当前位置：首页 > 实用文档 > 其他范文> 教你认清网络特殊用途IP地址

教你认清网络特殊用途IP地址

时间：2022-12-05 08:04:01 其他范文收藏本文下载本文

教你认清网络特殊用途IP地址（精选8篇）由网友“hksale88a”投稿提供，下面小编为大家整理后的教你认清网络特殊用途IP地址，希望能帮助大家!

教你认清网络特殊用途IP地址

篇1：教你认清网络特殊用途IP地址

因特网是全球范围内的计算机联为一体而构成的通信网络的总称，在因特网上两台计算机间通信时，在他们所传送的数据包里都会包含某些附加信息，这些信息就像我们通过使用的电话号码一样，因特网上的每一台电脑都有一个自己的“电话号码”用来标示自己，这个“电话号码”就是网络IP地址，每个IP地址是由32位二进制数组而，而且在互联网的范围内该地址是唯一的，为了方便管理员布置内网，而预留下了一些特殊的IP地址，下面就让我们来看一下这些IP地址是做什么用的呢?有什么作用呢?

一、127.0.0.1

127是一个保留地址，该地址是指电脑本身，主要作用是预留下作为测试使用，用于网络软件测试以及本地机进程间通信。在Windows系统下，该地址还有一个别名叫 “localhost”，无论是哪个程序，一旦使用该地址发送数据，协议软件会立即返回，不进行任何网络传输，除非出错，包含该网络号的分组是不能够出现在任何网络上的。

二、10.*.*.*，172.16.*.*DD172.31.*.*，192.168.*.*

上面三个网段是私有地址，可以用于自己组网使用，这些地址主要用于企业内部网络中，但不能够在Internet网上使用，Internet网没有这些地址的路由，而使用这三个网段的计算机要上网必须要通过地址翻译(NAT)，将私有地址翻译成公用合法的IP地址。一些带宽路由器或是其它的网络设备，往往使用192.168.1.1作为缺省的地址，由于私有个人网络不会与外部互连，所以可以使用随意的IP地址，保留这三个网段的IP 地址使其使用，是为了避免以后接入公网时引起地址混乱。

三、0.0.0.0

严格意义上来说，0.0.0.0已经不是真正意义上的ip地址了，

它表示的是这样一个集合，所有不清楚的主机和目的网络。这里的不清楚是指在本机的路由表里没有特定条目指明如何到达。对本机来说，它就是一个收容所，所有不认识的三无人员，一律送进去。如果你在网络设置中设置了缺省网关，那么windows系统就会自动产生一个目的地址为0.0.0.0的缺省路由。

四、255.255.255.255

受限制的广播地址，对本机来说，这个地址指本网段内(同一个广播域)的所有主机，该地址用于主机配置过程中IP数据包的目的地址，这时主机可能还不知道它所在网络的网络掩码，甚至连它的IP地址也还不知道。在任何情况下，路由器都会禁止转发目的地址为受限的广播地址的数据包，这样的数据包仅会出现在本地网络中。

五、224.0.0.0―239.255.255.255

这是一组组播地址，需要注意它与广播地址的区别，其中224.0.0.1特指所有的主机，224.0.0.2特指所有的路由器，224.0.0.5指所有的OSPF路由器地址，224.0.0.13指PIMV2路由器的地址。另外从224.0.0.0DD224.0.0.255只能用于局域网中路由器是不会转发的，239.0.0.0DD239.255.255.255是私有地址(与192.168. *.*功能一样)，224.0.1.0―238.255.255.255可以用于Internet上。如果你的主机开启了IRDp(Internet路由发现协议，使用组播功能)功能，那么你的主机路由表中应该会有这样的一条路由。

六、169.254.*.*

如果你的主机使用了DHCP功能自动获得一个ip地址，那么当你的DHCP服务器发生故障或响应时间太长而超出系统规定的一个时间，windows系统会为你分配这样一个地址。如果你发现你的主机ip地址是个诸如此类的地址，很不幸，十有八九是你的网络不能正常运行了。

