WSG上網(wǎng)行為管理自帶的網(wǎng)頁(yè)過(guò)濾策略，可以基于我們的網(wǎng)址庫(kù)屏蔽惡意站點(diǎn)。但是“網(wǎng)頁(yè)過(guò)濾”只針對(duì)網(wǎng)頁(yè)瀏覽（http、https）的訪問(wèn)方式，如果要禁止非Web方式的訪問(wèn)，比如tcp/udp/icmp（ping）等，需要用防火墻規(guī)則來(lái)進(jìn)行限制。具體步驟如下：

1. 新增防火墻規(guī)則

區(qū)域選擇“內(nèi)網(wǎng)”，方向選擇“轉(zhuǎn)發(fā)”，內(nèi)網(wǎng)-轉(zhuǎn)發(fā)就是控制內(nèi)網(wǎng)終端訪問(wèn)外網(wǎng)的行為?！澳康摹边x擇“自定義”，協(xié)議選擇“所有”（所有包括所有的TCP，UDP和ICMP），動(dòng)作選擇“阻止”。如下圖：

2. 編輯自定義IP

點(diǎn)擊“編輯”，選擇“自定義IP”，這里可以輸入IP地址、網(wǎng)段或者域名。IP和網(wǎng)段的策略是立即生效的，基于域名的策略需要學(xué)習(xí)的過(guò)程，需要等待2-3分鐘才可以生效。如下圖：

經(jīng)過(guò)上述步驟，就可以禁止網(wǎng)絡(luò)層到這些外網(wǎng)IP的訪問(wèn)。建議增加一個(gè)“禁止惡意IP”的策略，發(fā)現(xiàn)了新的IP都可以直接添加在這條策略里面。