F5000+黑白名单
- 0关注
- 0收藏,92浏览
问题描述:
1、一个业务地址段通过黑名单方式,电脑连上不能直接上网,再通过白名单方式放行哪些能上网,黑名单和白名单都是同一个IP地址段。
2、在安全域设置,都是在Trust安全域把黑白名单开启就行了是吧,另一个白名单里放行的IP地址也在黑名单里,这样白名单里放行的IP地址能不能上网,黑名单和白名单都是通过地址对象组做的。
- 2026-04-15提问
- 举报
-
(0)
F5000系列防火墙**白名单优先级高于黑名单**,同一个IP同时在黑白名单地址组内时,会优先匹配白名单放通,不会被黑名单拦截,你要的同地址段禁大部分、放小部分的需求可正常实现。
### 2、启用位置要求
如果仅管控Trust域用户主动访问公网的流量,仅在**Trust域入方向**启用黑白名单功能即可,无需在其他域配置。
### 3、注意事项&验证命令
- 变更前执行save备份当前配置,避免误操作影响业务。
- 需确认黑白名单动作配置正确:黑名单动作设为deny,白名单动作设为permit,且正确调用对应地址对象组。
- 验证命令:display whitelist all/display blacklist all核对条目是否正确;业务测试时执行display session table ipv4 source-ip 测试IP确认会话是否正常建立,故障排查时可开debugging ip whitelist/debugging ip blacklist查看匹配日志。
- 2026-04-15回答
- 评论(0)
- 举报
-
(0)
暂无评论
一、核心结论(先看重点)
- 优先级规则:白名单 > 黑名单
- 同一个 IP 如果同时在黑名单和白名单里,白名单放行生效,黑名单失效H3C。
- 完全符合你的需求:整个网段拉黑 → 个别 IP 例外放行。
- 生效范围:
- 黑名单(主动防护):默认全局生效(所有安全域)H3C。
- 白名单(安全域):仅在所属安全域内生效H3C。
- ⚠️ 正确做法:黑名单全局拉黑整个网段,在 Trust 域内配置白名单放行例外 IP。
- 配置方式:必须使用地址对象组(Address Object Group)H3C。
二、详细配置步骤(Web 界面)
1. 创建地址对象组(对象 → 对象组)
- 组 1(黑名单 - 整个网段)
- 名称:
Net_Blacklist - 类型:IPv4 地址
- 添加网段:
192.168.1.0/24(示例,改为你的业务网段)
- 名称:
- 组 2(白名单 - 例外 IP)
- 名称:
IP_Whitelist - 类型:IPv4 地址
- 添加主机:
192.168.1.10,192.168.1.20(示例,改为需放行的 IP)
- 名称:
2. 配置黑名单(全局拉黑)
- 路径:策略 → 主动防护 → 黑名单 → 地址对象组黑名单H3C
- 点击 <新建>,选择
Net_Blacklist,确定 - 点击 <开启全局应用>(对所有安全域生效)H3C
- 效果:192.168.1.0/24 全网段默认不能上网
3. 配置白名单(Trust 域放行)
- 路径:网络 → 安全域 → Trust(编辑) → 白名单H3C
- 勾选 启用白名单
- 引用对象组:选择
IP_WhitelistH3C - 确定保存
- 效果:仅 Trust 域内的 192.168.1.10 / 1.20 可以上网
三、命令行配置(供参考)
# 1. 创建对象组
system-view
object-group ip address Net_Blacklist
network subnet 192.168.1.0 255.255.255.0
quit
object-group ip address IP_Whitelist
network host 192.168.1.10
network host 192.168.1.20
quit
# 2. 全局黑名单
blacklist global enable
blacklist object-group Net_Blacklist
# 3. Trust域白名单
zone name Trust
whitelist enable
whitelist object-group IP_Whitelist
quit
save
四、你的两个问题精准回答
- 同一个网段拉黑 + 白名单放行,可行吗?✅ 完全可行。配置逻辑是:全局黑名单 Deny 整个网段 → Trust 域白名单 Permit 个别 IP。因为白名单优先级更高,被白名单包含的 IP 可以正常上网H3C。
- 只在 Trust 域开黑白名单就行?❌ 不对。
- 黑名单:必须全局开启,才能屏蔽整个网段H3C。
- 白名单:必须在 Trust 域 内开启,才能放行例外 IPH3C。
- 最终效果:
- 非 Trust 域:
192.168.1.0/24全网段不通 - Trust 域:仅
IP_Whitelist能上网,其余不通
- 非 Trust 域:
五、避坑要点
- 不要在 Trust 域配置黑名单,否则会与全局黑名单冲突。
- 白名单必须绑定安全域,不能全局配置H3C。
- 配置后用
display blacklist/display zone name Trust检查状态。
- 2026-04-15回答
- 评论(0)
- 举报
-
(0)
暂无评论
在 H3C SecPath F5000 系列防火墙上,要实现“全网段默认禁止上网,仅放行指定 IP”的策略,是可以做到的,这需要黑白名单配合使用。核心结论是:白名单的优先级高于黑名单,当同一个 IP 地址同时存在于黑白名单中时,白名单的放行动作会优先生效。
下面为你详细解释这套机制的生效逻辑和配置方法。
⚙️ 生效逻辑与配置方法
要实现你描述的需求,关键在于理解黑白名单不同的生效范围和匹配顺序:
黑名单(主动防护):属于攻击防范功能,默认全局生效,即对所有安全域都起作用。一旦配置,即可阻断整个网段的流量。
白名单(安全域策略):属于安全域访问控制功能,仅在所属安全域内生效。因此,我们可以在
Trust安全域内配置白名单,精准放行指定的IP地址。
具体的配置步骤如下:
1. 创建地址对象组
你需要为黑白名单分别创建对象组,用来定义地址范围。
黑名单地址组:命名为
Net_Blacklist,类型为 IPv4 地址,并添加你的业务网段(例如192.168.1.0/24)。白名单地址组:命名为
IP_Whitelist,类型为 IPv4 地址,并添加需要放行的例外 IP(例如192.168.1.10、192.168.1.20)。
2. 配置黑名单,实现全网段拉黑
在 Web 界面中,选择 策略 > 主动防护 > 黑名单,然后在 地址对象组黑名单 标签页中新建条目,选择 Net_Blacklist 并确认。最后,点击 开启全局应用,使该黑名单对所有安全域生效。
3. 配置白名单,在Trust域内放行
在 Web 界面中,选择 网络 > 安全域,编辑 Trust 域。在编辑页面中,找到并勾选 启用白名单,并引用之前创建的白名单对象组 IP_Whitelist,然后保存。
- 2026-04-15回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论