可通过acl方式实现

如G0/0为外网口

sys

acl a 3003

ru 10 den icmp

ru 100 per ip so 1.1.1.1 0

int g 0/0

pa 3003 in

save fo

#请提前做好配置备份保存等工作，以防万一。建议最好提前申请空窗期操作。以免对业务造成影响。

参考这个案例

H3C-MSR系列路由器开局默认允许外网telnet和web管理，经过对大部分企业专线IP段扫描，发现大部分使用H3C路由器作为出口网关的中小企业，并未在出口路由器上配置ACL策略以屏蔽远程管理端口。由于大部分运营商已在上层路由屏蔽非IDC机房IP段的80,8080,445端口，所以只需在路由器上做ACL禁止外网或者仅允许指定IP进行Telnet和SSH。

MSR系列大部分无法从WEB界面配置ACL，需要在命令行下进行配置。

以下两种方法可达到禁止外网管理的目的。

假设管理员vlan的IP段是172.31.255.0/24，ACL配置如下

<H3C>system-view

[H3C]acl num 2100 

[H3C-acl-basic-2100]rule 10 permit source 172.31.255.0 0.0.0.255

[H3C-acl-basic-2100]rule 100 deny

[H3C-acl-basic-2100]quit

[H3C]user-interface vty 0 4

[H3C-ui-vty-0-4]acl 2100 inbound

[H3C-ui-vty-0-4]quit

此方法可以禁止外网telnet或者ssh，但是从外网仍然可以扫描到主机开放的22,23端口，系统会产生大量来自世界各国的IP登录失败的日志。

方法二：使用高级ACL来阻断外网的请求，假设企业出口固定IP为1.1.1.1

<H3C>system-view

[H3C]acl num 3100

[H3C-acl-adv-3100]rule 10 permit tcp source 172.31.255.0 0.0.0.255 destination-port eq 23

[H3C-acl-adv-3100]rule 11 permit tcp source 172.31.255.0 0.0.0.255 destination-port eq 22

[H3C-acl-adv-3100]rule 100 deny tcp destination 1.1.1.1 0 destination-port eq 23

[H3C-acl-adv-3100]rule 110 deny tcp destination 1.1.1.1 0 destination-port eq 22

[H3C-acl-adv-3100]quit

[H3C]interface g0/0  #假设WAN口是GE0/0

[H3C-GigabitEthernet0/0] acl 3100 inbound

[H3C-GigabitEthernet0/0]quit

[H3C]firewall enable

[H3C]save

方法二使用高级ACL可以完全阻断来自外网的telnet、ssh请求，可以使黑客无法扫描到端口