登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S9500 产品配置举例-RELEASE1628及以上版本(V1.21)

01-FIREWALL黑名单配置举例

本章节下载  (108.67 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S9500/S9500/Configure/Typical_Configuration_Example/S9500_1628_Typical_Configuration_Example(V1.21)/200711/318133_30005_0.htm

01-FIREWALL黑名单配置举例

  录

1 特性简介... 1

2 适用版本... 1

3 注意事项... 1

4 配置举例... 1

4.1 组网需求... 1

4.2 组网图... 2

4.3 配置过程... 2

4.4 完整配置... 3

 

Firewall黑名单配置举例

1   特性简介

黑名单,指根据报文的源IP地址进行过滤的一种方式。黑名单进行匹配的域非常简单,可以以很高的速度实现报文的过滤,从而有效地将特定IP地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由SecBlade动态地进行添加或删除,当SecBlade中根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。

2   适用版本

软件版本:S9500-CMW310-R1628版本及以后升级版本(R2126及以上版本不支持)

硬件版本:LSB1FW8DB0、LSB2FW8DB0

3   注意事项

Firewall在缺省默认情况下不转发任何报文,需要执行命令firewall packet-filter default permit使其默认转发;

4   配置举例

4.1  组网需求

图4-1所示,假设Firewall单板位于S9500的4号槽,内网和外网主机分别位于防火墙Trust区域和Untrust区域中,现要在100分钟内过滤掉外网主机发送的所有报文。外网主机的IP地址为202.0.0.1。

4.2  组网图

图4-1 Firewall黑名单典型组网图

4.3  配置过程

# 添加内网VLAN 10,外网VLAN 50和SecBlade互连VLAN 30。

<S9500> system-view

[S9500] vlan 10

[S9500-vlan10] port E2/1/2

[S9500] vlan 50

[S9500-vlan50] port E3/1/1

[S9500] vlan 30

# 配置内网VLAN接口地址。

[S9500] interface vlan-interface 10

[S9500-Vlan-interface10] ip address 10.0.0.1 24

[S9500] interface vlan-interface 30

[S9500-Vlan-interface30] ip address 30.0.0.1 24

# 配置路由,外网报文下一跳为SecBlade防火墙。

[S9500] ip route-static 0.0.0.0 0 30.0.0.254

# 配置SecBlade模块,设置VLAN 50security-vlan

[S9500] secblade module test

[S9500-secblade-test] secblade-interface vlan-interface 30

[S9500-secblade-test] security-vlan 50

[S9500-secblade-test] map to slot 4

# 进入SecBlade视图,配置SecBlade互连子接口和外网子接口(缺省用户名和密码为SecBlade,区分大小写)。

<S9500> secblade slot 4

user:SecBlade

password:SecBlade

<SecBlade_FW> system-view

[SecBlade_FW] interface GigabitEthernet 0/0.50

[SecBlade_FW-GigabitEthernet0/0.50] vlan-type dot1q vid 50

[SecBlade_FW-GigabitEthernet0/0.50] ip address 50.0.0.254 24

[SecBlade_FW] interface g0/0.30

[SecBlade_FW-GigabitEthernet0/0.30] vlan-type dot1q vid 30

[SecBlade_FW-GigabitEthernet0/0.30] ip address 30.0.0.254 24

# 把互连子接口加入trust区域,外网子接口加入untrunst区域。

[SecBlade_FW] firewall zone trust

[SecBlade_FW-zone-trust] add interface GigabitEthernet 0/0.30

[SecBlade_FW] firewall zone untrust

[SecBlade_FW-zone-untrust] add interface GigabitEthernet 0/0.50

# 配置路由,内网报文下一跳为S9500,外网报文下一跳为路由器。

[SecBlade_FW] ip route-static 0.0.0.0 0 50.0.0.1

[SecBlade_FW] ip route-static 10.0.0.0 24 30.0.0.1

# SecBlade视图下配置黑名单。

[SecBlade_FW] firewall blacklist 202.0.0.1 timeout 100

[SecBlade_FW] firewall blacklist enable

4.4  完整配置

#

vlan 10

#

vlan 30

#

vlan 50

#

interface vlan-interface 10

 ip address 10.0.0.1 24

#

interface vlan-interface 30

 ip address 30.0.0.1 24

#

interface Ethernet2/1/2

 port access vlan 10

#

interface Ethernet3/1/1

 port access vlan 50

#

 ip route-static 0.0.0.0 0 30.0.0.254 preference 60

#

secblade module test

secblade-interface vlan-interface 30

security-vlan 50

map to slot 4

# 进入SecBlade视图(缺省用户名和密码为SecBlade,区分大小写)。

secblade slot 4

user:SecBlade

password:SecBlade

system

# 配置子接口以及区域。

interface GigabitEthernet 0/0.50

vlan-type dot1q vid 50

ip address 50.0.0.254 24

quit

interface g0/0.30

vlan-type dot1q vid 30

ip address 30.0.0.254 24

quit

firewall zone trust

add interface GigabitEthernet 0/0.30

quit

firewall zone untrust

add interface GigabitEthernet 0/0.50

quit

# 配置路由。

ip route-static 0.0.0.0 0 50.0.0.1

ip route-static 10.0.0.0 24 30.0.0.1

# 配置客户机地址到黑名单表项中。

firewall blacklist 202.0.0.1 timeout 100

# 使能黑名单功能。

firewall blacklist enable

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们