Vigor 路由器如何只允许中国 IP 访问内网 CRM 系统?

配置文档

防火墙功能 - IP过滤器设置手册

技术支持

Vigor 路由器如何只允许中国 IP 访问内网 CRM 系统?

文章摘要

当企业需要将内网 CRM、ERP、OA 等 Web 系统对外开放时,公网访问会带来端口扫描、弱口令爆破、漏洞探测和勒索病毒入侵风险。Vigor 路由器可以通过“国家对象 + 服务对象 + IP 对象 + 防火墙过滤规则”的方式,实现只允许中国 IP 访问指定内网服务器。本文以 CRM 系统 192.168.1.10:80 为例,介绍如何使用 Vigor 防火墙国家策略,只允许中国大陆 IP 访问内网 CRM 系统,并屏蔽其他国家或地区的访问请求。

适用场景

很多企业会将 CRM 系统部署在公司内网,例如:

CRM 服务器 IP:192.168.1.10
服务端口:TCP 80

为了方便外部员工、分支机构或合作伙伴访问,企业可能会通过端口映射、公网 IP、DDNS 或反向代理等方式,让该 CRM 系统可以从互联网访问。

但只要系统暴露在互联网上,就可能被自动化扫描工具发现。攻击者通常会先扫描开放端口,再尝试漏洞利用、弱口令登录或 Web 攻击。如果企业的 CRM 系统实际只需要国内用户访问,就没有必要让全球 IP 都能访问这个端口。

此时,可以使用 Vigor 路由器的国家对象功能,在防火墙中过滤访问来源,实现:

只允许中国 IP 访问内网 CRM 系统,其他国家或地区的 IP 全部屏蔽。

这是一种常见的企业路由器安全防护方式,适合用于保护 CRM、ERP、OA、Web 后台、售后系统、文件系统等需要对外开放但访问范围有限的业务系统。

适用型号

本文适用于支持国家对象和防火墙过滤策略的 Vigor 路由器型号,包括:

  • Vigor 2915

  • Vigor 2927

  • Vigor 2928

  • Vigor 2136

  • Vigor 2962

  • Vigor 3910

  • Vigor 3912

不同型号或固件版本的菜单名称可能略有差异,但整体配置思路一致。

配置目标

本次配置目标如下:

项目 配置内容
允许访问来源 中国 IP
被保护服务器 CRM 服务器
CRM 内网 IP 192.168.1.10
服务端口 TCP 80
防火墙策略 中国 IP 放行,其他来源屏蔽

最终效果是:

  • 来自中国 IP 的访问请求,可以访问 192.168.1.10:80

  • 来自非中国 IP 的访问请求,会被防火墙屏蔽;

  • CRM 系统仍然可以对外提供服务,但暴露面明显减少。

配置前说明

本文重点介绍如何使用 Vigor 防火墙国家策略限制访问来源。

如果你的 CRM 系统需要从公网访问,请确保你已经根据实际网络环境完成了公网访问入口配置,例如端口映射、NAT、公网 IP 或 DDNS 设置。

本文防火墙策略的作用是:

在访问请求进入 CRM 系统之前,根据来源 IP 所属国家进行判断,只允许中国 IP 通过。

配置思路

本配置会先建立三个对象:

  1. 国家对象:中国;

  2. 服务对象:Web 服务,TCP 80;

  3. IP 对象:CRM 服务器,192.168.1.10。

然后在防火墙过滤器中建立两条规则:

  1. 第一条规则:允许中国 IP 访问 CRM 的 Web 服务;

  2. 第二条规则:屏蔽其他所有来源访问 CRM 的 Web 服务。

这里最重要的是规则顺序。

防火墙通常会按照规则从上到下依次匹配。第一条规则先放行中国 IP,第二条规则再屏蔽其他所有来源。这样就能实现“白名单放行 + 默认拒绝”的安全效果。

步骤一:创建中国国家对象

进入 Vigor 路由器管理界面:

对象设置 >> 国家对象

新增一个国家对象,用于匹配中国 IP。

建议命名为:

China

Vigor 路由器国家对象配置页面,创建中国 IP 国家对象

在国家或地区列表中选择中国,并保存配置。

这个国家对象后续会作为防火墙规则的源地址条件,用来识别访问 CRM 系统的请求是否来自中国 IP。

 

