輕松配置ICG之一:ICG防火墻配置指導_第1頁
輕松配置ICG之一:ICG防火墻配置指導_第2頁
輕松配置ICG之一:ICG防火墻配置指導_第3頁
輕松配置ICG之一:ICG防火墻配置指導_第4頁
輕松配置ICG之一:ICG防火墻配置指導_第5頁
已閱讀5頁,還剩2頁未讀 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

./ICG防火墻配置指導防火墻簡介防火墻一方面可以阻止來自因特網的、對受保護網絡的未授權訪問,另一方面可以作為一個訪問因特網的權限控制關口,控制部網絡用戶對因特網進行Web訪問或收發E-mail等。通過合理的配置防火墻可以大大提高網絡的安全性和穩定性。防火墻配置指導基本配置步驟防火墻的基本配置順序如下:首先使能防火墻:ipv4:系統視圖下輸入firewallenableipv6:系統視圖下輸入firewallipv6enable然后配置aclaclnumber3000rule0permitipsource0rule10denyip然后在接口上根據需要應用防火墻interfaceEthernet0/1portlink-moderoutefirewallpacket-filter3000inboundipaddress基礎配置舉例:如前所說,在使能了防火墻后,就要按需求配置acl并應用在接口上,下面給出幾個常見的需求的配置方法:et0/1et0/0以下的例子中的組網如下:et0/1et0/0外網內網ICG設備外網內網ICG設備禁止訪問外網的某些地址用途:限制上網。比如禁止訪問地址acl配置:[H3C]acln3000[H3C-acl-adv-3000]ruledenyipdestination0[H3C-acl-adv-3000]rulepermitip允許其它ip端口配置,在網口入方向配置防火墻[H3C]intet0/1[H3C-Ethernet0/1]firewallpacket-filter3000inbound備注:1如果要禁止某個網段,則選擇配置適當的掩碼就可以了2如果網口不止一個,可以在每一個需要的網口都配上,或者在外網口的出方向配置防火墻限制只能訪問外網的某些地址用途:限制上網。比如只能訪問/24網段acl配置:[H3C]acln3000[H3C-acl-adv-3000]rulepermitipdestination200允許訪問/24網段[H3C-acl-adv-3000]ruledenyip禁止訪問其他網段端口配置,在網口入方向配置防火墻[H3C]intet0/1[H3C-Ethernet0/1]firewallpacket-filter3000inbound備注:1如果要增加其他允許的網段,就需要增加相應的rule2如果網口不止一個,可以在每一個需要的網口都配上,或者在外網口的出方向配置防火墻限制只能某些地址可以訪問外網用途:限制上網。比如只允許/24網段的地址訪問外網acl配置:[H3C]acln3000[H3C-acl-adv-3000]rulepermitipsource55允許/24訪問外網[H3C-acl-adv-3000]ruledenyip禁止其他地址訪問端口配置,在網口入方向配置防火墻[H3C]intet0/1[H3C-Ethernet0/1]firewallpacket-filter3000inbound備注:1如果要更精確的控制,可以通過多條rule加更精細的掩碼匹配來實現2如果網口不止一個,可以在每一個需要的網口都配上,或者在外網口的出方向配置防火墻。禁止某些地址訪問外網用途:限制上網。比如禁止,9兩個地址訪問外網acl配置:[H3C]acln3000[H3C-acl-adv-3000]ruledenyipsource0禁止地址[H3C-acl-adv-3000]ruledenyipsource90禁止9地址[H3C-acl-adv-3000]rulepermitip允許其他地址端口配置,在網口入方向配置防火墻[H3C]intet0/1[H3C-Ethernet0/1]firewallpacket-filter3000inbound備注:1如果要對網段實現控制,設置規則時匹配該網段就可以了2如果網口不止一個,可以在每一個需要的網口都配上,或者在外網口的出方向配置防火墻。禁止某些地址訪問網用途:放置非法訪問。比如禁止/24網段的地址訪問網:acl配置:[H3C]acln3000[H3C-acl-adv-3000]rulepermitip允許其他地址端口配置,在外網口入方向配置防火墻[H3C]intet0/0[H3C-Ethernet0/0]firewallpacket-filter3000inbound備注:如果有多個網段需要禁止,就需要配置多條rule限制網的某些地址不能訪問外網的某些地址acl配置:[H3C]acln3000[H3C-acl-adv-3000]rulepermitip允許其他地址端口配置,在網口入方向配置防火墻[H3C]intet0/1[H3C-Ethernet0/1]firewallpacket-filter3000inbound備注:如果有多個網段需要禁止,就需要配置多條rule限制ICMP報文用途:防攻擊。只允許ping報文,屏蔽其他icmp報文,防止攻擊acl配置:[H3C]acln3000[H3C-acl-adv-3000]rulepermiticmpicmp-typeecho[H3C-acl-adv-3000]rulepermiticmpicmp-typeecho-reply[H3C-acl-adv-3000]rulepermiticmpicmp-typettl-exceeded[H3C-acl-adv-3000]ruledenyicmp端口配置,在外網口入方向配置防火墻[H3C]intet0/0[H3C-Ethernet0/0]firewallpacket-filter3000inbound禁止外網訪問某個端口用途:防攻擊,限制應用。比如禁止外網訪問300端口acl配置:[H3C]acln3000[H3C-acl-adv-3000]ruledenytcpdestination-porteq300端口配置,在外網口入方向配置防火墻[H3C]intet0/0[H3C-Ethernet0/0]firewallpacket-filter3000inbound備注:可以配置某一段端口不能訪問只允許外網訪問某個端口用途:防攻擊,限制應用。比如只允許外網訪問ftp端口acl配置:[H3C]acln3000[H3C-acl-adv-3000]rulepermittcpdestination-porteqftp端口配置,在外網口入方向配置防火墻[H3C]intet0/0[H3C-Ethernet0/0]firewallpacket-filter3000inbound[H3C-acl-adv-3000]ruledenytcp備注:應用時可以加上ip地址的匹配,比如網某臺機器是ftp服務器,則可以配置該地址只開放ftp端口。