ICG防火墙配置指导

ICG防火墙配置指导 1 防火墙简介防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问，另一方面可以作为一个访问因特网的权限控制关口，控制内部网络用户对因特网进行Web访问或收发E-mail等。通过合理的配置防火墙可以大大提高网络的安全性和稳定性。 2 防火墙配置指导 2.1 基本配置步骤防火墙的基本配置顺序如下：首先使能防火墙： ipv4：系统视图下输入 firewall enable ipv6：系统视图下输入 firewall ipv6 enable 然后配置acl acl number 3000 rule 0 permit ip source 1.0.0.1 0 rule 10 deny ip 然后在接口上根据需要应用防火墙 interface Ethernet0/1 port link-mode route firewall packet-filter 3000 inbound ip address 5.0.0.2 255.255.255.0 2.2 基础配置举例：如前所说，在使能了防火墙后，就要按需求配置acl并应用在接口上，下面给出几个常见的需求的配置方法： et0/1 et0/0 以下的例子中的组网如下：其中内网地址192.168.0.2－192.168.1.255 2.2.1 禁止访问外网的某些地址用途：限制上网。比如禁止访问100.0.0.1地址 acl配置： [H3C]acl n 3000 [H3C-acl-adv-3000]rule deny ip destination 100.0.0.1 0 禁止100.0.0.1 [H3C-acl-adv-3000]rule permit ip 允许其它ip 端口配置，在内网口入方向配置防火墙 [H3C]int et0/1 [H3C-Ethernet0/1]firewall packet-filter 3000 inbound 备注：1）如果要禁止某个网段，则选择配置适当的掩码就可以了 2）如果内网口不止一个，可以在每一个需要的内网口都配上，或者在外网口的出方向配置防火墙 2.2.2 限制只能访问外网的某些地址用途：限制上网。比如只能访问200.0.0.1/24网段 acl配置： [H3C]acl n 3000 [H3C-acl-adv-3000]rule permit ip destination 200.0.0.1 0.0.0.255 允许访问200.0.0.1/24网段 [H3C-acl-adv-3000]rule deny ip 禁止访问其他网段端口配置，在内网口入方向配置防火墙 [H3C]int et0/1 [H3C-Ethernet0/1]firewall packet-filter 3000 inbound 备注：1）如果要增加其他允许的网段，就需要增加相应的rule 2）如果内网口不止一个，可以在每一个需要的内网口都配上，或者在外网口的出方向配置防火墙 2.2.3 限制只能某些地址可以访问外网用途：限制上网。比如只允许192.168.1.0/24网段的地址访问外网 acl配置： [H3C]acl n 3000 [H3C-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 允许192.168.1.0/24访问外网 [H3C-acl-adv-3000]rule deny ip 禁止其他地址访问端口配置，在内网口入方向配置防火墙 [H3C]int et0/1 [H3C-Ethernet0/1]firewall packet-filter 3000 inbound 备注：1）如果要更精确的控制，可以通过多条rule加更精细的掩码匹配来实现 2）如果内网口不止一个，可以在每一个需要的内网口都配上，或者在外网口的出方向配置防火墙。 2.2.4 禁止某些地址访问外网用途：限制上网。比如禁止192.168.0.5，192.168.1.59两个地址访问外网 acl配置： [H3C]acl n 3000 [H3C-acl-adv-3000]rule deny ip source 192.168.0.5 0 禁止192.168.0.5地址 [H3C-acl-adv-3000]rule deny ip source 192.168.1.59 0 禁止192.168.1.59地址 [H3C-acl-adv-3000]rule permit ip 允许其他地址端口配置，在内网口入方向配置防火墙 [H3C]int et0/1 [H3C-Ethernet0/1]firewall packet-filter 3000 inbound 备注：1）如果要对网段实现控制，设置规则时匹配该网段就可以了 2）如果内网口不止一个，可以在每一个需要的内网口都配上，或者在外网口的出方向配置防火墙。 2.2.5 禁止某些地址访问内网用途：放置非法访问。比如禁止200.0.0.1/24网段的地址访问内网: acl配置： [H3C]acl n 3000 [H3C-acl-adv-3000]rule deny ip source 200.0.0.1 0.0.0.255 禁止访问200.0.0.1/24 [H3C-acl-adv-3000]rule permit ip 允许其他地址端口配置，在外网口入方向配置防火墙 [H3C]int et0/0 [H3C-Ethernet0/0]firewall packet-filter 3000 inbound 备注：如果有多个网段需要禁止，就需要配置多条rule 2.2.6 限制内网的某些地址不能访问外网的某些地址用途：限制上网。比如192.168.1.0/24的地址段不能访问200.0.0.1/24 acl配置： [H3C]acl n 3000 [H3C-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 200.0.0.1 0.0.0.255 [H3C-acl-adv-3000]rule permit ip 允许其他地址端口配置，在内网口入方向配置防火墙 [H3C]int et0/1 [H3C-Ethernet0/1]firewall packet-filter 3000 inbound 备注：如果有多个网段需要禁止，就需要配置多条rule 2.2.7 限制ICMP报文用途：防攻击。