步骤二:创建 Web 服务对象

进入:

对象设置 >> 服务对象

新增一个服务对象,用于表示 CRM 系统开放的 Web 服务端口。

建议配置如下:

项目 配置值
服务对象名称 Web_HTTP_80
协议 TCP
端口 80

保存后,这个服务对象就代表 TCP 80 端口。

在后续防火墙规则中,我们会用它来限定访问范围,避免规则影响其他端口或其他服务。

Vigor 路由器服务对象配置页面,创建 TCP 80 Web 服务对象

 

步骤三:创建 CRM 服务器 IP 对象

进入:

对象设置 >> IP 对象

新增一个 IP 对象,用于表示内网 CRM 服务器。

建议配置如下:

项目 配置值
IP 对象名称 CRM_Server
IP 类型 单一 IP
IP 地址 192.168.1.10

Vigor 路由器 IP 对象配置页面,设置 192.168.1.10 为 CRM 服务器

保存后,这个 IP 对象就代表内网 CRM 系统服务器。

这样做的好处是,后续防火墙规则会更加清晰。管理员不需要在规则中直接记忆 192.168.1.10,只需要选择 CRM_Server 这个对象即可。

 

步骤四:创建放行中国 IP 的防火墙规则

进入:

防火墙 >> 过滤器设置

新增第一条过滤规则,用于允许中国 IP 访问 CRM 系统。

建议配置如下:

项目 配置内容
规则用途 允许中国 IP 访问 CRM
源地址 中国国家对象
目标地址 IP 对象:CRM_Server
服务类型 服务对象:Web_HTTP_80
动作 立即通过
日志 建议开启
Vigor 防火墙过滤器设置,允许中国 IP 访问内网 CRM 服务器 192.168.1.10 的 TCP 80 端口  
这条规则的含义是:  

如果访问来源属于中国 IP,并且目标是 CRM 服务器 192.168.1.10 的 TCP 80 服务,则允许通过。

这是整套配置中的白名单规则。它要放在屏蔽规则之前,否则正常的中国 IP 访问也可能被后面的拒绝规则拦截。

 

步骤五:创建屏蔽其他来源的防火墙规则

继续在:

防火墙 >> 过滤器设置

新增第二条过滤规则,用于屏蔽其他所有来源访问 CRM 系统。

建议配置如下:

项目 配置内容
规则用途 屏蔽非中国 IP 访问 CRM
源地址 任何
目标地址 IP 对象:CRM_Server
服务类型 服务对象:Web_HTTP_80
动作 屏蔽
日志 建议开启
Vigor 防火墙国家策略配置,屏蔽非中国 IP 访问 CRM Web 服务  
这条规则的含义是:  

除了前一条已经放行的中国 IP 之外,其他所有来源访问 CRM 服务器 TCP 80 端口的请求都会被屏蔽。

这就是“先允许中国 IP,再屏蔽所有其他来源”的访问控制逻辑。

 

规则顺序非常重要

配置完成后,防火墙规则顺序应该类似下面这样:

顺序 源地址 目标地址 服务 动作
规则 1 中国国家对象 CRM_Server Web_HTTP_80 通过
规则 2 任何 CRM_Server Web_HTTP_80 屏蔽
Vigor 防火墙规则顺序,先放行中国 IP,再屏蔽其他来源访问 CRM        
请确保“允许中国 IP”的规则排在“屏蔽所有来源”的规则之前。        

如果顺序反了,防火墙可能会先匹配到“任何来源屏蔽”规则,导致中国 IP 也无法访问 CRM 系统。

 

配置后的访问效果

完成配置后,访问效果如下:

访问来源 是否可以访问 CRM
中国 IP 可以访问
非中国 IP 被屏蔽
扫描器或未知海外来源 被屏蔽

对于企业来说,这种配置可以显著减少 CRM 系统被境外扫描器发现和攻击的机会。

尤其是当 CRM 系统只是服务国内员工、国内客户或国内分支机构时,通过 Vigor 路由器禁止境外 IP 访问 CRM,是一种简单实用的安全加固方式。

为什么建议使用国家对象保护 CRM 系统?