進階配置組合使用上面的配置可以在一條acl中配置多個rule,也可以在一個端口上分別配置inbound和outbound的規則進行匹配,通過靈活應用與組合,實現需要的保護與限制。過濾常見攻擊通過防火墻,過濾掉一些常見的攻擊,以下推薦一些常用的配置:限制NETBIOS協議端口:[H3C]aclnumber3000[H3C-acl-adv-3000]ruledenyudpdestination-porteqnetbios-ns[H3C-acl-adv-3000]ruledenyudpdestination-porteqnetbios-dgm[H3C-acl-adv-3000]ruledenytcpdestination-porteq139[H3C-acl-adv-3000]ruledenyudpdestination-porteqnetbios-ssn限制常見病毒使用的端口:[H3C]aclnumber3000[H3C-acl-adv-3000]ruledenytcpdestination-porteq135/Worm.Blaster[H3C-acl-adv-3000]ruledenyudpdestination-porteq135/Worm.Blaster[H3C-acl-adv-3000]ruledenytcpdestination-porteq445/Worm.Blaster[H3C-acl-adv-3000]ruledenyudpdestination-porteq445/Worm.Blaster[H3C-acl-adv-3000]ruledenyudpdestination-porteq593/Worm.Blaster[H3C-acl-adv-3000]ruledenytcpdestination-porteq593/Worm.Blaster[H3C-acl-adv-3000]ruledenytcpdestination-porteq1433/SQLSlammer[H3C-acl-adv-3000]ruledenytcpdestination-porteq1434/SQLSlammer[H3C-acl-adv-3000]ruledenytcpdestination-porteq4444/Worm.Blaster[H3C-acl-adv-3000]ruledenytcpdestination-porteq1025/Sasser[H3C-acl-adv-3000]ruledenytcpdestination-porteq1068/Sasser[H3C-acl-adv-3000]ruledenytcpdestination-porteq707/NachiBlaster-D[H3C-acl-adv-3000]ruledenytcpdestination-porteq5554/Sasser[H3C-acl-adv-3000]ruledenytcpdestination-porteq9996/Sasser設置時間段如果要限制某段時間使防火墻生效,就需要配置time-range,然后在acl的rule上加入此限制,方法如下:比如在工作時間,外網只能訪問,其他時間不做限制定義時間段:[H3C]time-rangeworktimeam8:00to12:00working-day定義上午[H3C]time-rangeworktimepm13:00to17:00working-day定義下午如果不需要"午休"時間,那直接定義成8:00-17:00就可以了定義acl[H3C]acln3000[H3C-acl-adv-3000]rulepermitipdestination0time-rangeworktimeam[H3C-acl-adv-3000]rulepermitipdestination0time-rangeworktimepm[H3C-acl-adv-3000]ruledenyiptime-rangeworktimeam[H3C-acl-adv-3000]ruledenyiptime-rangeworktimepm端口配置,在網口入方向配置防火墻[H3C]intet0/1[H3C-Ethernet0/1]firewallpacket-filter3000inbound配置推薦對于最基本的應用,給出以下的配置模版,包括屏蔽了常見攻擊和外網訪問控制。網口:aclnumber3101rule10permiticmpicmp-typeechorule20permiticmpicmp-typeecho-replyrule30permiticmpicmp-typettl-exceededrule40denyicmprule110denytcpdestination-porteq135rule120denyudpdestination-porteq135rule130denyudpdestination-porteqnetbios-nsrule140denyudpdestination-porteqnetbios-dgmrule150denytcpdestination-porteq139rule160denyudpdestination-porteqnetbios-ssnrule170denytcpdestination-porteq445rule180denyudpdestination-porteq445rule190denyudpdestination-porteq593rule200denytcpdestination-porteq593rule210denytcpdestination-porteq1433rule220denytcpdestination-porteq1434rule230denytcpdestination-porteq4444rule240denytcpdestination-porteq1025rule250denytcpdestination-porteq1068rule260denytcpdestination-porteq707rule270denytcpdestination-porteq5554rule280denytcpdestination-porteq9996rule3000denyip#在網接口下應用:interfacevlan-interface1firewallpacket-filter3101inbound外網口aclnumber3102rule10permiticmpicmp-typeechorule20permiticmpicmp-typeecho-replyrule30permiticmpicmp-typettl-exceededrule40denyicmprule110denytcpdestination-porteq135rule120denyudpdestination-porteq135rule130denyudpdestination-porteqnetbios-nsrule140denyudpdestination-porteqnetbios-dgmru

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論