问题描述:
咨询大佬 ,防火墙F1000-AK115 怎么禁止内网用户不能访问国外的所有地址,华为好像有这个功能。
- 2024-06-24提问
- 举报
-
(0)
最佳答案
参考:
https://www.h3c.com/cn/d_202310/1953563_30003_0.htm
操作参考:
地区识别
1.1 地区识别简介
地区识别功能主要用于识别报文源IP地址和目的IP地址所在的地理位置,从而配合安全策略实现基于地理位置的报文控制。
本特性所指的“地区”是本地区中所有IP地址的集合,可通过在设备上加载地区特征库文件及手工配置地区,将各个国家、省、市等地区及各地区对应的IP地址添加至地区识别模块中。报文经过设备时,地区识别模块将通过报文中携带的IP地址获知该报文的来源地和目的地,然后配合安全策略实现基于源、目的地区的报文控制。
图1-1 地区识别示意图
1.2 地区识别配置任务简介
地区识别配置任务如下:
(1) 配置地区
(2) 配置地区组
(3) 加载地区特征库
1.3 配置地区
1. 功能简介
地区包括预定义地区、自定义地区和未知地区:
· 预定义地区:通过设备中的地区特征库定义,包括国家、省和城市。
· 自定义地区:用户手动创建的地区,可用于表示预定义地区之外的其他地区范围,如某县/区、乡镇、街道等。通过将对应的IP地址加入自定义地区视图的方式实现。
· 未知地区:是特征库中一种特殊的地区类型,用于存放不确定所属地区的IP地址。
2. 配置限制和指导
自定义地区名称不能与预定义地区名称相同。
不同地区中手动添加的IP地址不允许重叠。
当手动添加的IP地址与预设IP地址重叠时,预设IP地址不生效。
仅自定义地区可配置经纬度,其他地区类型不可配置。预定义地区经纬度为固定值,未知地区不存在经纬度。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) 进入地区视图。
geo-location { unknown | { pre-defined | user-defined } geo-location-name }
(3) 向地区中添加IP地址。
ip address { ip-address { mask-length | mask } | range ip-address1 ip-address2 }
缺省情况下,仅预定义地区和未知地区中包含预设IP地址。
通过undo ip address命令仅能删除手动添加的IP地址,不能删除预定义地区的预设IP地址。
(4) (可选)配置自定义地区的经纬度。
coordinate longitude longitude-value latitude latitude-value
缺省情况下,未配置自定义地区的经纬度。
(5) (可选)配置地区的描述信息。
description text
缺省情况下,未配置地区的描述信息。
1.4 配置地区组
1. 功能简介
可以将具有相似特征的地区添加到一个地区组中,也可以将一个地区组添加到另一个地区组中。可基于地区组对多个地区的报文做统一处理,从而简化配置。
2. 配置限制和指导
地区组的引用不能形成循环嵌套,譬如地区组a引用地区组b,则地区组b不能再引用地区组a。
地区组最大嵌套层次为3层,譬如地区组1、2分别引用地区组2、3,则地区组3不能再引用其他地区组,地区组1也不能再被其他地区组引用。
3. 配置步骤
(1) 进入系统视图。
system-view
(2) 创建地区组,并进入地区组视图。
geo-location-group geo-location-group-name
(3) 向地区组中添加地区成员。
add geo-location geo-location-name
缺省情况下,地区组中不存在地区成员。
(4) 向地区组中添加地区组成员。
add geo-location-group geo-location-group-name
缺省情况下,地区组中不存在地区组成员。
(5) (可选)配置地区组的描述信息。
description text
缺省情况下,未配置地区组的描述信息。
1.5 加载地区特征库
1. 功能简介
地区特征库中包含了预定义的国家、省和城市等各个地区及其对应的公网IP地址,其中,中国地区还会包含省和城市级别信息。设备初始状态下已加载默认地区特征库,若需升级地区特征库,请先从官网获取最新版本地区特征库文件,拷贝至设备本地根目录下,并执行加载地区特征库操作。
2. 配置步骤
(1) 进入系统视图。
system-view
(2) 加载地区特征库文件。
geo-load file-name
1.6 地区识别显示和维护
在完成上述配置后,在任意视图下执行display命令可以显示配置后地区识别的运行情况,通过查看显示信息验证配置的效果。
表1-1 地区识别显示和维护
操作 | 命令 |
显示地区的信息 | display geo-location { all | type { pre-defined | unknown | user-defined } | name geo-location-name } |
显示IP地址所属的地区 | display geo-location ip ip-address |
显示地区组的信息 | display geo-location-group [ name geo-location-group-name ] |
1.7 地区识别典型配置举例
关于基于地区识别的典型配置举例,请参见“安全配置指导”中的“安全策略”。
- 2024-06-24回答
- 评论(1)
- 举报
-
(0)
没有这个命令 哈哈
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
没有这个命令 哈哈