收藏
下载资源下载资源 加入VIP,免费下载

h3c防火墙配置.docx

上传人:b****2 文档编号:1438581 上传时间:2022-10-22 格式:DOCX 页数:7 大小:15.94KB
下载 相关 举报
h3c防火墙配置.docx_第1页
第1页 / 共7页
h3c防火墙配置.docx_第2页
第2页 / 共7页
h3c防火墙配置.docx_第3页
第3页 / 共7页
h3c防火墙配置.docx_第4页
第4页 / 共7页
h3c防火墙配置.docx_第5页
第5页 / 共7页
点击查看更多>>
下载资源
资源描述

h3c防火墙配置.docx

《h3c防火墙配置.docx》由会员分享,可在线阅读,更多相关《h3c防火墙配置.docx(7页珍藏版)》请在冰豆网上搜索。

h3c防火墙配置.docx

h3c防火墙配置

1.路由器防火墙配置指导

防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问,另一方面可以作为一个访问因特网的权限控制关口,控制内部网络用户对因特网进行Web访问或收发E-mail等。

通过合理的配置防火墙可以大大提高网络的安全性和稳定性。

防火墙配置指导防火墙的基本配置顺序如下:

首先使能防火墙:

1.ipv4:

系统视图下输入firewallenable

ipv6:

系统视图下输入firewallipv6enable

然后配置acl

2.aclnumber2000

rule0permitipsource192.168.1.00.0.0.255

rule1denyip

3.然后在接口上根据需要应用防火墙

interfaceEthernet0/1

portlink-moderoute

firewallpacket-filter2000inbound

ipaddress5.0.0.2255.255.255.0

基础配置举例:

如前所说,在使能了防火墙后,就要按需求配置acl并应用在接口上,下面给出几个常见的需求的配置方法:

1.禁止内网访问外网的某些地址

用途:

限制上网。

比如禁止访问100.0.0.1地址

acl配置:

[H3C]acln3000

[H3C-acl-adv-3000]ruledenyipdestination100.0.0.10.0.0.0

[H3C-acl-adv-3000]rulepermitipdestination200.0.0.00.0.0.255

[H3C-acl-adv-3000]rulepermitip允许其它ip

端口配置,在内网口入方向配置防火墙

[H3C]intet0/1

[H3C-Ethernet0/1]firewallpacket-filter3000inbound

备注:

1)如果要禁止某个网段,则选择配置适当的掩码就可以了

2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方向配置防火墙

2.禁止外网某些地址访问内网

用途:

放置非法访问。

比如禁止200.0.0.1/24网段的地址访问内网:

acl配置:

[H3C]acl3000

[H3C-acl-adv-3000]ruledenyipsource200.0.0.00.0.0.255destination192.168.1.00.0.0.255

[H3C-acl-adv-3000]rulepermitip允许其他地址

端口配置,在外网口入方向配置防火墙

[H3C]intet0/0

[H3C-Ethernet0/0]firewallpacket-filter3000inbound

备注:

如果有多个网段需要禁止,就需要配置多条rule

3.限制ICMP报文

用途:

防攻击。

只允许ping报文,屏蔽其他icmp报文,防止攻击

acl配置:

[H3C]acl3000

[H3C-acl-adv-3000]rulepermiticmpicmp-typeecho

[H3C-acl-adv-3000]rulepermiticmpicmp-typeecho-reply

[H3C-acl-adv-3000]rulepermiticmpicmp-typettl-exceeded

[H3C-acl-adv-3000]ruledenyicmp

端口配置,在外网口入方向配置防火墙

[H3C]intet0/0

[H3C-Ethernet0/0]firewallpacket-filter3000inbound

4.禁止外网访问某个端口

用途:

防攻击,限制应用。

比如禁止外网访问300端口

acl配置:

[H3C]acln3000

[H3C-acl-adv-3000]ruledenytcpdestination-porteq300

[H3C-acl-adv-3000]rulepermitipany

端口配置,在外网口入方向配置防火墙

[H3C]intet0/0

[H3C-Ethernet0/0]firewallpacket-filter3000inbound

备注:

可以配置某一段端口不能访问

5.只允许外网访问某个端口

用途:

防攻击,限制应用。

比如只允许外网访问ftp端口

acl配置:

