火绒小问答——「企业版」IP协议控制如何使用

尊敬的用户，您好！

为帮助企业精细化管控网络流量、规避网络攻击与数据泄露风险，火绒安全企业版提供IP协议控制功能。该功能可实现IP、域名、端口等多维网络访问管控，适配多种企业安全防护场景。下面为您详细介绍该功能的使用场景、配置方法及相关注意事项。

一、使用场景

1.限制IP访问：限制或阻止某些IP地址或IP地址范围的访问（如禁止来自特定国家/地区的IP访问），减少潜在攻击威胁。

2.部门网络隔离：将企业内不同部门或用户组的IP地址隔离，限制相互通信，防止横向扩散攻击，提高网络隐私性。

3.保护敏感资源：限制特定IP对某些资源（如网络共享文件夹、打印机）的访问，保护敏感数据。

4.限制域名访问：限制访问特定的域名地址（如禁止访问某些特定网站）。

二、使用要求

1.中心开启功能：在控制中心依次进入【策略管理】-【访问控制】-【IP协议控制】，并开启此功能。

2.策略同步终端：确保开启后的策略成功同步到终端，此时终端界面的“访问控制”中会显示IP协议控制已开启。

三、详细设置方法

建议主要通过控制中心进行统一配置，尽量避免在终端单独设置，以免破坏同步策略造成安全风险。

1. 中心设置（推荐）

在策略详情页的IP协议控制模块中，点击【添加规则】，需配置以下参数：

• 规则模板：可选用火绒预设的默认模板（如域名解析、时间同步等），无需自行配置。

• 规则名称：用户自定义的名称。
• 应用程序：指定源程序。
• 操作：选择放行或阻止。
• 方向：选择出站或入站（或“所有”）。
• 协议：选择传输协议（如TCP、UDP、ICMP 等）。
• 本地IP/本地端口：源IP和源端口（可设为“任意”）。
• 远程IP或域名 / 远程端口：目的IP/域名和目的端口（可设为“任意”）。

• 优先级：可选范围1-100，默认为1（代表最高优先级）。当有多条规则时，数值越小优先级越高。

2. 终端设置

在终端的【访问控制】中点击【IP协议控制】也可添加规则，但不建议在此操作，以防破坏中心下发的同步策略。

四、配置范例

范例1：只允许访问内网，禁止访问外网

步骤一（放行内网）：添加规则，操作选【放行】，方向为【所有】，远程IP填入内网网段（如192.168.8.1-192.168.8.157），优先级设为1。

步骤二（阻止外网）：

添加规则，操作选【阻止】，方向为【所有】，远程IP设为【任意】，优先级设为 2。

原理：优先级1的放行规则先匹配内网流量，其余所有流量被优先级2的阻止规则拦截。

范例2：禁止本地高危端口（80;21;445;139）的访问
步骤：添加规则，操作选【阻止】，方向为【所有】，在【本地端口】栏填入需阻断的高危端口（如 80;21;445;139），优先级设为2。

范例 3：禁止所有电脑访问指定网站（如百度）

步骤：添加规则，操作选【阻止】，方向为【所有】，在【远程IP或域名】填入目标网址（如 www.baidu.com），优先级设为 2。

五、重要注意事项

1.谨慎配置：配置网络协议规则务必谨慎，防止误拦截影响现有业务正常运行。

2.先试后推：强烈建议先在隔离的测试环境或少数非关键系统试运行新规则；测试成功后，也不要急于全面推广，应分批次、逐步扩大覆盖范围。

3.协议说明：

部分常见协议的适用场景供参考：

ICMP：

Ping测试、Tracert排查网络；

TCP：

网页浏览、文件传输、邮件收发；

UDP：

视频直播、在线游戏、语音/视频会议。

尊敬的用户：

若您有其他产品使用问题，可通过以下方式联系我们~

微信公众号：主界面---常见问题---人工客服

火绒官方论坛：https://bbs.huorong.cn/

火绒官方服务热线：400-998-3555（法定工作日8:30-20:30，法定节假日9:30-18:30）