h3c防火墙配置.docx
《h3c防火墙配置.docx》由会员分享,可在线阅读,更多相关《h3c防火墙配置.docx(7页珍藏版)》请在冰豆网上搜索。
h3c防火墙配置
1.路由器防火墙配置指导
防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问,另一方面可以作为一个访问因特网的权限控制关口,控制内部网络用户对因特网进行Web访问或收发E-mail等。
通过合理的配置防火墙可以大大提高网络的安全性和稳定性。
防火墙配置指导防火墙的基本配置顺序如下:
首先使能防火墙:
1.ipv4:
系统视图下输入firewallenable
ipv6:
系统视图下输入firewallipv6enable
然后配置acl
2.aclnumber2000
rule0permitipsource192.168.1.00.0.0.255
rule1denyip
3.然后在接口上根据需要应用防火墙
interfaceEthernet0/1
portlink-moderoute
firewallpacket-filter2000inbound
ipaddress5.0.0.2255.255.255.0
基础配置举例:
如前所说,在使能了防火墙后,就要按需求配置acl并应用在接口上,下面给出几个常见的需求的配置方法:
1.禁止内网访问外网的某些地址
用途:
限制上网。
比如禁止访问100.0.0.1地址
acl配置:
[H3C]acln3000
[H3C-acl-adv-3000]ruledenyipdestination100.0.0.10.0.0.0
[H3C-acl-adv-3000]rulepermitipdestination200.0.0.00.0.0.255
[H3C-acl-adv-3000]rulepermitip允许其它ip
端口配置,在内网口入方向配置防火墙
[H3C]intet0/1
[H3C-Ethernet0/1]firewallpacket-filter3000inbound
备注:
1)如果要禁止某个网段,则选择配置适当的掩码就可以了
2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方向配置防火墙
2.禁止外网某些地址访问内网
用途:
放置非法访问。
比如禁止200.0.0.1/24网段的地址访问内网:
acl配置:
[H3C]acl3000
[H3C-acl-adv-3000]ruledenyipsource200.0.0.00.0.0.255destination192.168.1.00.0.0.255
[H3C-acl-adv-3000]rulepermitip允许其他地址
端口配置,在外网口入方向配置防火墙
[H3C]intet0/0
[H3C-Ethernet0/0]firewallpacket-filter3000inbound
备注:
如果有多个网段需要禁止,就需要配置多条rule
3.限制ICMP报文
用途:
防攻击。
只允许ping报文,屏蔽其他icmp报文,防止攻击
acl配置:
[H3C]acl3000
[H3C-acl-adv-3000]rulepermiticmpicmp-typeecho
[H3C-acl-adv-3000]rulepermiticmpicmp-typeecho-reply
[H3C-acl-adv-3000]rulepermiticmpicmp-typettl-exceeded
[H3C-acl-adv-3000]ruledenyicmp
端口配置,在外网口入方向配置防火墙
[H3C]intet0/0
[H3C-Ethernet0/0]firewallpacket-filter3000inbound
4.禁止外网访问某个端口
用途:
防攻击,限制应用。
比如禁止外网访问300端口
acl配置:
[H3C]acln3000
[H3C-acl-adv-3000]ruledenytcpdestination-porteq300
[H3C-acl-adv-3000]rulepermitipany
端口配置,在外网口入方向配置防火墙
[H3C]intet0/0
[H3C-Ethernet0/0]firewallpacket-filter3000inbound
备注:
可以配置某一段端口不能访问
5.只允许外网访问某个端口
用途:
防攻击,限制应用。
比如只允许外网访问ftp端口
acl配置:
[H3C]acl3000
[H3C-acl-adv-3000]rulepermittcpdestination-porteqftp
[H3C-acl-adv-3000]ruledenytcpany
端口配置,在外网口入方向配置防火墙
[H3C]intet0/0
[H3C-Ethernet0/0]firewallpacket-filter3000inbound
备注:
应用时可以加上ip地址的匹配,比如内网某台机器是ftp服务器,则可以配置该地址只开放ftp端口。
6.组合使用上面的配置
可以在一条acl中配置多个rule,也可以在一个端口上分别配置inbound和outbound的规则进行匹配,
7.过滤常见攻击
通过防火墙,过滤掉一些常见的攻击,以下推荐一些常用的配置:
限制NETBIOS协议端口:
[H3C]aclnumber3000
[H3C-acl-adv-3000]ruledenyudpdestination-porteqnetbios-ns
[H3C-acl-adv-3000]ruledenyudpdestination-porteqnetbios-dgm
[H3C-acl-adv-3000]ruledenytcpdestination-porteq139
[H3C-acl-adv-3000]ruledenyudpdestination-porteqnetbios-ssn
8.限制常见病毒使用的端口:
[H3C]aclnumber3000
[H3C-acl-adv-3000]ruledenytcpdestination-porteq135/Worm.Blaster
[H3C-acl-adv-3000]ruledenyudpdestination-porteq135/Worm.Blaster
[H3C-acl-adv-3000]ruledenytcpdestination-porteq445/Worm.Blaster
[H3C-acl-adv-3000]ruledenyudpdestination-porteq445/Worm.Blaster
[H3C-acl-adv-3000]ruledenyudpdestination-porteq593/Worm.Blaster
[H3C-acl-adv-3000]ruledenytcpdestination-porteq593/Worm.Blaster
[H3C-acl-adv-3000]ruledenytcpdestination-porteq1433/SQLSlammer
[H3C-acl-adv-3000]ruledenytcpdestination-porteq1434/SQLSlammer
[H3C-acl-adv-3000]ruledenytcpdestination-porteq4444/Worm.Blaster
[H3C-acl-adv-3000]ruledenytcpdestination-porteq1025/Sasser
[H3C-acl-adv-3000]ruledenytcpdestination-porteq1068/Sasser
[H3C-acl-adv-3000]ruledenytcpdestination-porteq707/NachiBlaster-D
[H3C-acl-adv-3000]ruledenytcpdestination-porteq5554/Sasser
[H3C-acl-adv-3000]ruledenytcpdestination-porteq9996/Sasser
9.设置时间段
如果要限制某段时间内使防火墙生效,就需要配置time-range,然后在acl的rule上加入此限制,方法如下:
比如在工作时间,外网只能访问100.0.0.1,其他时间不做限制
定义时间段:
[H3C]time-rangeworktimeam8:
00to12:
00working-day定义上午
[H3C]time-rangeworktimepm13:
00to17:
00working-day定义下午
如果不需要“午休”时间,那直接定义成8:
00-17:
00就可以了
定义acl
[H3C]acln3000
[H3C-acl-adv-3000]rulepermitipdestination100.0.0.10time-rangeworktimeam
[H3C-acl-adv-3000]rulepermitipdestination100.0.0.10time-rangeworktimepm
[H3C-acl-adv-3000]ruledenyiptime-rangeworktimeam
[H3C-acl-adv-3000]ruledenyiptime-rangeworktimepm
端口配置,在内网口入方向配置防火墙
[H3C]intet0/1
[H3C-Ethernet0/1]firewallpacket-filter3000inbound
10.配置推荐
对于最基本的应用,给出以下的配置模版,包括屏蔽了常见攻击和内外网访问控制。
内网口:
aclnumber3101
rule10permiticmpicmp-typeecho
rule20permiticmpicmp-typeecho-reply
rule30permiticmpicmp-typettl-exceeded
rule40denyicmp
rule110denytcpdestination-porteq135
rule120denyudpdestination-porteq135
rule130denyudpdestination-porteqnetbios-ns
rule140denyudpdestination-porteqnetbios-dgm
rule150denytcpdestination-porteq139
rule160denyudpdestination-porteqnetbios-ssn
rule170denytcpdestination-porteq445
rule180denyudpdestination-porteq445
rule190denyudpdestination-porteq593
rul