篇2：特殊的IP地址介绍

网络里的每台电脑(更确切地说，是每一个设备的网络接口)都有一个ip地址用于标示自己，我们可能都知道这些地址由四个字节组成，用点分十进制表示以及它们的a，b，c分类等，然而，在总数大约为四十多亿个可用ip地址里，你知道下面一些常见的有特殊意义地址吗？我们一起来看看吧：

一、0.0.0.0

严格说来，0.0.0.0已经不是一个真正意义上的ip地址了。它表示的是这样一个集合：所有不清楚的主机和目的网络。这里的“不清楚”是指在本机的路由表里没有特定条目指明如何到达。对本机来说，它就是一个“收容所”，所有不认识的“三无”人员，一律送进去。如果你在网络设置中设置了缺省网关，那么 windows系统会自动产生一个目的地址为0.0.0.0的缺省路由。

二、255.255.255.255

限制广播地址。对本机来说，这个地址指本网段内(同一广播域)的所有主机。如果翻译成人类的语言，应该是这样：“这个房间里的所有人都注意了！”这个地址不能被路由器转发。

三、127.0.0.1

本机地址，主要用于测试。用汉语表示，就是“我自己”。在windows系统中，这个地址有一个别名“localhost”。寻址这样一个地址，是不能把它发到网络接口的，

除非出错，否则在传输介质上永远不应该出现目的地址为“127.0.0.1”的数据包。

四、224.0.0.1

组播地址，注意它和广播的区别。从224.0.0.0到239.255.255.255都是这样的地址。224.0.0.1特指所有主机， 224.0.0.2特指所有路由器。这样的地址多用于一些特定的程序以及多媒体程序。如果你的主机开启了irdp(internet路由发现协议，使用组播功能)功能，那么你的主机路由表中应该有这样一条路由。

五、169.254.x.x

如果你的主机使用了dhcp功能自动获得一个ip地址，那么当你的dhcp服务器发生故障，或响应时间太长而超出了一个系统规定的时间，wingdows系统会为你分配这样一个地址。如果你发现你的主机ip地址是一个诸如此类的地址，很不幸，十有八九是你的网络不能正常运行了。

六、10.x.x.x、172.16。x。x～172.31。x。x、192.168。x。x

私有地址，这些地址被大量用于企业内部网络中。一些宽带路由器，也往往使用192.168.1.1作为缺省地址。私有网络由于不与外部互连，因而可能使用随意的ip地址。保留这样的地址供其使用是为了避免以后接入公网时引起地址混乱。使用私有地址的私有网络在接入internet时，要使用地址翻译 (nat)，将私有地址翻译成公用合法地址。在internet上，这类地址是不能出现的。

对一台网络上的主机来说，它可以正常接收的合法目的网络地址有三种：本机的ip地址、广播地址以及组播地址。

来自中国协议分析网

篇3：如何查看电脑网络ip地址

有很多网友不知道怎么查看自己电脑的IP地址，在这里给大家分享几种简单的小技巧。

步骤

1、第一种：点击你的电脑桌面左下角的“开始”找到“运行”点击运行，在出现的对话框里面输入“cmd” 点击确定然后就会出现一个黑色的命令行窗口，你会看到“>” 后面有一个光标在闪动，输入ipconfig然后按下回车键，会出现一串数据，红色区域就是自己电脑的IP了。

是不是很简单呢。

2、第二种：打开我的电脑，找到控制面板，在控制面板中找到网络连接，选中本地连接，看到在左下方显示了本机IP了。

1.电脑如何查看ip地址

2.如何查看电脑上的ip地址

3.如何查看电脑ip地址

4.电脑上如何查看ip地址

5.如何查看本电脑ip地址

6.win10如何查看电脑的ip地址

7.怎么查看自己电脑的ip地址

8.苹果电脑怎么查看本机IP与MAC地址

9.windows查看ip地址快捷方法

10.本机ip地址怎么查看

篇4：特殊条件下的IP地址欺骗

Submitted by云舒

摘要：IP欺骗是个非常困难的事情，传说中也只有凯文米特尼克曾经成功的实现过，不过这个一般人是可望不可即的，但是在特殊条件下，我们则可以比较简单的实现IP欺骗，并利用这个来做一点点事情，比如入侵有IP地址限制的系统。

