01-FIREWALL黑名单配置举例
本章节下载 (108.67 KB)
黑名单,指根据报文的源IP地址进行过滤的一种方式。黑名单进行匹配的域非常简单,可以以很高的速度实现报文的过滤,从而有效地将特定IP地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由SecBlade动态地进行添加或删除,当SecBlade中根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。
软件版本:S9500-CMW310-R1628版本及以后升级版本(R2126及以上版本不支持)
硬件版本:LSB1FW8DB0、LSB2FW8DB0
Firewall在缺省默认情况下不转发任何报文,需要执行命令firewall packet-filter default permit使其默认转发;
如图4-1所示,假设Firewall单板位于S9500的4号槽,内网和外网主机分别位于防火墙Trust区域和Untrust区域中,现要在100分钟内过滤掉外网主机发送的所有报文。外网主机的IP地址为202.0.0.1。
图4-1 Firewall黑名单典型组网图
# 添加内网VLAN 10,外网VLAN 50和SecBlade互连VLAN 30。
<S9500> system-view
[S9500] vlan 10
[S9500-vlan10] port E2/1/2
[S9500] vlan 50
[S9500-vlan50] port E3/1/1
[S9500] vlan 30
# 配置内网VLAN接口地址。
[S9500] interface vlan-interface 10
[S9500-Vlan-interface10] ip address 10.0.0.1 24
[S9500] interface vlan-interface 30
[S9500-Vlan-interface30] ip address 30.0.0.1 24
# 配置路由,外网报文下一跳为SecBlade防火墙。
[S9500] ip route-static 0.0.0.0 0 30.0.0.254
# 配置SecBlade模块,设置VLAN 50为security-vlan。
[S9500] secblade module test
[S9500-secblade-test] secblade-interface vlan-interface 30
[S9500-secblade-test] security-vlan 50
[S9500-secblade-test] map to slot 4
# 进入SecBlade视图,配置SecBlade互连子接口和外网子接口(缺省用户名和密码为SecBlade,区分大小写)。
<S9500> secblade slot 4
user:SecBlade
password:SecBlade
<SecBlade_FW> system-view
[SecBlade_FW] interface GigabitEthernet 0/0.50
[SecBlade_FW-GigabitEthernet0/0.50] vlan-type dot1q vid 50
[SecBlade_FW-GigabitEthernet0/0.50] ip address 50.0.0.254 24
[SecBlade_FW] interface g0/0.30
[SecBlade_FW-GigabitEthernet0/0.30] vlan-type dot1q vid 30
[SecBlade_FW-GigabitEthernet0/0.30] ip address 30.0.0.254 24
# 把互连子接口加入trust区域,外网子接口加入untrunst区域。
[SecBlade_FW] firewall zone trust
[SecBlade_FW-zone-trust] add interface GigabitEthernet 0/0.30
[SecBlade_FW] firewall zone untrust
[SecBlade_FW-zone-untrust] add interface GigabitEthernet 0/0.50
# 配置路由,内网报文下一跳为S9500,外网报文下一跳为路由器。
[SecBlade_FW] ip route-static 0.0.0.0 0 50.0.0.1
[SecBlade_FW] ip route-static 10.0.0.0 24 30.0.0.1
# SecBlade视图下配置黑名单。
[SecBlade_FW] firewall blacklist 202.0.0.1 timeout 100
[SecBlade_FW] firewall blacklist enable
#
vlan 10
#
vlan 30
#
vlan 50
#
interface vlan-interface 10
ip address 10.0.0.1 24
#
interface vlan-interface 30
ip address 30.0.0.1 24
#
interface Ethernet2/1/2
port access vlan 10
#
interface Ethernet3/1/1
port access vlan 50
#
ip route-static 0.0.0.0 0 30.0.0.254 preference 60
#
secblade module test
secblade-interface vlan-interface 30
security-vlan 50
map to slot 4
# 进入SecBlade视图(缺省用户名和密码为SecBlade,区分大小写)。
secblade slot 4
user:SecBlade
password:SecBlade
system
# 配置子接口以及区域。
interface GigabitEthernet 0/0.50
vlan-type dot1q vid 50
ip address 50.0.0.254 24
quit
interface g0/0.30
vlan-type dot1q vid 30
ip address 30.0.0.254 24
quit
firewall zone trust
add interface GigabitEthernet 0/0.30
quit
firewall zone untrust
add interface GigabitEthernet 0/0.50
quit
# 配置路由。
ip route-static 0.0.0.0 0 50.0.0.1
ip route-static 10.0.0.0 24 30.0.0.1
# 配置客户机地址到黑名单表项中。
firewall blacklist 202.0.0.1 timeout 100
# 使能黑名单功能。
firewall blacklist enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!