防火墙禁用22 ssh登录及高危端口

1.1.6  ssh server acl

ssh server acl命令用来设置对IPv4 SSH客户端的访问控制。

undo ssh server acl命令用来恢复缺省情况。

【命令】

ssh server acl { advanced-acl-number | basic-acl-number | mac mac-acl-number }

undo ssh server acl

【缺省情况】

允许所有IPv4 SSH客户端向设备发起SSH访问。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

advanced-acl-number：指定IPv4高级ACL，取值范围为3000～3999。

basic-acl-number：指定IPv4基本ACL，取值范围为2000～2999。

mac acl-number：指定二层ACL。acl-number是二层ACL的编号，取值范围为4000～4999。

【使用指导】

对IPv4 SSH客户端的访问控制通过引用ACL来实现，具体情况如下：

·     当引用的ACL不存在或者引用的ACL为空时，不允许IPv4 SSH客户端访问设备。

·     当引用的ACL非空时，则只有匹配ACL中permit规则的IPv4 SSH客户端可以访问设备，其他客户端不可以访问设备。

·     在引用的ACL中，若某规则指定了vpn-instance参数，则表示该规则仅对VPN报文有效；若规则未指定vpn-instance参数，则表示该规则仅对公网报文有效。

该配置生效后，只会过滤新建立的SSH连接，不会影响已建立的SSH连接。

对于IPv4 SSH客户端，本命令不能设置对NETCONF over SSH客户端的访问控制。如果用户需要设置对NETCONF over SSH客户端的访问控制，请使用netconf ssh acl命令设置访问控制。有关netconf ssh acl命令的详细介绍，请参见“网络管理和监控命令参考”中的“NETCONF”。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 只允许IPv4地址为1.1.1.1的SSH客户端向设备发起SSH访问。

<Sysname> system-view

[Sysname] acl basic 2001

[Sysname-acl-ipv4-basic-2001] rule permit source 1.1.1.1 0

[Sysname-acl-ipv4-basic-2001] quit

[Sysname] ssh server acl 2001

【相关命令】

·     display ssh server

1.1.7  ssh server acl-deny-log enable

ssh server acl-deny-log enable命令用来开启匹配ACL deny规则后打印日志信息功能。

undo ssh server acl-deny-log enable命令用来关闭匹配ACL deny规则后打印日志信息功能。

【命令】

ssh server acl-deny-log enable

undo ssh server acl-deny-log enable

【缺省情况】

匹配ACL deny规则后打印日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

通过配置ssh server acl和ssh server ipv6 acl命令，可限制SSH客户端对设备的访问。此时，通过配置ssh server acl-deny-log enable命令，设备可以记录匹配deny规则的IP用户的登录日志，用户可以查看非法登录的地址信息。

执行本配置后，SSH客户端匹配ACL deny规则时，将产生日志信息。生成的日志信息将被发送到设备的信息中心，通过设置信息中心的参数，决定日志信息的输出规则（即是否允许输出以及输出方向）。

【举例】

# 开启匹配ACL deny规则后打印日志信息功能。

<Sysname> system-view

[Sysname] ssh server acl-deny-log enable

【相关命令】

·     ssh server acl

·     ssh server ipv6 acl