[H3C]acl3000

[H3C-acl-adv-3000]rulepermittcpdestination-porteqftp

[H3C-acl-adv-3000]ruledenytcpany

端口配置,在外网口入方向配置防火墙

[H3C]intet0/0

[H3C-Ethernet0/0]firewallpacket-filter3000inbound

备注:

应用时可以加上ip地址的匹配,比如内网某台机器是ftp服务器,则可以配置该地址只开放ftp端口。

6.组合使用上面的配置

可以在一条acl中配置多个rule,也可以在一个端口上分别配置inbound和outbound的规则进行匹配,

7.过滤常见攻击

通过防火墙,过滤掉一些常见的攻击,以下推荐一些常用的配置:

限制NETBIOS协议端口:

[H3C]aclnumber3000

[H3C-acl-adv-3000]ruledenyudpdestination-porteqnetbios-ns

[H3C-acl-adv-3000]ruledenyudpdestination-porteqnetbios-dgm

[H3C-acl-adv-3000]ruledenytcpdestination-porteq139

[H3C-acl-adv-3000]ruledenyudpdestination-porteqnetbios-ssn

8.限制常见病毒使用的端口:

[H3C]aclnumber3000

[H3C-acl-adv-3000]ruledenytcpdestination-porteq135/Worm.Blaster

[H3C-acl-adv-3000]ruledenyudpdestination-porteq135/Worm.Blaster

[H3C-acl-adv-3000]ruledenytcpdestination-porteq445/Worm.Blaster

[H3C-acl-adv-3000]ruledenyudpdestination-porteq445/Worm.Blaster

[H3C-acl-adv-3000]ruledenyudpdestination-porteq593/Worm.Blaster

[H3C-acl-adv-3000]ruledenytcpdestination-porteq593/Worm.Blaster

[H3C-acl-adv-3000]ruledenytcpdestination-porteq1433/SQLSlammer

[H3C-acl-adv-3000]ruledenytcpdestination-porteq1434/SQLSlammer

[H3C-acl-adv-3000]ruledenytcpdestination-porteq4444/Worm.Blaster

[H3C-acl-adv-3000]ruledenytcpdestination-porteq1025/Sasser

[H3C-acl-adv-3000]ruledenytcpdestination-porteq1068/Sasser

[H3C-acl-adv-3000]ruledenytcpdestination-porteq707/NachiBlaster-D

[H3C-acl-adv-3000]ruledenytcpdestination-porteq5554/Sasser

[H3C-acl-adv-3000]ruledenytcpdestination-porteq9996/Sasser

9.设置时间段

如果要限制某段时间内使防火墙生效,就需要配置time-range,然后在acl的rule上加入此限制,方法如下:

比如在工作时间,外网只能访问100.0.0.1,其他时间不做限制

定义时间段:

[H3C]time-rangeworktimeam8:

00to12:

00working-day定义上午

[H3C]time-rangeworktimepm13:

00to17:

00working-day定义下午

如果不需要“午休”时间,那直接定义成8:

00-17:

00就可以了

定义acl

[H3C]acln3000

[H3C-acl-adv-3000]rulepermitipdestination100.0.0.10time-rangeworktimeam

[H3C-acl-adv-3000]rulepermitipdestination100.0.0.10time-rangeworktimepm

[H3C-acl-adv-3000]ruledenyiptime-rangeworktimeam

[H3C-acl-adv-3000]ruledenyiptime-rangeworktimepm

端口配置,在内网口入方向配置防火墙

[H3C]intet0/1

[H3C-Ethernet0/1]firewallpacket-filter3000inbound

10.配置推荐

对于最基本的应用,给出以下的配置模版,包括屏蔽了常见攻击和内外网访问控制。

内网口:

aclnumber3101

rule10permiticmpicmp-typeecho

rule20permiticmpicmp-typeecho-reply

rule30permiticmpicmp-typettl-exceeded

rule40denyicmp

rule110denytcpdestination-porteq135

rule120denyudpdestination-porteq135

rule130denyudpdestination-porteqnetbios-ns

rule140denyudpdestination-porteqnetbios-dgm

rule150denytcpdestination-porteq139

rule160denyudpdestination-porteqnetbios-ssn

rule170denytcpdestination-porteq445

rule180denyudpdestination-porteq445

rule190denyudpdestination-porteq593

rul

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高等教育 > 管理学

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1