• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙F1000-AK115 禁止访问国外地址

2024-06-24提问
  • 0关注
  • 0收藏,576浏览
粉丝:0人 关注:0人

问题描述:

咨询大佬 ,防火墙F1000-AK115 怎么禁止内网用户不能访问国外的所有地址,华为好像有这个功能。

最佳答案

粉丝:7人 关注:20人

参考:

https://www.h3c.com/cn/d_202310/1953563_30003_0.htm 

操作参考:

地区识别

1.1  地区识别简介

地区识别功能主要用于识别报文源IP地址和目的IP地址所在的地理位置,从而配合安全策略实现基于地理位置的报文控制。

本特性所指的“地区”是本地区中所有IP地址的集合,可通过在设备上加载地区特征库文件及手工配置地区,将各个国家、省、市等地区及各地区对应的IP地址添加至地区识别模块中。报文经过设备时,地区识别模块将通过报文中携带的IP地址获知该报文的来源地和目的地,然后配合安全策略实现基于源、目的地区的报文控制。

图1-1 地区识别示意图

 

1.2  地区识别配置任务简介

地区识别配置任务如下:

(1)     配置地区

(2)     配置地区组

(3)     加载地区特征库

1.3  配置地区

1. 功能简介

地区包括预定义地区、自定义地区和未知地区:

·     预定义地区:通过设备中的地区特征库定义,包括国家、省和城市。

·     自定义地区:用户手动创建的地区,可用于表示预定义地区之外的其他地区范围,如某县/区、乡镇、街道等。通过将对应的IP地址加入自定义地区视图的方式实现。

·     未知地区:是特征库中一种特殊的地区类型,用于存放不确定所属地区的IP地址。

2. 配置限制和指导

自定义地区名称不能与预定义地区名称相同。

不同地区中手动添加的IP地址不允许重叠。

当手动添加的IP地址与预设IP地址重叠时,预设IP地址不生效。

仅自定义地区可配置经纬度,其他地区类型不可配置。预定义地区经纬度为固定值,未知地区不存在经纬度。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入地区视图。

geo-location { unknown | { pre-defined | user-defined } geo-location-name }

(3)     向地区中添加IP地址。

ip address { ip-address { mask-length | mask } | range ip-address1 ip-address2 }

缺省情况下,仅预定义地区和未知地区中包含预设IP地址。

通过undo ip address命令仅能删除手动添加的IP地址,不能删除预定义地区的预设IP地址。

(4)     (可选)配置自定义地区的经纬度。

coordinate longitude longitude-value latitude latitude-value

缺省情况下,未配置自定义地区的经纬度。

(5)     (可选)配置地区的描述信息。

description text

缺省情况下,未配置地区的描述信息。

1.4  配置地区组

1. 功能简介

可以将具有相似特征的地区添加到一个地区组中,也可以将一个地区组添加到另一个地区组中。可基于地区组对多个地区的报文做统一处理,从而简化配置。

2. 配置限制和指导

地区组的引用不能形成循环嵌套,譬如地区组a引用地区组b,则地区组b不能再引用地区组a。

地区组最大嵌套层次为3层,譬如地区组1、2分别引用地区组2、3,则地区组3不能再引用其他地区组,地区组1也不能再被其他地区组引用。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建地区组,并进入地区组视图。

geo-location-group geo-location-group-name

(3)     向地区组中添加地区成员。

add geo-location geo-location-name

缺省情况下,地区组中不存在地区成员。

(4)     向地区组中添加地区组成员。

add geo-location-group geo-location-group-name

缺省情况下,地区组中不存在地区组成员。

(5)     (可选)配置地区组的描述信息。

description text

缺省情况下,未配置地区组的描述信息。

1.5  加载地区特征库

1. 功能简介

地区特征库中包含了预定义的国家、省和城市等各个地区及其对应的公网IP地址,其中,中国地区还会包含省和城市级别信息。设备初始状态下已加载默认地区特征库,若需升级地区特征库,请先从官网获取最新版本地区特征库文件,拷贝至设备本地根目录下,并执行加载地区特征库操作。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     加载地区特征库文件。

geo-load file-name

1.6  地区识别显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后地区识别的运行情况,通过查看显示信息验证配置的效果。

表1-1 地区识别显示和维护

操作

命令

显示地区的信息

display geo-location { all | type { pre-defined | unknown | user-defined } | name geo-location-name }

显示IP地址所属的地区

display geo-location ip ip-address

显示地区组的信息

display geo-location-group [ name geo-location-group-name ]

 

1.7  地区识别典型配置举例

关于基于地区识别的典型配置举例,请参见“安全配置指导”中的“安全策略”。



没有这个命令 哈哈

zhiliao_M43LQ 发表时间:2024-06-25 更多>>

没有这个命令 哈哈

zhiliao_M43LQ 发表时间:2024-06-25
3 个回答
粉丝:171人 关注:8人

是的,百度地址库导入吧

粉丝:124人 关注:1人

根据地址库来就行了

目前ipv4公网地址已经分完了

思路:

允许国内地址,然后屏蔽所有目标地址即可

zhiliao_M43LQ 知了小白
粉丝:0人 关注:0人

谢谢各位!

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明