pa-510是否可以在内网之间禁掉除开放的全部端口

babiwawa

比如说我的IP 是192.168.5.1，我只允许我的电脑访问服务器的某几个端口，剩下的全部封掉，可以做到吗？


我觉得应该是如下图这样设置的，但是不成功，测试时还是可以远程桌面到服务器，远程桌面的端口是默认的3389，没改过

简简单单

不是可以根据端口进行阻断吗，可以加qq群549848215,一起交流一下

sking9988

可以    在策略管理做两条规则
先做允许访问的端口为一条规则
在做一条阻断所有的规则

babiwawa

sking9988 发表于 2017-5-22 17:57
可以    在策略管理做两条规则
先做允许访问的端口为一条规则
在做一条阻断所有的规则

老大，我是这样做的，截图上有，开了前几个端口，后面一条阻断了所有，但是没生效。

jjwangzy

理论上数据包发出去，如果目标地址是同一个局域网，在二层交换机内就解决了，不会传输到三层的设备上，即使PA作网桥，应该也不会由它来处理数据，所以我不认为PA可以作到封内网之间的端口访问，至少要作成VLAN才能有效控制数据包传输。

liliangkuba

如果你的pa是网桥模式放在防火墙和交换机之间，做不到
如果你的pa是路由模式放在局域网最外层切下面还有交换机，做不到
如果你的pa是路由模式切服务器和电脑都接在pa上，可以
明白什么意思不？
自己分析一下内网数据在哪交换的，不在pa里面交换就做不到。你举的例子有一个很简单的解决办法，在服务器上启用防火墙。设置只有某个ip可以访问服务器的特定端口即可