举个例子来说，某人已经渗透进入了一个网络，并且在1.2.3.1上面通过ARP欺骗嗅探到了1.2.3.4/admin的密码。但是这个系统对登录的源IP地址有限制，至允许来自1.2.3.250的登录，

有密码却登录不进去，该如何继续？目前来说，至少有两种办法，最容易想到的是渗透1.2.3.250得到控制权限再登陆或者直接尝试渗透1.2.3.4。另外一种，自然就是IP地址欺骗了。因为是在一个C类网络中，IP地址欺骗实现起来就非常的容易了。

IP欺骗最困难的是对TCP序列号的预测，其次是禁止目标主机的响应。这两个问题在互联网上实施IP欺骗时的解决办法是蒙和DDoS攻击。但是在同一个C类时则不需要这么暴力，只需要温柔的ARP欺骗即可。简单的说，以下几个步骤：

在1.2.3.4和1.2.3.250之间实施ARP欺骗，嗅探并拦截他们之间的所有流量。

在1.2.3.1上面伪装成1.2.3.250向1.2.3.4发送SYN包。

根据嗅探得到的TCP序列号，继续伪装返回ACK包，依此完成三次握手。

握手完成后继续下面的POST包等操作完成登陆。

篇5：如何检测网络中的重复IP地址?

重复IP地址可能会给网络管理员带来很多麻烦，如何检测出网络中的重复IP地址？如果网络中有路由器，还能检测到重复IP地址吗？答案是可以，通过一些方法比如发送ARP数据包到该IP地址，可以检测出重复IP地址。

首先，我们要知道哪些情况会导致IP地址冲突。一旦网络上的两台设备被分配相同的IP地址，就会发生IP地址冲突，它会导致其中一台甚至是两台设备都被禁用或失去连接。IP地址冲突通常是因为配置错误，比如网络管理员分配相同的静态IP地址、在DHCP范围（动态范围）内分配静态IP地址导致本地DHCP服务器自动分配相同地址、DHCP服务器中的错误，或者是在待机或休眠模式延长时间后，系统重新回到网络，重新分配IP地址，并在网络上使用，

那么，如何检测网络中是否有重复IP地址呢？社区成员Sudhanshu建议发送ARP数据包到该IP地址来检测重复IP地址。所有具有相同IP地址的机器都会恢复到MAC地址。如果你正在使用某个安全解决方案，他建议阻止这些MAC地址。如果你在使用工具来管理资产，你还可以使用它们来检测哪些用户具有重复IP.Sudhanshu表示，Nmap就是一个很实用的网络扫描工具，可以使用Nmap在本地子网进行ARP扫描。

另一社区成员BlankReg表示，如果使用的是思科路由器，你会发现当它连接到网络，或者当IP地址变化时，该路由器会为自己的IP地址发送ARP,这样能帮助检测重复IP地址。

根据微软支持网站的信息显示，所有微软TCP/IP协议在大多数情况下都可以检测重复IP地址。

篇6：网络管理：IP地址分配和设置方法

众所周知，在电话通讯中，电话用户是靠电话号码来识别的，同样，在网络中为了区别不同的计算机，也需要给计算机指定一个号码，这个号码就是“IP地址”。

什么是IP地址

所谓IP地址就是给每个连接在Internet上的主机分配的一个32bit地址。

按照TCP/IP（Transport Control Protocol/Internet Protocol，传输控制协议/Internet协议）协议规定，IP地址用二进制来表示，每个IP地址长32bit，比特换算成字节，就是4个字节。例如一个采用二进制形式的IP地址是“00001010000000000000000000000001”，这么长的地址，人们处理起来也太费劲了。为了方便人们的使用，IP地址经常被写成十进制的形式，中间使用符号“.”分开不同的字节。于是，上面的IP地址可以表示为“10.0.0.1”。IP地址的这种表示法叫做“点分十进制表示法”，这显然比1和0容易记忆得多。

