配置ACL包过滤防火墙

组网需求

如图1所示,Router的接口Eth2/0/0连接一个高安全优先级的内部网络,接口GE3/0/0连接低安全优先级的外部网络,需要对内部网络和外部网络之间的通信实施包过滤。具体要求如下:

图1 配置ACL包过滤组网图

配置思路

采用如下思路配置ACL包过滤防火墙:

  1. 配置安全区域和安全域间。

  2. 将接口加入安全区域。

  3. 配置ACL。

  4. 在安全域间配置基于ACL的包过滤。

操作步骤

  1. 在Router上配置安全区域和安全域间。

    <Huawei> system-view
[Huawei] firewall zone trust
[Huawei-zone-trust] priority 14
[Huawei-zone-trust] quit
[Huawei] firewall zone untrust
[Huawei-zone-untrust] priority 1
[Huawei-zone-untrust] quit
[Huawei] firewall interzone trust untrust
[Huawei-interzone-trust-untrust] firewall enable
[Huawei-interzone-trust-untrust] quit
  2. 在Router上将接口加入安全区域。 
    [Huawei] vlan 100 
[Huawei-vlan100] quit
[Huawei] interface vlanif 100
[Huawei-Vlanif100] ip address 10.38.1.1 24
[Huawei-Vlanif100] quit
[Huawei] interface ethernet 2/0/0
[Huawei-Ethernet2/0/0] port link-type access 
[Huawei-Ethernet2/0/0] port default vlan 100 
[Huawei-Ethernet2/0/0] quit
[Huawei] interface vlanif 100
[Huawei-Vlanif100] zone trust
[Huawei-Vlanif100] quit
[Huawei] interface gigabitethernet 3/0/0
[Huawei-GigabitEthernet3/0/0] ip address 10.39.2.1 24 
[Huawei-GigabitEthernet3/0/0] zone untrust
[Huawei-GigabitEthernet3/0/0] quit
  3. 在Router上配置ACL。 
    [Huawei] acl 3102
[Huawei-acl-adv-3102] rule permit tcp source 10.39.2.3 0.0.0.0 destination 10.38.1.2 0.0.0.0
[Huawei-acl-adv-3102] rule permit tcp source 10.39.2.3 0.0.0.0 destination 10.38.1.3 0.0.0.0
[Huawei-acl-adv-3102] rule permit tcp source 10.39.2.3 0.0.0.0 destination 10.38.1.4 0.0.0.0
[Huawei-acl-adv-3102] rule deny ip
[Huawei-acl-adv-3102] quit
  4. 在Router上配置包过滤。 
    [Huawei] firewall interzone trust untrust
[Huawei-interzone-trust-untrust] packet-filter 3102 inbound
[Huawei-interzone-trust-untrust] quit
  5. 验证配置结果。

    配置成功后,仅特定主机(10.39.2.3)可以访问内部服务器。

    在Router上执行display firewall interzone [ zone-name1 zone-name2 ]命令,结果如下。

    [Huawei] display firewall interzone trust untrust 
interzone trust untrust                                                         firewall enable                                                                packet-filter default deny inbound                                             packet-filter default permit outbound                                          packet-filter 3102 inbound

配置文件

Router的配置文件

#                                                                               vlan batch 100
#
acl number 3102                                                                 rule 5 permit tcp source 10.39.2.3 0 destination 10.38.1.2 0                 rule 10 permit tcp source 10.39.2.3 0 destination 10.38.1.3 0                rule 15 permit tcp source 10.39.2.3 0 destination 10.38.1.4 0                rule 20 deny ip
#
interface Vlanif100  ip address 10.38.1.1 255.255.255.0    zone trust
#
firewall zone trust                                                             priority 14
#
firewall zone untrust                                                           priority 1
#
firewall interzone trust untrust                                                firewall enable                                                                packet-filter 3102 inbound
#
interface Ethernet2/0/0port link-type access                                                          port default vlan 100
#
interface GigabitEthernet3/0/0ip address 10.39.2.1 255.255.255.0zone untrust
#
return

配置ACL包过滤防火墙典型实验相关推荐

  1. 网络安全:包过滤防火墙和代理防火墙(应用网关防火墙)

    一. 背景 如今计算机安全最严重的威胁之一就是恶意用户或软件通过网络对计算机系统的入侵或攻击,加密技术并不能阻止植入了 "特洛伊木马" 的计算机系统通过网络向攻击者泄露秘密信息,因 ...

