2.1 防火墙的作用

防火墙功能可以设定防火墙的输入输出规则，利用这些设定可以防止一些恶意的网络存取，或限制内部使用者存取外部网络的一些资源，提高安全性。

2.2 防火墙的配置

防火墙功能 web 整体页面布局

防火墙功能配置的详细描述
                                     
                                         防火墙
 通过此页面可以设定是否启用输入，输出防火墙，这个功能支持两种规则：

 输入规则和输出规则。每条规则都将分配一个序号，最大允许每种规则各设定10条。

 考虑到防火墙设定的复杂性，下面将以一个实例来进行说明：

    字段名称                             说明

   开启输入规则                          表示启用输入规则应用。

   开启输出规则                          表示启用输出规则应用。

   输入/输出                               为选择当前添加规则是输入还是输出规则；

   禁止/允许                               为选择当前规则配置是禁止还是允许；

   协议类型                                 过滤的协议类型，共有四种：TCP，UDP，ICMP，IP。

   过滤端口范围                          过滤的端口范围

   源地址                                    为源地址。源地址可以是主机地址、网络地址，也可以是全部地址0.0.0.0；也可以是类似*.*.*.0的网络地址，
                                                  如：192.168.1.0。

   目的地址                                 为目的地址，目的地址可以是具体IP地址，也可以是全部地址0.0.0.0；也可以是类似*.*.*.0的网络地址，如：192.168.1.0。

   源子网掩码                              为源地址掩码，当配置为255.255.255.255时即说明是具体主机，当设置为255.255.255.0类型的子网掩码时，
                                                  说明过滤的是一个网段；

   目的子网掩码                          为目的地址掩码，当配置为255.255.255.255时即说明是具体主机，当设置为255.255.255.0类型的子网掩码时，
                                                  说明过滤的是一个网段；

本话机IP：192.168.1.114

      当设定好后点击【新增】，会在防火墙输出规则里新增一项，如下图所示：

       然后选择开启输出规则，并点击按钮【提交】。

操作步骤及现象：

      1. 当话机(192.168.1.114)运行：ping 192.168.1.118，就会因为输出规则的禁止而无法发送数据包到192.168.1.118。

      2. 话机(192.168.1.114)运行：ping 192.168.1.0 ~ 192.168.1.255网段的其它IP也无法发出ICMP数据包。

      3. 设备(192.168.1.118)运行：ping 192.168.1.114，抓包可以看到(192.168.1.118)发出了ICMP数据包，(192.168.1.114)可以收到数据包，但是因为禁止输出规则导致(192.168.1.114)没有回复。