有人会以为，一台计算机只能有一个IP地址，这种观点是错误的。我们可以指定一台计算机具有多个IP地址，因此在访问互联网时，不要以为一个IP地址就是一台计算机；另外，通过特定的技术，也可以使多台服务器共用一个IP地址，这些服务器在用户看起来就像一台主机似的。

如何分配IP地址

TCP/IP协议需要针对不同的网络进行不同的设置，且每个节点一般需要一个“IP地址”、一个“子网掩码”、一个“默认网关”。不过，可以通过动态主机配置协议（DHCP），给客户端自动分配一个IP地址，避免了出错，也简化了TCP/IP协议的设置。

那么，局域网怎么分配IP地址呢？互联网上的IP地址统一由一个叫“IANA”（Internet Assigned Numbers Authority，互联网网络号分配机构）的组织来管理，

附表：局域网使用的ip地址范围

由于分配不合理以及IPv4协议本身存在的局限，现在互联网的IP地址资源越来越紧张，为了解决这一问题，IANA将A、B、C类IP地址的一部分保留下来，留作局域网使用的IP地址空间，保留IP的范围如附表所示。

保留的IP地址段不会在互联网上使用，因此与广域网相连的路由器在处理保留IP地址时，只是将该数据包丢弃处理，而不会路由到广域网上去，从而将保留IP地址产生的数据隔离在局域网内部。

在局域网内计算机数量少于254台的情况下，一般在C类IP地址段里选择IP地址范围就可以了，如从“192.168.1.1”到“192.168.1. 254”。

如何设置IP地址

那么如何来设置IP地址呢？以Windows Server为例，在桌面的“网上邻居”上右击，在弹出的菜单中点击“属性”，出现“网络和拨号连接”窗口，在“本地连接”上右击，在弹出的菜单中点击“属性”，出现“本地连接属性”窗口（请见附图），双击“Internet协议（TCP/IP）”，出现“Internet协议（TCP/IP）属性”窗口，在“使用下面的IP地址”中输入IP地址，此处我们输入“192.168.12.145”，子网掩码是“255.255.255.0”。

篇7：看高手教你如何用命令行更改IP地址

在Windows中，如果你要设置IP地址，一般是进入“本地连接”->“属性”，手动设置要更改的IP地址，其实，在命令行同样可以设置IP地址。如果你的IP需要在几个IP中来回切换，可以使用 netsh 命令更改：

