需通过路由器后台配置访问控制策略:一、Web界面IP段ACL;二、Win10防火墙出/入站规则;三、DHCP静态分配+MAC绑定;四、应用识别+QoS联动。
如果您在Windows 10系统中使用TP-LINK ER5系列等商用路由器,需对内部终端或外部访问实施精细化流量管控,则需通过路由器后台配置访问控制策略。以下是多种可独立实施的设置方法:
一、基于路由器Web界面配置IP地址段访问控制
该方法适用于ER5等支持ACL(访问控制列表)的商用路由器,通过源/目的IP+子网掩码组合定义允许或拒绝的通信流,策略具有方向性,需同时考虑请求与响应路径。
1、使用Win10电脑通过网线连接路由器LAN口,确保能访问路由器管理界面(如192.168.1.1)。
2、登录路由器Web管理后台,进入“安全设置”或“访问控制”模块(部分型号位于“防火墙”→“访问控制策略”)。
3、点击“新增规则”,将“默认策略”设为“允许”,即未匹配规则的流量默认放行。
4、添加一条新策略:在“源地址”栏输入需限制的终端IP段,例如单个主机填写192.168.10.5/32;若限制整个子网,填写192.168.10.0/24(需换算为标准CIDR格式)。
5、在“目的地址”栏填写目标服务地址,如外网服务器IP或内网某台NAS的IP,同样采用“IP/掩码”格式,例如203.208.60.0/24。
6、选择协议类型(TCP/UDP/ICMP/任意),指定端口范围(如仅限HTTP的80端口),并设定动作为“拒绝”。
7、启用该规则,保存并重启防火墙策略生效。
二、利用Windows Defender防火墙创建出站入站规则实现本地级访问控制
该方法不依赖路由器功能,直接在Win10系统层面拦截特定程序的网络行为,适用于无法修改路由器权限或需细化到进程粒度的场景。
1、按下Win + R,输入wf.msc,回车打开“高级安全Windows Defender防火墙”。
2、在左窗格点击“入站规则”,右侧点击“新建规则…”启动向导。
3、选择“端口”,点击“下一步”,选择“TCP”或“UDP”,在“特定本地端口”中填入需封锁的服务端口,例如3389(远程桌面)。
4、选择“阻止连接”,点击“下一步”,勾选全部网络类型(域、专用、公用)。
5、为规则命名,如“阻止外部访问3389端口”,完成创建。
6、重复上述步骤,在“出站规则”中新建规则,限制某软件(如QQ.exe)仅允许访问特定IP段,路径选择“此程序路径”,目标IP填写119.147.0.0/16等腾讯服务器网段。
三、结合路由器DHCP静态地址分配与MAC绑定实施设备级访问控制
该方法通过将IP地址与物理设备唯一绑定,并配合访问控制策略,实现对特定终端的精准放行或阻断,避免IP变动导致策略失效。
1、登录路由器管理界面,进入“DHCP服务器”→“静态地址分配”或“地址保留”页面。
2、点击“新增”,输入目标设备的MAC地址(可在Win10中执行ipconfig /all查看“物理地址”)。
3、为其分配固定IP,如192.168.1.100,并启用该条目。
4、返回“访问控制”页面,新建策略:源地址设为192.168.1.100/32,目的地址设为0.0.0.0/0(表示所有地址),动作设为“拒绝”。
5、保存策略后,该设备将无法访问任何网络资源,包括互联网与局域网其他主机。
四、通过路由器应用识别与QoS策略联动实施协议级访问控制
部分高端路由器支持深度包检测(DPI),可识别微信、迅雷、P2P等应用协议,结合带宽限速或阻断动作,实现非IP粒度的访问控制。
1、登录路由器后台,进入“QoS设置”或“应用控制”模块(ER5系列位于“流量管理”→“应用控制”)。
2、启用“应用识别”功能,确保引擎已更新至最新特征库。
3、点击“新增应用控制策略”,选择目标终端IP或IP段(如192.168.1.50/32)。
4、在“应用类型”中勾选需限制的应用,例如BT下载、迅雷、eMule等P2P类协议。
5、设定动作为“禁止”,并确认策略启用状态。
6、保存后,该终端发起的对应协议流量将被路由器直接丢弃,且不影响其浏览网页或收发邮件等其他业务。
