7510
- 0关注
- 1收藏,1348浏览
问题描述:
实际情况是7510做核心交换机,A是客户机,B是web服务器(iis搭建),现在害怕B主机的病毒或者木马入侵其他客户机,想实现客户机A能访问B主机,但B主机不能访问包括A主机在内的其他客户机。这样B的病毒或者木马就不会主动攻击其他客户机。请教了!
组网及组网描述:
实际情况是7510做核心交换机,A是客户机,B是web服务器(iis搭建),现在害怕B主机的病毒或者木马入侵其他客户机,想实现客户机A能访问B主机,但B主机不能访问包括A主机在内的其他客户机。这样B的病毒或者木马就不会主动攻击其他客户机。请教了!
- 2021-08-10提问
- 举报
-
(0)
最佳答案
您好,设置单向访问
#创建ACL,其中第1条匹配带有ack标志位的TCP连接报文,第2条匹配TCP连接syn报文
[H3C]acl number 3001
[H3C-acl-adv-3001]rule 0 permit tcp ack 1 source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
[H3C-acl-adv-3001]quit
[H3C]acl number 3002
[H3C-acl-adv-3002]rule 0 permit tcp syn 1 source 2.2.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
#创建流分类,匹配相应的ACL
[H3C]traffic classifier 3001
[H3C-classifier-3001]if-match acl 3001
[H3C-classifier-3001]quit
[H3C]traffic classifier 3002
[H3C-classifier-3002]if-match acl 3002
#创建流行为,permit 带有ack标志位的TCP连接报文,deny TCP连接syn报文。
[H3C]traffic behavior 3001
[H3C-behavior-3001]filter permit
[H3C-behavior-3001]quit
[H3C]traffic behavior 3002
[H3C-behavior-3002]filter deny
#创建Qos策略,关联流分类和流行为。
[H3C]qos policy 3000
[H3C-qospolicy-3000]classifier 3001 behavior 3001
[H3C-qospolicy-3000]classifier 3002 behavior 3002
#在端口入方向下发Qos策略
[H3C]interface GigabitEthernet 1/0/24
[H3C-GigabitEthernet1/0/24]qos apply policy 3000 inbound
- 2021-08-10回答
- 评论(0)
- 举报
-
(0)
可以配置使用ACL进行高危端口拦截,以下是参考命令:
1、创建ACL,对高危端口进行拦截:
acl number 3210
rule 0 deny tcp destination-port eq 135
rule 1 deny udp destination-port eq 135
rule 2 deny tcp destination-port eq 137
rule 3 deny udp destination-port eq netbios-ns
rule 4 deny tcp destination-port eq 138
rule 5 deny udp destination-port eq netbios-dgm
rule 6 deny udp destination-port eq netbios-ssn
rule 7 deny tcp destination-port eq 139
rule 8 deny tcp destination-port eq 445
rule 9 deny udp destination-port eq 445
rule 10 deny tcp destination-port eq 3389
rule 11 deny udp destination-port eq 3389
rule 20 deny tcp source-port eq 135
rule 21 deny udp source-port eq 135
rule 22 deny tcp source-port eq 137
rule 23 deny udp source-port eq netbios-ns
rule 24 deny tcp source-port eq 138
rule 25 deny udp source-port eq netbios-dgm
rule 26 deny udp source-port eq netbios-ssn
rule 27 deny tcp source-port eq 139
rule 28 deny tcp source-port eq 445
rule 29 deny udp source-port eq 445
rule 30 deny tcp source-port eq 3389
rule 31 deny udp source-port eq 3389
rule 1500 permit ip
2、将ACL下发到端口:
int range gi 1/0/1 gi 1/0/24
packet-filter 3210 inbound
packet-filter 3210 outbound
quit
- 2021-08-10回答
- 评论(0)
- 举报
-
(1)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论