1.进入CMD命令行；

点击“开始”->“运行”，输入“cmd”,回车，

2.设置IP：

设置动态获取IP地址（DHCP）

设置固定IP

参数说明：

1.name：网络连接名称，一般为“本地连接”。你可以在“控制面板”->“网络连接”中看到。

2.source：获取IP的途径。动态获取，则为dhcp，手动设置，则为static。

3.addr：要设置的IP地址。

4.mask：子网掩码。

5.gateway：网关地址。

6.gwmetric：网关跃点数，可以设置为整型数值，也可以设置为“自动”：auto。

3.设置DNS：

自动获取DNS

手动设置单个DNS

手动设置多个DNS

参数说明：

1.name：网络连接名称，一般为“本地连接”，

你可以在“控制面板”->“网络连接”中看到。

2.source：获取IP的途径。动态获取，则为dhcp，手动设置，则为static。

3.addr：要设置的IP地址。

4.register：

5.none: 禁用动态 DNS 注册。

6.primary: 只在主 DNS 后缀下注册。

7.both: 在主 DNS 后缀下注册，也在特定连接后缀下注册。

8.index：设置的DNS的顺序号。

4.编写设置IP/DNS的批处理文件：

知道了如何设置IP和DNS后，你可以自己编写一个BAT文件：

新建一个文本文档，将后缀改为“.bat”；

编辑“.bat”文件的内容为上面的设置命令。例如：

运行时，双击这个bat文件，等待设置完成即可。

关于netsh命令的详细使用说明，可以在命令行，输入 netsh /? 命令查看，这里就不做说明了，希望能对你有用。

篇8：教你如何使用IP过滤轻松管理网络

在小型的办公室或家庭的局域网中，很大一部分是通过ADSLModem来共享上网的，在局域网的日常的管理中，出于保密或安全性等其他方面的需要，管理员对不同的用户可能有不同的要求与限制，例如某个部门的用户在上班时间就只允许他们能够收发E-mail，而限制他们浏览WEB站点和下载软件；对另外的一些用户，可能就要开放浏览WEB站点的权限等等不同的要求，还有，出于安全的需要，对连接上因特网的电脑，我们很多时候只需要进行“单边访问”，即只让内网的机器访问因特网，而不希望因特网中的机器访问内网。其实，要实现

这些功能并不需要复杂的设置与昂贵的配件设备，使用ADSLModem内置的IP过滤功能就能轻松完成。其实，IP过滤的设置并不复杂，只需要了解其中各个参数的具体含义，再结合自身的需求加以设置就行了。为了使大家能够更好地了解与使用好IP过滤功能，下面，笔者就以市面上常见的采用Globean的芯片的ADSLModem为例来具体说明IP过滤功能的详细设置及应用，并对设置页面中的各个参数都作了详细的解释与说明，还在此基础上列举几个了具体的应用实例。

一、IP过滤能干什么

所谓IP过滤，实际上就是允许你建立一套规则，以便在你的内部局域网和因特网之间以及内部局域网之间控制流入和流出数据的转发。它能允许你控制因特网和内部局域网之间将要通过的数据类型，能阻挡局域网内的某些计算机访问某类未授权的数据和私自访问因特网资源的企图，也能够阻挡外部发起的访问内部局域网的计算机。当你定义了一个IP过滤规则并开启了它的功能的话，就指定ADSLModem检查每个数据包，检测它们是否符合在规则中的设定。这个设定包括网络或正在传送包的internet协议，数据传送的方向（如从局域网到因特网或从因特网到局域网），源计算机的IP地址，目的计算机IP地址和其他特有的数据包。如果数据包符合在IP规则中指定的设定，依靠在规则中指定的行为，则数据包能够被接受（继续转发到它的目的站点）或者被拒绝（丢弃掉）。

可以创建IP过滤规则来限制你局域网上的某些计算机访问某种类型数据或某些互联网站点，你还能限制由外面进行访问你局域网上的计算机的行为。

二、查看IP过滤设置

在浏览器的地址栏中键入9.68..，输入用户名和密码后，可以点击“服务”标签，然后在任务栏中点击“IPFilter”（IP过滤）。在IP过滤设置页上有可以修改的“全局设置”，在“IP过滤规则表”中是所有当前已经制定的规则，通过点击最右边的操作栏中的三种图标来编辑（）、删除（）和查看（）相应规则，在运行状态栏中，红色表示此条规则没有被运行，绿色则代表规则已应用。在此页面中我们可以通过下方的“添加”按钮添加各种不同的IP过滤规则。如下图一所示

图：IP过滤页面

三、设置全局参数

在IP过滤设置页，共分为上下两栏，上栏四项为IP过滤的全局设置参数，在下栏的IP过滤规则表中是所有当前已经制定的规则。如下图二所示。下面对全局设置中的各个参数给大家解释一下。

图：全局设置

全局设置页面参数的四个选项分别是安全等级、PrivateDefaultAction、PublicDefaultAction和DMZDefaultAction，每个各下拉菜单中的具体选项含义如下：