只允许ping报文，屏蔽其他icmp报文，防止攻击 acl配置： [H3C]acl n 3000 [H3C-acl-adv-3000]rule permit icmp icmp-type echo [H3C-acl-adv-3000]rule permit icmp icmp-type echo-reply [H3C-acl-adv-3000]rule permit icmp icmp-type ttl-exceeded [H3C-acl-adv-3000]rule deny icmp 端口配置，在外网口入方向配置防火墙 [H3C]int et0/0 [H3C-Ethernet0/0]firewall packet-filter 3000 inbound 2.2.8 禁止外网访问某个端口用途：防攻击，限制应用。比如禁止外网访问300端口 acl配置： [H3C]acl n 3000 [H3C-acl-adv-3000]rule deny tcp destination-port eq 300 端口配置，在外网口入方向配置防火墙 [H3C]int et0/0 [H3C-Ethernet0/0]firewall packet-filter 3000 inbound 备注：可以配置某一段端口不能访问 2.2.9 只允许外网访问某个端口用途：防攻击，限制应用。比如只允许外网访问ftp端口 acl配置： [H3C]acl n 3000 [H3C-acl-adv-3000]rule permit tcp destination-port eq ftp 端口配置，在外网口入方向配置防火墙 [H3C]int et0/0 [H3C-Ethernet0/0]firewall packet-filter 3000 inbound [H3C-acl-adv-3000]rule deny tcp 备注：应用时可以加上ip地址的匹配，比如内网某台机器是ftp服务器，则可以配置该地址只开放ftp端口。 2.3 进阶配置 2.3.1 组合使用上面的配置可以在一条acl中配置多个rule，也可以在一个端口上分别配置inbound和outbound的规则进行匹配，通过灵活应用与组合，实现需要的保护与限制。 2.3.2 过滤常见攻击通过防火墙，过滤掉一些常见的攻击，以下推荐一些常用的配置：限制NETBIOS协议端口： [H3C]acl number 3000 [H3C-acl-adv-3000]rule deny udp destination-port eq netbios-ns [H3C-acl-adv-3000]rule deny udp destination-port eq netbios-dgm [H3C-acl-adv-3000]rule deny tcp destination-port eq 139 [H3C-acl-adv-3000]rule deny udp destination-port eq netbios-ssn 限制常见病毒使用的端口： [H3C]acl number 3000 [H3C-acl-adv-3000]rule deny tcp destination-port eq 135 / Worm.Blaster [H3C-acl-adv-3000]rule deny udp destination-port eq 135 / Worm.Blaster [H3C-acl-adv-3000]rule deny tcp destination-port eq 445 / Worm.Blaster [H3C-acl-adv-3000]rule deny udp destination-port eq 445 / Worm.Blaster [H3C-acl-adv-3000]rule deny udp destination-port eq 593 / Worm.Blaster [H3C-acl-adv-3000]rule deny tcp destination-port eq 593 / Worm.Blaster [H3C-acl-adv-3000]rule deny tcp destination-port eq 1433 / SQL Slammer [H3C-acl-adv-3000]rule deny tcp destination-port eq 1434 / SQL Slammer [H3C-acl-adv-3000]rule deny tcp destination-port eq 4444 / Worm.Blaster [H3C-acl-adv-3000]rule deny tcp destination-port eq 1025 / Sasser [H3C-acl-adv-3000]rule deny tcp destination-port eq 1068 / Sasser [H3C-acl-adv-3000]rule deny tcp destination-port eq 707 /Nachi Blaster-D [H3C-acl-adv-3000]rule deny tcp destination-port eq 5554 / Sasser [H3C-acl-adv-3000]rule deny tcp destination-port eq 9996 / Sasser 2.3.3 设置时间段如果要限制某段时间内使防火墙生效，就需要配置time-range，然后在acl的rule上加入此限制，方法如下：比如在工作时间，外网只能访问100.0.0.1，其他时间不做限制定义时间段： [H3C]time-range worktimeam 8:00 to 12:00 working-day 定义上午 [H3C]time-range worktimepm 13:00 to 17:00 working-day 定义下午如果不需要“午休”时间，那直接定义成8:00-17:00就可以了定义acl [H3C]acl n 3000 [H3C-acl-adv-3000]rule permit ip destination 100.0.0.1 0 time-range worktimeam [H3C-acl-adv-3000]rule permit ip destination 100.0.0.1 0 time-range worktimepm [H3C-acl-adv-3000]rule deny ip time-range worktimeam [H3C-acl-adv-3000]rule deny ip time-range worktimepm 端口配置，在内网口入方向配置防火墙 [H3C]int et0/1 [H3C-Ethernet0/1]firewall packet-filter 3000 inbound 2.3.1 配置推荐对于最基本的应用，给出以下的配置模版，包括屏蔽了常见攻击和内外网访问控制。