  2. 华为Eudemon系列防火墙典型配置!

    目前还没有,不过可以参考配置手册,里面讲的很详细.以下列出部分Eudemon 200的常用***防范知识以及常见的配置给你简单参考!需要了解更详细的内容(包括其他Eudemon 100等产品)就去看手 ...

  3. HUAWEI+Eudemon1000E+防火墙+典型配置案例

    当使用consol口登入Eudemon1000E 防火墙时,如果登入失败退出可能会被锁定,提示:User interface con0 is locked! 锁定的时间默认是10分钟,可以通过对con ...

  4. 包过滤防火墙配置和应用

    实验目的:在linux系统下,包过滤防火墙配置及其应用. 实验环境:装linux系统环境(一台:配置包过滤防火墙)和安装Windows2003系统环境(一台:作客户端).其中一台机器(linux系统) ...

  5. 包过滤防火墙配置举例

    包过滤防火墙配置举例 1.网络说明:为了将内部网段192.168.0.0/24和internet隔离,在内部网络和internet之间使用包过滤防火墙,防火墙的内网接口是eth1(192.168.0. ...

  6. 防火墙配置【最详细的实验演示】

    目录 拓扑及拓扑分析 进入防火墙前准备工作 1.配置其他区域ip 2.如何进入防火墙 防火墙的安全域 1.防火墙的5个安全域 2.如何自定义安全域 3.接口加入安全域 ​        4.配置接口i ...

  7. 安全进阶:虚拟防火墙基础实验

    实验拓扑 网络拓扑及IP编址如上图所示: 实验需求 PC2与Server2属于一个敏感的业务,这个业务的流量要求与防火墙上的其他流量完全隔离,使用虚拟防火墙技术实现这个需求: PC2要求能够访问Ser ...

  8. ensp配置ACL访问控制列表

    简介:访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃.访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地 ...

  9. H3C 防火墙混合实验 新华三杯拆解

    H3C 防火墙混合实验 一.项目拓扑 二.项目需求 三.配置步骤 1. 配置IP地址 2. FW默认路由,FW指向internet 3. 绑定防火墙安全域端口 4. 配置防火墙安全策略 5. OSPF ...

最新文章

  1. AjaxFileUpload文件上传组件(php+jQuery+ajax)
  2. 使用torchvision.models.inception_v3(pretrained=True)加载预训练的模型每次都特别慢
  3. linux命令之awk命令
  4. Java Code Examples for java.net.Authenticator
  5. linux db2乱码,DB2乱码(开始和结束,字符串中间没有好的办法)
  6. Python中span()函数的作用
  7. dataframe转化为array_【Python专栏】12 种高效 Numpy 和 Pandas 函数为你加速分析
  8. 帝国cms 未审核 showinfo.php,帝国CMS批量修改文章未审核状态及批量修改上线时间...
  9. C++学习——拷贝构造函数和移动构造函数
  10. mysql外键排序规则_mysql创建外键出错(注意数据库表字段排序)
  11. 《设计模式详解》行为型模式 - 模板方法模式
  12. 【推荐】不到100行实现的全面NLP教程(pytorch+tensorflow)
  13. C#学习笔记——.NET
  14. 我被房东的由器了 怎么办呀 高手们请帮帮
  15. 牛津高阶字典ld2_(离线)英语词典软件推荐
  16. linux远程桌面rdesktop,Linux下通过rdesktop连接Windows远程桌面
  17. 解决Ubuntu远程连接mysql连不上的问题
  18. 关于Ubuntu的16.04对应版本的ros安装和turtlebot安装
  19. 配置文件App.config 生成和调用的两种方式
  20. 虚拟机配置固定网关及用Xshell连接虚拟机IP

热门文章

  1. Codeforces Parking Lot
  2. win7下IIS搭建ftp服务器的方法
  3. VMWare虚拟机非正常关闭后无法启动的解决方案
  4. c语言课程设计黄金矿工,C语言课程设计黄金矿工(提高篇)
  5. C++如何定义一个函数指针
  6. cdn.jsdelivr.net不可用,该怎么办
  7. Ubuntu mate 20.4视频画面撕裂问题
  8. Ubuntu 20.04 画面撕裂解决办法
  9. Android通过Web与后台数据库交互
  10. vb的while和do循环