安全等级：

用来设定哪一种安全级别的IP过滤规则有效，它是每条规则指定安全等级的基础。例如：当High级别被选择，则仅仅安全级别为高的规则有效，对于选择Medium和Low设置也相应一样，如None被选择，IP过滤将被禁止。

Private/Public/DMZDefaultAction：

用来设定Private/Public/DMZ三种类别接口的缺省行为（允许/拒绝），这个设置指定一个默认的动作，当ADSL接口接收到不符合过滤规则的数据包时在Private、Public或DMZ型设备接口上执行（接受或拒绝）这个默认的动作。你可以为每个接口类型指定一个不同的默认动作,这三种接口类型可以在创建接口（如接口等）时被设定。

（）Public接口一般用于连接到因特网。、EoA和IPoA一般都是Public接口。在Public接口上被收到的数据包将受到防火墙最严格的限制。典型的像，除了在其他IP过滤规则中被允许的规则，其他所有从外网发起的访问内网（你的局域网）的请求都将被拒绝（被Public接口丢弃）。一般在Public接口上的总的设置为“拒绝”，这样所有从外网的计算机发出到你局域网上的访问都被拒绝（在Public接口上丢弃它的数据包），除非那些符合指定IP过滤规则的访问才接受。

（）Private接口用于连接你的局域网（Modem的以太口），在Private接口上收到的数据包几乎不受到防火墙限制，因为数据方向都是在你的局域网里。典型的，由内网发起的访问Internet的请求都是被允许的。一般在私用接口上的总的设置为“接受”，这样局域网上的计算机才能访问ADSL连接的互联网。

（）DMZ（非军事区）涉及到公网用户访问内网服务器（虚拟服务器）的问题，默认这种访问是被禁止的。计算机在访问因特网上时它可以访问公网和内网的信息（例如一台局域网中的公用服务器），输入DMZ接口不管是局域网内的还是外面送来的数据包受到防火墙保护设置的限制介于Public和Private接口的限制之间。在DMZ接口的总的设置可能是“拒绝”，管理员可能在当时配置IP过滤规则时允许某些类型的访问。[page]

四、添加IP过滤规则

看了上面这么多关于IP过滤的介绍，不知大家有没有心烦，不过前面的都是基础知识，有了对IP过滤的初步认识后，现在我们就要开始添加一条新的IP过滤规则了，则点击“添加”按钮，马上就进入到IP过滤规则的添加页面。如下图三所示。

图：添加一条IP过滤规则

这个页面可有些复杂了，满？阂淮笃聊坏牟问？需要选择与填写，不过也不用怕，我们慢慢来把各项参数搞明白，那就接着往下看吧。

●RuleID：规则的序号，每一个规则必须指定一个有顺序的ID号，最小序号最先执行，直到找到相符的规则为止。建议填5或0的倍数（例如：0，0，0），以方便如果在有必要时再在两条规则间添加新的规则。

●Action：指当数据包与规则的标准相符合时规则将要如何处理它，即是选择接受（发送数据包至目的地）或拒绝（放弃数据包）。

●方向：指规则是否应用到经过接口上的进入或输出的数据包上。Incoming参考进入局域网的数据包。Outgoing参考局域网接口的数据包。在接口上进入的数据包进入你的局域网，而输出的数据包则从你的局域网输出。你可以使用规则来指定在进入方向上限制外网的计算机来访问你的局域网。

●接口：对于规则生效的设备接口，如ALL/-0等。

●In接口：数据包被传送到被选择的接口，如ALL/-0等。这个选项只有在规则指定输出方向才生效。

●LogOption：在规则生效时是否建立历史纪录。当选择了Enabled，在系统上这条规则每次被调用都将会创建一条记录，历史纪录条目包括有违反时间、造成违反的源计算机IP地址、目标计算机IP地址、使用的协议、源和目标端口和违反在前多少分钟时发生（日志有助于发现和解决问题）。这个信息也可以用电子邮件发送给指定的管理员。

