欢迎来到天天文库
浏览记录
ID:59104695
大小:94.56 KB
页数:8页
时间:2020-09-13
《轻松配置ICG之一:ICG防火墙配置指导.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、.ICG防火墙配置指导1防火墙简介防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问,另一方面可以作为一个访问因特网的权限控制关口,控制内部网络用户对因特网进行Web访问或收发E-mail等。通过合理的配置防火墙可以大大提高网络的安全性和稳定性。2防火墙配置指导2.1基本配置步骤防火墙的基本配置顺序如下:首先使能防火墙:ipv4:系统视图下输入firewallenableipv6:系统视图下输入firewallipv6enable然后配置aclaclnumber3000rule0permitipsource1.0.0.10rule1
2、0denyip然后在接口上根据需要应用防火墙interfaceEthernet0/1portlink-moderoutefirewallpacket-filter3000inboundipaddress5.0.0.2255.255.255.02.2基础配置举例:如前所说,在使能了防火墙后,就要按需求配置acl并应用在接口上,下面给出几个常见的需求的配置方法:以下的例子中的组网如下:et0/1et0/0内网ICG设备外网'..其中内网地址192.168.0.2-192.168.1.2552.2.1禁止访问外网的某些地址用途:限制上网。比如禁止
3、访问100.0.0.1地址acl配置:[H3C]acln3000[H3C-acl-adv-3000]ruledenyipdestination100.0.0.10禁止100.0.0.1[H3C-acl-adv-3000]rulepermitip允许其它ip端口配置,在内网口入方向配置防火墙[H3C]intet0/1[H3C-Ethernet0/1]firewallpacket-filter3000inbound备注:1)如果要禁止某个网段,则选择配置适当的掩码就可以了2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方
4、向配置防火墙2.2.2限制只能访问外网的某些地址用途:限制上网。比如只能访问200.0.0.1/24网段acl配置:[H3C]acln3000[H3C-acl-adv-3000]rulepermitipdestination200.0.0.10.0.0.255允许访问200.0.0.1/24网段[H3C-acl-adv-3000]ruledenyip禁止访问其他网段端口配置,在内网口入方向配置防火墙[H3C]intet0/1[H3C-Ethernet0/1]firewallpacket-filter3000inbound备注:1)如果要增加
5、其他允许的网段,就需要增加相应的rule2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方向配置防火墙2.2.3限制只能某些地址可以访问外网用途:限制上网。比如只允许192.168.1.0/24网段的地址访问外网acl配置:[H3C]acln3000'..[H3C-acl-adv-3000]rulepermitipsource192.168.1.00.0.0.255允许192.168.1.0/24访问外网[H3C-acl-adv-3000]ruledenyip禁止其他地址访问端口配置,在内网口入方向配置防火墙[H3C
6、]intet0/1[H3C-Ethernet0/1]firewallpacket-filter3000inbound备注:1)如果要更精确的控制,可以通过多条rule加更精细的掩码匹配来实现2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方向配置防火墙。2.2.4禁止某些地址访问外网用途:限制上网。比如禁止192.168.0.5,192.168.1.59两个地址访问外网acl配置:[H3C]acln3000[H3C-acl-adv-3000]ruledenyipsource192.168.0.50禁止192.168.
7、0.5地址[H3C-acl-adv-3000]ruledenyipsource192.168.1.590禁止192.168.1.59地址[H3C-acl-adv-3000]rulepermitip允许其他地址端口配置,在内网口入方向配置防火墙[H3C]intet0/1[H3C-Ethernet0/1]firewallpacket-filter3000inbound备注:1)如果要对网段实现控制,设置规则时匹配该网段就可以了2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方向配置防火墙。2.2.5禁止某些地址访问内网用
8、途:放置非法访问。比如禁止200.0.0.1/24网段的地址访问内网:acl配置:[H3C]acln3000[H3C-acl-adv-3000]ruledenyipsource2
此文档下载收益归作者所有