很多黑客攻擊、DDoS攻擊都來源于國外，所以對于大部分局域網來說，屏蔽國外IP就可以減少百分之九十的網絡安全風險。在本文中，我將介紹如何用WSG上網行為管理來屏蔽境外IP地址。

防火墻規則的配置

要實現禁止國外IP的訪問，我們需要配置兩條防火墻規則，一條是允許國內IP地址，一條是屏蔽所有IP。請注意：防火墻規則的匹配是按順序進行的，這樣的效果就是國內IP匹配第一條規則被放行，其他IP都匹配第二條規則被禁止。如圖：

有一點要注意的就是防火墻的區域方向，要過濾外網的訪問，那么區域就要選擇“外網”，到內網端口映射服務器的訪問走的是“轉發”方向。所以防火墻規則要這樣來設置，以第一條為例，如下圖：

源IP選擇”自定義“，然后點擊”編輯“，可以輸入自定義的IP范圍和域名，也可以選擇國家地區。在本例中，我們選擇的是指定國家地區（China），這樣的效果就是只有來源中國的訪問才會被允許。如下圖：

另外一條規則是屏蔽所有，如圖：

通過上述的兩條規則配合使用，就可以實現只允許國內IP，并且禁止所有外網IP，屏蔽境外IP訪問公司局域網的功能，從而杜絕來自國外的網絡攻擊，提升公司局域網網絡安全指數。