●安全等级：有高/中/低三个级别。:安全等级一定要适合总规则，只有规则的安全等级与总规则的安全等级配置设定相一致时这条规则才起作用（出现在主IP过滤页上）。例如，如果规则设为中等级别而且总的防火墙等级也设为中等级别时，那么这条规则将起作用，

●BlacklistStatus：确定是否将违反规则操作的计算机加到黑名单。

●LogTag：历史纪录的标签。在历史纪录中数据包违反规则的事件的最多可为6个字符的记录描述，如果你要设定历史纪录标签，请确定己将“LogOption”选项设为Enable。

●开始/EndTime：规则生效的时间范围。

●源IP地址：发送源数据包的计算机IP地址，在下拉菜单中，可以选择的规则包括：

①Any：所有的源IP地址。

②It：任何在数值上小于特定地址的源IP地址。

③Lteq：任何在数值上小于或等于特定地址的源IP地址。

④Gt：任何在数值上大于特定地址的源IP地址。

⑤Eq：任何在数值上等于特定地址的源IP地址。

⑥Neq：任何在数值上不等于特定地址的源IP地址。

⑦Range：任何在数值上确定范围内的源IP地址。

⑧outofrange：任何在数值上超出确定范围的源IP地址。

⑨self：对于这项规则生效的ADSL/以太网路由接口的IP地址。[page]

●目的IP地址：目标计算机的IP地址（即是数据包要发送到的计算机的IP地址），在源IP地址框中选项描述和以下选项均可选用，除了源IP地址描述的规则外还包括：

Bcast：确定规则将对于任何被送到接收接口的广播地址的数据包激活（使用广播地址把数据包发送到所有在你局域网上的主机或者连接到指定接口的子网络）。当你选择了此项时，你不必指定它的地址，此时地址框变为灰色不可用。

●协议：对于规则必须符合的协议，如TCP/UDP/ICMP等。你可以指定发送的数据包一定要包含选定的协议、不一定要包含选定的协议或者调用规则不用理会协议，通常使用的协议有TCP、UDP和ICMP，还有其它由IANA（InternetAignedNumbersAuthority 互联网号码分配权威组织）定义的从0到55的识别号码。

●保存状态：存储状态。如果使用此项，那么在特定接口上使用IP协议期间将执行过滤状态并且规则也应用在其它方向。

●源端口：数据包来源的计算机的标准端口，这个框交将是灰色（无法输入），除非你已经选择了TCP或UDP协议，选择此项时可参照源IP地址中的描述。

●目标端口：目的计算机的标准端口（即是数据包将要发送到的那一类型计算机的端口号），这个框交将是灰色（无法输入），除非你已经选择了TCP或UDP协议，选择此项时可参照源IP地址中的描述。

●TCPFlag：确定规则是否适用于同步（SYN）标记的TCP数据包/非同步（NOT-SYN）标记的数据包或是所有TCP数据包，这个框是灰色（无法输入）的，除非你已经选择TCP作为它的协议。

●ICMPType：确定ICMP数据包报头在等于/不等于或是所用的ICMP数据包内被激活。指是否将ICMP类型框中的ICMP数据包头部的数值用作一个标准值。这个号码值可能是一些从0－55的十进制号码，你可以规定ICMP值一定要符合或不符合那个在刚才指定的数值，或者你可以在所有的ICMP数据包中选择一些可以调用规则的。这个框是灰色（无法输入）的，除非你已经选择ICMP作为它的协议。

●ICMPCode：确定ICMP数据包的数据值。指是否将ICMP号码框中的ICMP数据包头部的数值用作一个标准值。这个号码值可能是一些从0－55的十进制号码，你可以规定ICMP值一定要符合或不符合那个在刚才指定的数值，或者你可以在所有的ICMP数据包中选择一些可以调用规则的。这个框是灰色（无法输入）的除非你已经选择ICMP作为它的协议。

