h3c防火墙配置文档格式.docx
- 文档编号:14354485
- 上传时间:2022-10-22
- 格式:DOCX
- 页数:7
- 大小:15.94KB
h3c防火墙配置文档格式.docx
《h3c防火墙配置文档格式.docx》由会员分享,可在线阅读,更多相关《h3c防火墙配置文档格式.docx(7页珍藏版)》请在冰豆网上搜索。
2.aclnumber2000
rule0permitipsource192.168.1.00.0.0.255
rule1denyip
3.然后在接口上根据需要应用防火墙
interfaceEthernet0/1
portlink-moderoute
firewallpacket-filter2000inbound
ipaddress5.0.0.2255.255.255.0
基础配置举例:
如前所说,在使能了防火墙后,就要按需求配置acl并应用在接口上,下面给出几个常见的需求的配置方法:
1.禁止内网访问外网的某些地址
用途:
限制上网。
比如禁止访问100.0.0.1地址
acl配置:
[H3C]acln3000
[H3C-acl-adv-3000]ruledenyipdestination100.0.0.10.0.0.0
[H3C-acl-adv-3000]rulepermitipdestination200.0.0.00.0.0.255
[H3C-acl-adv-3000]rulepermitip允许其它ip
端口配置,在内网口入方向配置防火墙
[H3C]intet0/1
[H3C-Ethernet0/1]firewallpacket-filter3000inbound
备注:
1)如果要禁止某个网段,则选择配置适当的掩码就可以了
2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方向配置防火墙
2.禁止外网某些地址访问内网
放置非法访问。
比如禁止200.0.0.1/24网段的地址访问内网:
[H3C]acl3000
[H3C-acl-adv-3000]ruledenyipsource200.0.0.00.0.0.255destination192.168.1.00.0.0.255
[H3C-acl-adv-3000]rulepermitip允许其他地址
端口配置,在外网口入方向配置防火墙
[H3C]intet0/0
[H3C-Ethernet0/0]firewallpacket-filter3000inbound
如果有多个网段需要禁止,就需要配置多条rule
3.限制ICMP报文
防攻击。
只允许ping报文,屏蔽其他icmp报文,防止攻击
[H3C-acl-adv-3000]rulepermiticmpicmp-typeecho
[H3C-acl-adv-3000]rulepermiticmpicmp-typeecho-reply
[H3C-acl-adv-3000]rulepermiticmpicmp-typettl-exceeded
[H3C-acl-adv-3000]ruledenyicmp
4.禁止外网访问某个端口
防攻击,限制应用。
比如禁止外网访问300端口
[H3C-acl-adv-3000]ruledenytcpdestination-porteq300
[H3C-acl-adv-3000]rulepermitipany
可以配置某一段端口不能访问
5.只允许外网访问某个端口
比如只允许外网访问ftp端口
[H3C-acl-adv-3000]rulepermittcpdestination-porteqftp
[H3C-acl-adv-3000]ruledenytcpany
应用时可以加上ip地址的匹配,比如内网某台机器是ftp服务器,则可以配置该地址只开放ftp端口。
6.组合使用上面的配置
可以在一条acl中配置多个rule,也可以在一个端口上分别配置inbound和outbound的规则进行匹配,
7.过滤常见攻击
通过防火墙,过滤掉一些常见的攻击,以下推荐一些常用的配置:
限制NETBIOS协议端口:
[H3C]aclnumber3000
[H3C-acl-adv-3000]ruledenyudpdestination-porteqnetbios-ns
[H3C-acl-adv-3000]ruledenyudpdestination-porteqnetbios-dgm
[H3C-acl-adv-3000]ruledenytcpdestination-porteq139
[H3C-acl-adv-3000]ruledenyudpdestination-porteqnetbios-ssn
8.限制常见病毒使用的端口:
[H3C-acl-adv-3000]ruledenytcpdestination-porteq135/Worm.Blaster
[H3C-acl-adv-3000]ruledenyudpdestination-porteq135/Worm.Blaster
[H3C-acl-adv-3000]ruledenytcpdestination-porteq445/Worm.Blaster
[H3C-acl-adv-3000]ruledenyudpdestination-porteq445/Worm.Blaster
[H3C-acl-adv-3000]ruledenyudpdestination-porteq593/Worm.Blaster
[H3C-acl-adv-3000]ruledenytcpdestination-porteq593/Worm.Blaster
[H3C-acl-adv-3000]ruledenytcpdestination-porteq1433/SQLSlammer
[H3C-acl-adv-3000]ruledenytcpdestination-porteq1434/SQLSlammer
[H3C-acl-adv-3000]ruledenytcpdestination-porteq4444/Worm.Blaster
[H3C-acl-adv-3000]ruledenytcpdestination-porteq1025/Sasser
[H3C-acl-adv-3000]ruledenytcpdestination-porteq1068/Sasser
[H3C-acl-adv-3000]ruledenytcpdestination-porteq707/NachiBlaster-D
[H3C-acl-adv-3000]ruledenytcpdestination-porteq5554/Sasser
[H3C-acl-adv-3000]ruledenytcpdestination-porteq9996/Sasser
9.设置时间段
如果要限制某段时间内使防火墙生效,就需要配置time-range,然后在acl的rule上加入此限制,方法如下:
比如在工作时间,外网只能访问100.0.0.1,其他时间不做限制
定义时间段:
[H3C]time-rangeworktimeam8:
00to12:
00working-day定义上午
[H3C]time-rangeworktimepm13:
00to17:
00working-day定义下午
如果不需要“午休”时间,那直接定义成8:
00-17:
00就可以了
定义acl
[H3C-acl-adv-3000]rulepermitipdestination100.0.0.10time-rangeworktimeam
[H3C-acl-adv-3000]rulepermitipdestination100.0.0.10time-rangeworktimepm
[H3C-acl-adv-3000]ruledenyiptime-rangeworktimeam
[H3C-acl-adv-3000]ruledenyiptime-rangeworktimepm
10.配置推荐
对于最基本的应用,给出以下的配置模版,包括屏蔽了常见攻击和内外网访问控制。
内网口:
aclnumber3101
rule10permiticmpicmp-typeecho
rule20permiticmpicmp-typeecho-reply
rule30permiticmpicmp-typettl-exceeded
rule40denyicmp
rule110denytcpdestination-porteq135
rule120denyudpdestination-porteq135
rule130denyudpdestination-porteqnetbios-ns
rule140denyudpdestination-porteqnetbios-dgm
rule150denytcpdestination-porteq139
rule160denyudpdestination-porteqnetbios-ssn
rule170denytcpdestination-porteq445
rule180denyudpdestination-porteq445
rule190denyudpdestination-porteq593
rul
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- h3c 防火墙 配置