F100P-AK1020防火墙设置限定地区访问
- 0关注
- 0收藏,34浏览
核心配置步骤:
1. 创建ACL: 定义一个ACL来匹配需要拒绝的特定国家/地区的IP地址段。
acl advanced name GEO_BLOCK
rule deny source location CN // 例如,拒绝来自中国(CN)的IP地址
*注:`location`关键字后的国家代码需参考设备支持的地区列表。*
2. 应用ACL: 在域间策略或接口上应用此ACL。
* 域间策略应用(推荐):
security-policy ip
rule name block_geo_traffic
source-zone untrust
destination-zone trust
source-ip location CN // 再次指定源地区
action deny
* 接口应用:
interface GigabitEthernet1/0/1
packet-filter inbound ip geo-group GEO_BLOCK // 在入方向应用ACL
关键点:
确保防火墙的特征库(特别是地理定位库)已更新至最新,以保证IP地域信息的准确性。
配置变更前,请使用 `save` 命令备份当前配置。
如需更精确的配置,请提供具体的源/目的安全域或接口信息。
大部分不支持
可以升级下最新版本看看
防火墙从B64D071分支开始支持地区(geo-location),可以在安全策略中通过配置source-location/destination-location命令实现基于地区的控制。
【举例】限制中国境内以外的地区访问
#
Security-policy ip
rule 100 name 放行国内地址
action pass
source-zone untrust
source-location China
rule 101 name denyall
action drop
source-zone untrust
#
版本判断方法:
(1)粗略判断:版本号为RaabbPcc时,bb≥71时为支持。
举例F5030 R9660P30版本为60分支,不支持,;F9671P10版本为71分支,支持。
(2)详细判断:probe视图下display system internal version查看内部版本号。
如下举例为45分支,小于71,所以不支持。
[F5020-IRF-probe]display system internal version
H3C SecPath F5020 V900R003B02D645SP2415
Comware V700R001B64D045SP2415
暂无评论
是的,H3C F100P-AK1020防火墙支持通过配置地址对象组并引用地区属性,来实现基于特定区域的IP地址访问控制。
H3C防火墙的地址对象组功能支持多种匹配维度,包括:
IP/MAC地址
用户/用户组
地区/国家(你需要的功能)
域名
应用
通过创建地址对象组并选择“地区”类型,可以将特定国家或地区的IP地址段定义为一个对象,然后在安全策略中直接引用该对象,实现允许或拒绝该地区的访问。
注:该功能在Comware V7平台的防火墙(包括F1000-AK系列)上均支持,你的F100P-AK1020属于该系列。
配置步骤
方案一:Web界面配置(推荐)
登录防火墙Web管理界面
默认管理地址:
https://192.168.0.1(若未修改)默认用户名/密码:
admin/admin
创建地区地址对象组
导航到:
对象 > 对象组 > IPv4地址对象组点击 新建
对象组名称:例如
Block_US地区:选择需要限制的“美国”(或其他国家/地区)
点击确定
创建安全策略引用该对象组
导航到:
策略 > 安全策略 > 安全策略点击 新建
名称:例如
Deny_US_Access源安全域:
Untrust(互联网侧)源地址对象组/地区:选择
Block_US目的安全域:
Trust(内网侧)动作:拒绝
点击确定
确保策略顺序正确
拒绝策略应放在放行策略之前,否则会被优先匹配放行规则。
方案二:命令行配置(CLI)
注意事项
地区库更新:防火墙的地区IP地址段依赖内置的地理位置库(GeoIP),建议定期升级特征库以保持准确。
安全域配置:确保外网接口已加入
Untrust安全域,内网接口已加入Trust安全域,否则安全策略无法生效。策略匹配顺序:安全策略按列表顺序从上到下匹配,一旦匹配成功即停止。请将拒绝特定地区的策略放在前面。
版本支持确认:如果你的防火墙版本较旧,可能不支持地区维度。可以通过以下命令确认:
display object-group ip address ? 如果帮助信息中没有 region关键字,建议升级到最新版本。display version测试验证:配置生效后,可以从被限制地区的IP尝试访问,确认已被拒绝。同时在监控中查看会话日志确认策略命中。
暂无评论
一、核心配置流程(CLI)
1. 升级 / 加载地区特征库(必须)
# 在线立即升级(设备能上网)
system-view
geo-location signature auto-update-now
# 离线本地升级(无外网)
# 1. 官网下载 location.tar.gz 上传至 flash:
# 2. 加载
geo-load flash:/location.tar.gz
# 查看地区库版本
display geo-location signature
2. 定义地区 / 地区组(以 “仅允许中国、拒绝美国” 为例)
# 查看预定义地区(国家/省/市)
display geo-location type pre-defined
# 创建地区组(批量管理)
geo-location group name CN_GROUP
member pre-defined China
quit
geo-location group name US_GROUP
member pre-defined United States
quit
3. 配置安全策略(域间引用地区)
# 进入IPv4安全策略视图
security-policy ip
# 规则1:允许Trust→Untrust来自中国地区
rule name PERMIT_CN
source-zone Trust
destination-zone Untrust
source-geo-location group CN_GROUP # 引用地区组
action permit
quit
# 规则2:拒绝Trust→Untrust来自美国地区
rule name DENY_US
source-zone Trust
destination-zone Untrust
source-geo-location group US_GROUP
action deny
quit
# 规则3:默认拒绝其他所有(建议)
rule name DENY_ALL
source-zone any
destination-zone any
action deny
quit
4. 验证配置
# 查看安全策略
display security-policy ip rule all
# 查看IP归属地区(测试)
display geo-location ip 8.8.8.8
二、Web 界面配置路径
- 登录 Web 管理页 → 系统 → 升级中心 → 特征库升级 → 升级地区识别特征库
- 策略 → 安全策略 → 地区管理 → 创建 / 查看地区 / 地区组H3C
- 策略 → 安全策略 → 安全策略 → 新建规则 → 在源地区 / 目的地区选择预定义地区或地区组 → 配置动作(允许 / 拒绝)H3C
三、关键说明
- 支持范围:基于公网 IP的国家 / 省 / 市级别识别,内网 IP 需自定义地区H3C
- 优先级:安全策略按顺序匹配,精细规则在前、默认规则在后H3C
- 自定义地区:手动添加 IP 段,用于内网或特殊地址范围
- 影响:仅对匹配地区的流量生效,不影响其他正常业务
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论