●IPFragPkt：确定规则是用于包含/不包含或是忽略包含碎片的IP数据包。你可以从以下选项中选择一个：

Yes：仅在IP数据包含有碎片时规则仍可调用。

No：仅在IP数据不包含有碎片规则可调用。

Ignore：（默认）不管IP数据包是否含有碎片时规则都可调用，只要求它们符合其他标准就行。

●IPOptionPkt：确定规则是用于包含/不包含或是忽略数据包报头的IP数据包。你可以从以下选项中选择一个：

Yes：仅在数据包含有头部选项时规则才可以调用。

No：仅在数据包不含有头部选项时规则才可以调用。

Ignore：（默认）不管IP数据包是否含有头部选项规则都可调用，只要求它们符合其他标准就行。

●PacketSize：确定规则是否在某个数据包的文件字节大小范围内生效。（lt为少于，gt为大于，lteg为不大于，等等，参照“源IP地址”中的设置。）

●TODRuleStatus（TechnicalObjectiveDocuments）：确定规则是否在特定的时间范围内生效。如果选择“启用”（默认的选择），则在指定的时间内规则是可用的。如果选择“禁用”，则在规定的时间内规则是不可用的，但在其它时间规则是可用的。

五、应用举例

、限制部分计算机访问WEB网站

例如，如果我们要限制内部网络IP地址为9.68..5---9.68..0的计算机访问WEB网站，则可以添加一个如下图四所示的IP过滤规则。填入一个IP规则号如5，在Action中选“Deny”，在方向中选“Outgoing”，接口选“ALL”，IN接口选“ALL”，LogOption选“Disable”，安全等级选“Medium”，BlacklistStatus选“Disable”，LogTag中不用填写，在开始时间和EndTime中分别填入00：00：00与：59：59，源IP地址中选“range”，并填入开始和结束的IP地址，目标IP地址中选“any”，协议中选“eq”和“TCP”，把保存状态勾选上，源端口中选“any”，目标端口中选“eq”，并在下拉列表中选择“HTTP（80）”，TCPFlag中选“ALL”，其他的选项都选择默认值就行了。再提交，一切OK。

图：限制部分计算机访问WEB网站

、只允许部分计算机访问WEB网站

如果我们只允许内部网络IP地址为9.68..0---9.68..0的计算机访问WEB网站，则可以添加一个如下图五所示的IP过滤规则。填入一个IP规则号如5，在源IP地址中选“outofrange”，并填入开始和结束的IP地址，其他的选项如同上例一样。再提交。

图5：只允许部分计算机访问WEB网站[page]

、限制部分计算机收发E_Mail

如果我们只允许内部网络IP地址为9.68..0---9.68..0的计算机收发E_Mail，则可以添加一个如下图六所示的IP过滤规则。填入一个IP规则号如5，基本设置跟例一差不多，只要在源IP地址中选“range”，并填入开始和结束的IP地址，目标端口中选“range”，并在每一个下拉列表中选择“SMTP（5）”，在第二个下拉列表中选择“POP（0）”，其他的选项都跟前两例描述的一样或选择默认值就行了。然后再提交。

图6：限制部分计算机收发E_Mail

以上三例IP添加设置好后，点击提交，回到下图七所示面的页面。

图7：设置好全局参数

再设置好全局参数，安全等级：选择Medium。PublicDefaultAction：选择Accept。PrivateDefaultAction：选择Accept。DMZDefaultAction：选择Deny。点击提交，完成设置。如果规则的安全等级符合全局设置设定的安全等级，那么在此规则的状态栏是将出现一个绿色的小球，标志此规则现在已经生效了，当规则失效或者它的安全超级安全级别与总的配置设定的安全等级不同时将是显示为一个红球。

★ 教你蓝牙3.0和4.0的区别

★ 巧妙电脑安全设置，防止网上安全“骚扰”

★ 有关后门的知识详解武林安全网

★ 教你通过网络接入控制维护企业网络的安全

★ qq端口号