安全策略模式与端口保护规则特殊用法

　　1、 IP黑白名单设置

　　用户通过安全策略模式选择与端口保护规则设置，可以实现针对某个端口的IP黑白名单功能。下面是在两种不同安全策略模式下，针对135端口黑白名单设置实例：

　　1)第一种安全模式(宽松模式)下的黑名单实现

　　在“默认放开所有端口，只关闭规则中的端口”安全策略模式下，端口保护规则选择为“所有IP一律接受”，则例外IP实质上与IP黑名单功能相当。在例外IP处添加需要被禁止访问的IP或者IP段，即可实现IP黑名单的功能。

　　图14. 通过例外IP设置黑名单功能

　　2)宽松模式下的白名单实现

　　在“默认放开所有端口，只关闭规则中的端口”安全策略模式下，端口保护规则选择为“所有IP一律拒绝”，则例外IP实质上与IP白名单功能相当。在例外IP处添加需要被允许访问的IP或者IP段，即可实现IP白名单的功能。

　　图15. 通过例外IP设置白名单功能

　　备注：同时，通过类似设置，在第二种安全策略模式(严格模式)下，也能够实现IP黑白名单功能。

　　2、禁止Ping服务器

　　通过端口保护规则设置，用户可以实现禁止ping服务器功能。

　　如果用户希望禁止ping服务器，可以在设置端口保护规则的时候，选择ICMP协议类型。直接使用系统默认，不需要填入端口

　　图16.端口保护规则ICMP协议选择

　　开启安全策略之后，用户有可能因为设置不当导致的问题解决方法：

　　图17. FTP端口设置

　　开启安全策略之后，用户有可能因为设置不当导致的问题举例如下：

　　FTP连接失败：FTP服务需要开启20、21两个端口，用户服务器如果有提供FTP服务，则应该在开启安全策略之前确认20、21两个端口的端口保护规则是否设置正确。

　　网站访问失败：提供网站访问，最基本的应该开启80端口，用户服务器如果有架构网站，则应该再开启安全策略之前确认80端口的端口保护规则是否设置正确。

　　如果用户在开启安全策略功能之后，遇到远程桌面登录失败或者部分服务被禁止，建议用户暂停安全策略功能，检查安全策略模式及端口保护规则设置，对被禁止服务相应的端口规则进行重新设置。