CRM 系统通常保存客户信息、销售记录、合同沟通、售后工单等业务数据,一旦被攻击或入侵,可能会造成数据泄露、业务中断,甚至引发勒索病毒风险。

使用 Vigor 路由器国家对象保护 CRM,有几个明显优势:

1. 减少公网暴露面

虽然 CRM 系统仍然可以被合法用户访问,但防火墙会先过滤掉不需要访问的国家或地区来源。

2. 降低扫描和爆破风险

很多攻击行为来自自动化扫描工具。通过国家对象屏蔽非业务地区 IP,可以减少大量无意义的端口探测和登录尝试。

3. 配置简单,容易维护

管理员不需要手动维护复杂的 IP 网段,只需要创建国家对象,并在防火墙规则中引用即可。

4. 适合中小企业快速部署

对于已经使用 Vigor 2915、Vigor 2927、Vigor 2928、Vigor 2962、Vigor 3910 或 Vigor 3912 的企业来说,这是一种不需要额外设备的安全增强方案。

建议的安全组合

国家对象可以降低公网服务暴露风险,但不建议把它作为唯一安全措施。

对于对外开放的 CRM 系统,建议同时做好以下安全措施:

  • 使用强密码;

  • 定期更新 CRM 系统补丁;

  • 启用 HTTPS;

  • 限制后台管理入口;

  • 开启访问日志;

  • 定期检查异常登录;

  • 对重要数据进行备份;

  • 如有条件,可结合 WAF、防病毒和入侵防护系统。

国家对象更适合作为第一层访问过滤,将明显不需要访问系统的来源先挡在防火墙外面。

常见问题 FAQ

Q1:Vigor 路由器可以只允许中国 IP 访问内网 CRM 吗?

可以。Vigor 路由器可以通过国家对象识别访问来源,再通过防火墙过滤规则实现只允许中国 IP 访问指定内网 CRM 服务器。

Q2:如何使用 Vigor 防火墙国家策略保护 CRM 系统?

可以先创建中国国家对象、CRM 服务器 IP 对象和 TCP 80 服务对象,然后在防火墙中过滤访问请求。第一条规则放行中国 IP 访问 CRM,第二条规则屏蔽其他所有来源访问 CRM。

Q3:这套配置可以用于 ERP 或 OA 系统吗?

可以。只需要将 IP 对象改成 ERP、OA 或其他业务系统的内网 IP,并根据实际端口创建对应的服务对象即可。例如 ERP 使用 TCP 8080,OA 使用 TCP 443,都可以按同样逻辑配置。

Q4:为什么要设置两条防火墙规则?

第一条规则用于明确放行中国 IP,第二条规则用于屏蔽其他所有来源。这样可以实现白名单访问控制,比单纯屏蔽某些国家更安全。

Q5:如果中国 IP 也无法访问 CRM,应该检查什么?

建议检查以下内容:

  1. 防火墙规则顺序是否正确;

  2. 中国 IP 放行规则是否排在屏蔽规则之前;

  3. CRM 服务器 IP 对象是否为 192.168.1.10

  4. 服务对象是否为 TCP 80;

  5. 端口映射或公网访问入口是否正常;

  6. CRM 服务器自身防火墙是否允许 TCP 80;

  7. Vigor 路由器防火墙日志中是否有被拦截记录。

Q6:GeoIP 国家对象是否一定准确?

国家对象通常基于 GeoIP 数据识别 IP 所属国家或地区,适合用于大多数访问控制场景。但由于运营商地址调整、CDN、代理、云服务等因素,个别 IP 的归属可能存在偏差。重要业务上线前,建议进行实际访问测试。

总结

通过 Vigor 路由器的国家对象、防火墙过滤器、服务对象和 IP 对象,企业可以轻松实现只允许中国 IP 访问内网 CRM 系统。

本示例中,我们将 CRM 服务器定义为 192.168.1.10,将 Web 服务定义为 TCP 80,然后通过两条防火墙规则实现:

  1. 中国 IP 访问 CRM:允许;

  2. 其他来源访问 CRM:屏蔽。

这种配置适合用于保护对外开放的 CRM、ERP、OA 和 Web 业务系统,可以降低境外扫描、弱口令爆破、恶意攻击和勒索病毒入侵风险,是 Vigor 路由器国家对象在企业网络安全中的一个典型应用。

浏览次数: 3