X86 架构的防火墙 ac86u 防火墙

l 配置防火墙黑名单。
有两种方式：使用ACL 规则配置防火墙黑名单功能和通过增加不信任报文的源IP
地址配置防火墙黑名单功能。这两种方式可以二选一，也可以共同作用。
当两种方式共同作用时，防火墙黑名单功能的优先级比ACL 规则的优先级要高。
即系统首先检查防火墙黑名单，再匹配ACL 规则。
说明
防火墙黑名单功能只对来自用户侧的报文有效。
– 使用高级ACL 规则配置防火墙黑名单功能。
1. 使用acl 命令创建ACL。使能防火墙黑名单功能同时应用的ACL 只能是
高级ACL，所以ACL 的范围为3000 ～ 3999。
2. 使用rule(adv acl)命令创建高级ACL 规则。
3. 使用quit 命令回退到全局配置模式。
4. 使用firewall blacklist enable acl-number acl-number 命令使能防火墙黑名
单功能。
– 通过增加不信任报文的源IP 地址配置防火墙黑名单功能。
1. 使用firewall blacklist item 命令在黑名单中增加不信任报文的源IP 地址。
2. 使用firewall blacklist enable 命令使能防火墙黑名单功能。
l 配置防火墙（基于ACL 进行报文过滤）。
1. 使用acl 命令创建ACL。配置防火墙包过滤的ACL 只能是基本和高级ACL，
所以，ACL 的范围为2000 ～ 3999。
WS6603 无线接入控制器
配置指南2 基础配置
文档版本 02 (2011-08-15) 华为专有和保密信息
版权所有 ? 华为技术有限公司
63
2. 对于不同的ACL 需要使用不同的rule 命令创建规则。
– 基本ACL 规则：使用rule(basic acl)命令。
– 高级ACL 规则：使用rule(adv acl)命令。
3. 使用quit 命令回退到全局配置模式。
4. 使用firewall enable 命令使能防火墙功能。默认去使能。
如果需要基于ACL 对接口进行报文过滤，需要使能这个功能。
5. 如果是配置METH 接口的防火墙过滤规则，则使用interface meth 命令进入
MEth 模式；如果是配置VLANIF 接口的防火墙过滤规则，则使用interface
vlanif 命令进入VLANIF 模式。
6. 使用firewall packet-filter 命令在接口上应用防火墙包过滤规则

举例：将IP 地址192.168.10.18 加入到防火墙黑名单，老化时间为100 分钟。
huawei(config)#firewall blacklist item 192.168.10.18 timeout 100
huawei(config)#firewall blacklist enable
举例：将10.10.10.0 网段的IP 地址加入防火墙黑名单，绑定ACL 3000。
huawei(config)#acl 3000
huawei(config-acl-adv-3000)#rule deny ip source 10.10.10.0 0.0.0.255 destination
10.10.10.20 0
huawei(config-acl-adv-3000)#quit
huawei(config)#firewall blacklist enable acl-number 3000
举例：防止172.16.25.0 网段的用户访问IP 地址为172.16.25.28 的AC 设备的维护网口。
huawei(config)#acl 3001
huawei(config-acl-adv-3001)#rule 5 deny icmp source 172.16.25.0 0.0.0.255 destin
ation 172.16.25.28 0
huawei(config-acl-adv-3001)#quit
huawei(config)#firewall enable
huawei(config)#interface meth 0
huawei(config-if-meth0)#firewall packet-filter 3001 inbound
ACL applied successfully

举例：使能系统全局防御DoS ***功能。
huawei(config)#security anti-dos enable

 

配置防非法用户登录

举例：使能系统的Telnet 协议防火墙，只允许134.140.5.1 ～ 134.140.5.254 地址段的用
户Telnet 登录设备。
huawei(config)#sysman ip-access telnet 134.140.5.1 134.140.5.254
huawei(config)#sysman firewall telnet enable
举例：使能系统的SSH 协议防火墙，只允许133.7.22.1 ～ 133.7.22.254 地址段的用户通
过SSH 方式登录设备。
huawei(config)#sysman ip-access ssh 133.7.22.1 133.7.22.254
huawei(config)#sysman firewall ssh enable
举例：使能系统的SNMP 协议防火墙，拒绝10.10.20.1 ～ 10.10.20.254 地址段的用户通
过网管登录设备。
huawei(config)#sysman ip-refuse snmp 10.10.20.1 10.10.20.254
huawei(config)#sysman firewall snmp enable

转载于:https://blog.51cto.com/xingyun1113/674621