• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙

2020-06-03提问
  • 0关注
  • 1收藏,1231浏览
粉丝:1人 关注:1人

问题描述:


防火墙上创建安全策略的时候怎么禁止访问固定端口?

创建了对象组:

object-group service ip_duankou 

 0 service tcp destination eq 135 

 10 service tcp destination eq 137 

  60 service tcp destination range 22 23 

安全策略下面引用了该对象组为什么不起作用?还是能够访问这些端口,是不是策略写的有问题。请大神赐教。

security-policy ip

 rule 6 name GuideSecPolicy

 source-zone Trust 

 destination-zone Untrust 

 destination-zone DMZ 

 destination-zone Local 

 destination-ip ip_1

 destination-ip ip-1 

 service ip_duankou


最佳答案

奴柴 四段
粉丝:0人 关注:1人

1:该条规则有没有设置丢弃动作
在安全策略规则6视图内action drop
2:将这条rule 6规则移动到对应源目相同的安全策略之前,优先去匹配rule6
3:还有一种方法,在外网接口配置nat outbound acl ID来限制端口做NAT转发



好吧,这样能实现吗?谢谢

zhiliao_yyb 发表时间:2020-06-04

防火墙透明模式的做不了nat outbound

zhiliao_yyb 发表时间:2020-06-04
4 个回答
粉丝:4人 关注:1人

看上去没有问题

张兵 四段
粉丝:0人 关注:0人

如果不行写acl来限制一样的;

华三的现在不让用ACL

zhiliao_yyb 发表时间:2020-06-04
奴柴 四段
粉丝:0人 关注:1人

acl advanced 3001
rule 10 deny tcp source-port eq 445 counting
rule 13 deny udp source-port eq netbios-ns counting
rule 14 deny tcp source-port eq 137 counting
rule 15 deny udp source-port eq 445 counting
rule 20 deny tcp destination-port eq 445 counting
rule 23 deny udp destination-port eq netbios-ns counting
rule 24 deny tcp destination-port eq 137 counting
rule 25 deny udp destination-port eq 445 counting
rule 30 deny tcp source-port eq 139 counting
rule 33 deny udp source-port eq 136 counting
rule 34 deny tcp source-port eq 136 counting
rule 35 deny udp source-port eq netbios-ssn counting
rule 40 deny tcp destination-port eq 135 counting
rule 43 deny udp destination-port eq 136 counting
rule 44 deny tcp destination-port eq 136 counting
rule 45 deny udp destination-port eq 135 counting
rule 100 permit ip

可以将该ACL应用在外网接口NAT Outbound 3001,具体ACL列表号根据实际情

粉丝:0人 关注:0人

#
object-group service Deny_Port
0 service tcp destination eq 135
10 service tcp destination range 137 139
20 service tcp destination eq 445
30 service udp destination eq 135
40 service udp destination range 137 139
50 service udp destination eq 445
60 service udp destination eq 3389
70 service tcp destination eq 3389
#

security-policy ip
rule 100 name Deny_Port

action drop   

logging enable
counting enable
service Deny_Port


编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明