内网口： acl number 3101 rule 10 permit icmp icmp-type echo rule 20 permit icmp icmp-type echo-reply rule 30 permit icmp icmp-type ttl-exceeded rule 40 deny icmp rule 110 deny tcp destination-port eq 135 rule 120 deny udp destination-port eq 135 rule 130 deny udp destination-port eq netbios-ns rule 140 deny udp destination-port eq netbios-dgm rule 150 deny tcp destination-port eq 139 rule 160 deny udp destination-port eq netbios-ssn rule 170 deny tcp destination-port eq 445 rule 180 deny udp destination-port eq 445 rule 190 deny udp destination-port eq 593 rule 200 deny tcp destination-port eq 593 rule 210 deny tcp destination-port eq 1433 rule 220 deny tcp destination-port eq 1434 rule 230 deny tcp destination-port eq 4444 rule 240 deny tcp destination-port eq 1025 rule 250 deny tcp destination-port eq 1068 rule 260 deny tcp destination-port eq 707 rule 270 deny tcp destination-port eq 5554 rule 280 deny tcp destination-port eq 9996 rule 2000 permit ip source 192.168.0.0 0.0.1.255 rule 3000 deny ip #在内网接口下应用： interface vlan-interface 1 ip address 192.168.0.1 255.255.254.0 firewall packet-filter 3101 inbound 外网口 acl number 3102 rule 10 permit icmp icmp-type echo rule 20 permit icmp icmp-type echo-reply rule 30 permit icmp icmp-type ttl-exceeded rule 40 deny icmp rule 110 deny tcp destination-port eq 135 rule 120 deny udp destination-port eq 135 rule 130 deny udp destination-port eq netbios-ns rule 140 deny udp destination-port eq netbios-dgm rule 150 deny tcp destination-port eq 139 rule 160 deny udp destination-port eq netbios-ssn rule 170 deny tcp destination-port eq 445 rule 180 deny udp destination-port eq 445 rule 190 deny udp destination-port eq 593 rule 200 deny tcp destination-port eq 593 rule 210 deny tcp destination-port eq 1433 rule 220 deny tcp destination-port eq 1434 rule 230 deny tcp destination-port eq 4444 rule 240 deny tcp destination-port eq 1025 rule 250 deny tcp destination-port eq 1068 rule 260 deny tcp destination-port eq 707 rule 270 deny tcp destination-port eq 5554 rule 280 deny tcp destination-port eq 9996 rule 2000 permit ip destination 192.168.0.0 0.0.1.255 rule 2010 permit tcp destination-port eq 23 rule 3000 deny ip #在WAN接口下应用： interface ethernet 0/0 ip address 202.198.11.2 255.255.255.0 firewall packet-filter 3102 inbound

http://www.dgtaixi.com/

posted on 2011-12-09 14:49 xieguang133 阅读(248) 评论(0) 收藏举报

刷新页面返回顶部

xieguang133

ICG防火墙配置指导

公告

导航