黑名单,甚至联动自动封禁脚本。
远程管理别忘了关
很多人设置完远程管理功能就不管了,结果留下后门。如果你不需要从外网登录路由器后台,务必关闭“远程WEB管理”和“远程SSH”选项。本地能配,何必冒风险让全世界都能试密码?