• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

SECPATH-F100-C-G2 技术支持

2025-06-13提问
  • 0关注
  • 0收藏,322浏览
粉丝:0人 关注:0人

问题描述:

防火墙配置,1 口是 Untrust 其他口是 trust 想配置 如 trust 访问 untrust 要加一这 mac 加 ip 认证才通过,untrust 访问 trust 要有 ip 白名单才可以访问 trust 的所有端口。如何关闭高危端口。

最佳答案

粉丝:120人 关注:9人

安全策略限制就可以 

不论是限制IP访问还是限制高危端口,都通过安全策略限制


eb方式:基于IP地址的安全策略典型配置

使用版本

本举例是在F1000-AI-55R8860版本上进行配置和验证的。

组网需求

-1所示,某公司内的各部门之间通过Device实现互连,该公司的工作时间为每周工作日的8点到18点。通过配置安全策略,实现如下需求:

  • 允许总裁办在任意时间、财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务。

  • 禁止其它部门在任何时间、财务部在非工作时间通过HTTP协议访问财务数据库服务器的Web服务。

图-1 基础安全策略典型配置组网图

 

配置步骤

  1. 配置安全域

选择“网络 > 安全域”,进入安全域配置页面,依次配置如下内容。

  • 创建名为database的安全域,并将接口GigabitEthernet1/0/1加入该安全域中

  • 创建名为president的安全域,并将接口GigabitEthernet1/0/2加入该安全域中

  • 创建名为finance的安全域,并将接口GigabitEthernet1/0/3加入该安全域中

  • 创建名为market的安全域,并将接口GigabitEthernet1/0/4加入该安全域中

  1. 配置接口IP地址

选择“网络 > 接口 > 接口”,进入接口配置页面。

单击接口GE1/0/1右侧的<编辑>按钮,配置如下。

  • 选择“IPv4地址”页签,配置IP地址/掩码:192.168.0.1/24

  • 其他配置项使用缺省值

单击<确定>按钮,完成接口IP地址的配置。

按照同样的步骤配置接口GE1/0/2,配置如下。

  • IP地址/掩码:192.168.1.1/24

  • 其他配置项使用缺省值

按照同样的步骤配置接口GE1/0/3,配置如下。

  • IP地址/掩码:192.168.2.1/24

  • 其他配置项使用缺省值

按照同样的步骤配置接口GE1/0/4,配置如下。

  • IP地址/掩码:192.168.3.1/24

  • 其他配置项使用缺省值

  1. 配置时间段

创建名为work的时间段,其时间范围为每周工作日的8点到18点。

选择“对象 > 对象组 > 时间段”,进入时间段配置页面,配置如下。

  • 名称为work

  • 周期时间段为每周工作日的8点到18

  1. 创建源安全域president到目的安全域database的安全策略,允许总裁办在任意时间通过HTTP协议访问财务数据库服务器

选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。

单击<新建>按钮,选择新建策略,进入新建安全策略页面,配置如下。

图-2 配置安全策略

 

其他配置项保持默认情况即可。

单击<确定>按钮,完成安全策略president-database的配置。

  1. 创建源安全域finance到目的安全域database的安全策略,只允许财务部在工作时间通过HTTP协议访问财务数据库服务器

选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。

单击<新建>按钮,选择新建策略,进入新建安全策略页面,配置如下。

图-3 配置安全策略

 

其他配置项保持默认情况即可。

单击<确定>按钮,完成安全策略finance-database的配置。

  1. 创建源安全域market到目的安全域database的安全策略,禁止市场部在任何时间通过HTTP协议访问财务数据库服务器

选择“策略 > 安全策略 > 安全策略”,选择新建策略,进入新建安全策略页面,进入安全策略配置页面。

单击<新建>按钮,配置如下。

图-4 配置安全策略

 

其他配置项保持默认情况即可。

单击<确定>按钮,完成安全策略market-database的配置。

  1. 激活安全策略加速

选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面。

在安全策略页面,单击<立即加速>按钮,激活安全策略加速。

验证配置

暂无评论

1 个回答
粉丝:32人 关注:1人

为了实现您的需求,您需要在防火墙设备上进行以下配置: 1. **Trust访问Untrust**: - 配置MAC和IP认证: ``` [Device] security-policy ip [Device-security-policy-ip] rule name trust-untrust-mac-ip-auth [Device-security-policy-ip-1-trust-untrust-mac-ip-auth] source-zone trust [Device-security-policy-ip-1-trust-untrust-mac-ip-auth] destination-zone untrust [Device-security-policy-ip-1-trust-untrust-mac-ip-auth] source-mac 00:11:22:33:44:55 [Device-security-policy-ip-1-trust-untrust-mac-ip-auth] source-ip-host 192.168.1.2 ``` - 确保只有通过MAC和IP认证的流量才能从Trust域访问Untrust域。 2. **Untrust访问Trust**: - 配置IP白名单: ``` [Device] security-policy ip [Device-security-policy-ip] rule name untrust-trust-whitelist [Device-security-policy-ip-1-untrust-trust-whitelist] source-zone untrust [Device-security-policy-ip-1-untrust-trust-whitelist] destination-zone trust [Device-security-policy-ip-1-untrust-trust-whitelist] source-ip-host 20.1.1.2 ``` - 确保只有来自IP白名单的流量才能访问Trust域内的所有端口。 3. **关闭高危端口**: - 在防火墙的安全策略中,创建规则来阻止特定的高危端口: ``` [Device] security-policy ip [Device-security-policy-ip] rule name block-high-risk-ports [Device-security-policy-ip-1-block-high-risk-ports] source-zone any [Device-security-policy-ip-1-block-high-risk-ports] destination-zone any [Device-security-policy-ip-1-block-high-risk-ports] action drop [Device-security-policy-ip-1-block-high-risk-ports] service tcp-port-range 1-1023 ``` - 这里以TCP端口1-1023为例,您可以根据实际情况调整端口范围,以关闭其他高危端口。 以上配置将确保Trust域内的设备只有在通过MAC和IP认证后才能访问Untrust域,同时Untrust域内的设备只有在IP白名单中才能访问Trust域的所有端口,并且所有高危端口的流量将被阻止。请根据您的具体需求调整上述配置中的IP地址、MAC地址和端口范围。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明