防火墙地址封禁问题
- 0关注
- 0收藏,68浏览
最佳答案
H3C防火墙可以通过两种核心方式进行地址封禁:黑名单和安全策略。
单纯想封一个IP,用黑名单最快;如果想做精细的访问控制,比如只禁止这个IP上网但允许它访问内网服务器,就用安全策略。
配置方法
1. 通过Web界面配置(推荐)
配置黑名单:
登录Web管理页面,依次进入 “数据中心” > “系统监控” > “黑名单记录”。
点击 “新建”,在弹出的窗口中勾选“启用”,然后输入你需要封禁的IP地址(或域名)。
根据需要设置一个老化时间,到期后该IP会自动解封。如果不设置,就会永久封禁。
配置安全策略:
进入 “策略配置” > “安全策略” 或 “策略” > “安全策略”。
点击 “新建”,配置以下关键信息:
源安全域:选择内网所在的Trust域。
目的安全域:选择外网所在的Untrust域。
源IP地址:在地址对象组中新建并选择你要封禁的那个IP。
动作:选择 “拒绝”。
创建完成后,务必将这条新策略通过“移动”功能,拖拽到所有允许上网的策略之前。因为安全策略是从上到下匹配的,一旦命中“拒绝”策略,就不会再匹配后面的“允许”策略了。
2. 通过命令行配置(适合习惯CLI操作的用户)
登录设备,使用SSH或Console进入命令行界面。
进入系统视图:
system-view- 开启黑名单功能:blacklist enable
- 添加一个永久生效的IP黑名单:blacklist ip 192.168.1.100
- 添加一个会在10分钟后自动失效的IP黑名单:blacklist ip 192.168.1.101 timeout 10
- 查看已配置的黑名单:display blacklist all
关键注意事项
顺序是生命线:如果使用安全策略进行封禁,请牢记策略的匹配顺序是从上到下。一定要把“拒绝”策略放在“允许”策略的前面,否则封禁将不会生效。
安全策略的“隐藏”用法:如果想封禁一个域名(比如阻止员工上视频网站),不是直接添加到黑名单,而是要在安全策略的“目的地址”中调用“主机名”对象,并配合内容安全中的URL过滤功能来实现。
特殊情况:封禁后如果测试仍然能通,可以尝试清除一下客户端(如电脑、手机)的DNS缓存,有时缓存会导致访问绕过封禁。
在哪设置
一、Web 界面配置(最常用)
1. 全局启用黑名单(必须先做)
- 登录防火墙 Web 管理页面
- 进入:策略 → 主动防护 → 黑名单H3C
- 点击页面上方 全局启用(Enable globally),使黑名单生效H3C
2. 手工添加单个 IP 到黑名单
- 在 IP 黑名单 页签 → 点击 新建H3C
- 配置参数:
- IP 地址类型:IPv4 / IPv6
- IP 地址方向:源地址(阻断来源)/ 目的地址(阻断访问目标)
- IP 地址:填入要封禁的 IP(如
192.168.1.100) - 剩余老化时间:永久封禁填
0,临时封禁填秒数(如3600)
- 点击 确定 → 保存配置
3. 封禁网段 / 地址组
- 先在 对象 → 地址对象组 中创建包含网段的地址组
- 回到 黑名单 → 地址对象组黑名单 页签H3C
- 点击 添加,选择已创建的地址组,启用即可
二、命令行(CLI)配置
1. 全局启用黑名单
system-view
blacklist global enable # 全局开启黑名单
2. 添加单个 IP(永久 / 临时)
# 永久封禁源IP 192.168.1.100
blacklist ip 192.168.1.100 source timeout 0
# 临时封禁目的IP 203.0.113.5,1小时后自动删除
blacklist ip 203.0.113.5 destination timeout 3600
3. 封禁网段(通过地址对象组)
# 1. 创建地址对象组
object-group ip address Block-Net
network 10.0.0.0 255.0.0.0
quit
# 2. 加入黑名单
blacklist object-group ip Block-Net source
4. 查看与删除黑名单
# 查看所有黑名单
display blacklist all
# 删除单个IP
undo blacklist ip 192.168.1.100 source
# 删除地址组黑名单
undo blacklist object-group ip Block-Net source
三、通过安全策略封禁(更灵活)
- 进入:策略 → 安全策略 → 安全策略 → 新建
- 配置:
- 名称:自定义(如 Block-Bad-IP)
- 源安全域:Untrust(外网)
- 目的安全域:Trust / Local(内网 / 设备自身)
- 源 IPv4 地址:选择要封禁的 IP / 地址组
- 动作:拒绝(Deny)
- 将该策略移到列表最上方,确保优先匹配
- 保存并提交
四、通过 ACL 封禁(传统方式)
# 1. 创建高级ACL
acl number 3000
rule deny ip source 192.168.1.100 0 destination any
rule deny ip source 10.0.0.0 0.255.255.255 destination any
quit
# 2. 在接口入方向应用(如外网口G1/0/1)
interface GigabitEthernet 1/0/1
packet-filter inbound ip-group 3000
quit
五、常见问题与注意事项
- 黑名单优先级:高于安全策略,一旦加入黑名单,所有方向流量都会被阻断
- 自动拉黑:可配合扫描攻击防范,将攻击源自动加入黑名单H3C
- CDN / 代理场景:需开启真实源 IP 提取(如 XFF),否则拉黑的是代理 IP
- 生效顺序:Web 界面配置后需提交 + 保存;命令行需
save
1. ACL封禁:
在系统视图下创建高级ACL,定义拒绝规则,然后应用到接口的入或出方向。
acl advanced 3000
rule 0 deny ip source 192.168.1.100 0
interface GigabitEthernet 1/0/1
packet-filter 3000 inbound
2. 黑名单功能(部分型号支持):
ip blacklist enable
ip blacklist 192.168.1.100 32
设置位置:
- Web界面:通常在“安全策略”或“攻击防护”菜单下。
- 命令行:使用上述命令。
配置变更前请备份配置。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
在哪设置