10-包过滤防火墙配置
本章节下载: 10-包过滤防火墙配置 (155.15 KB)
本文中的“业务处理板”指的是单板丝印为“CR-SPE-3020-E-I”的单板,“普通型接口板”指的是单板丝印为“CR-SPC-XP8LEF-I/CR-SPC-XP4LEF-I/CR-SPC-GP48LEF/ CR-SPC-GT48LEF” 的单板,“增强型接口板”指的是单板丝印为“CR-SPC-PUP4L-E-I /CR-SPC-XP4L-E-I”的单板。
防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问,另一方面允许内部网络用户对因特网进行Web访问或收发E-mail等。防火墙也可以作为一个访问因特网的权限控制关口,如允许组织内的特定主机可以访问因特网。
防火墙不单用于控制因特网连接,也可以用来在组织网络内部保护大型机和重要的资源(如数据)。对受保护数据的访问都必须经过防火墙的过滤,即使网络内部用户要访问受保护的数据,也要经过防火墙。
包过滤防火墙,即基于ACL(Access Control List,访问控制列表)的包过滤。
包过滤实现了对IP数据包的过滤。对设备需要转发的数据包,先获取其包头信息(包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等),然后与设定的ACL规则进行比较,根据比较的结果对数据包进行相应的处理。
目前的包过滤提供了对分片报文检测过滤的支持,检测的内容有:
· 报文类型(非分片报文、首片分片报文和非首片分片报文)
· 获得报文的三层信息(基本ACL规则和不含三层以上信息的高级ACL规则)
· 三层以上的信息(包含三层以上信息的高级ACL规则)
关于ACL的详细介绍,请参见“ACL和QoS配置指导”中的“ACL”。
一般采用在接口上应用访问控制列表来实现报文过滤功能。将ACL规则应用到接口时,同时会遵循时间段过滤原则,另外可以对接口收发报文分别指定ACL规则:
· 基本访问控制列表只根据三层的源地址信息制定规则,对数据包进行相应的分析处理;
· 高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、TCP或UDP的源端口、目的端口等内容定义规则。
表1-1 配置接口的IPv4报文过滤功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口的IPv4报文过滤功能 |
firewall packet-filter { acl-number | name acl-name } { inbound | outbound } |
必选 缺省情况下,不对通过接口的IPv4报文进行过滤 |
· 如果firewall packet-filter引用的ACL已经生效,在已生效ACL中执行添加rule的操作,新添加的rule可能会不生效(原因可能是ACL资源不够或firewall packet-filter不支持此rule)。通过display acl { acl-number | all | name acl-name } slot slot-number查询ACL的配置和运行情况时,不生效的rule会被标识成“uncompleted”。如果后续有了足够的ACL资源,需要删除不生效的rule并重新配置,此rule才能生效。关于ACL的详细介绍请参见“ACL和QOS配置指导”中的“ACL”。
· 若业务处理板和增强型接口板接口上已配置ip urpf { loose | strict } acl acl-number ,则该接口上配置的firewall packet-filter { acl-number | name acl-name } inbound不生效。有关命令ip urpf { loose | strict } acl acl-number的详细介绍,请参见“安全命令参考”中的“URPF”。
接口的IPv6报文过滤功能为用户提供了基于IPv6 ACL的基本防火墙功能,可通过配置该功能对接口的入方向或出方向上匹配特定IPv6 ACL规则的IPv6报文进行过滤。在接口的一个方向上,用户可以配置多个IPv6 ACL。
表1-2 配置IPv6防火墙报文过滤
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置接口的IPv6报文过滤功能 |
firewall packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound } |
必选 缺省情况下,不对通过接口的IPv6报文进行过滤 |
如果firewall packet-filter ipv6引用的ACL已经生效,在已生效ACL中执行添加rule的操作,新添加的rule可能会不生效(原因可能是ACL资源不够或firewall packet-filter ipv6不支持此rule)。通过display acl { acl-number | all | name acl-name } slot slot-number查询ACL的配置和运行情况时,不生效的rule会被标识成“uncompleted”。如果后续有了足够的ACL资源,需要删除不生效的rule并重新配置,此rule才能生效。关于ACL的详细介绍请参见“ACL和QOS配置指导”中的“ACL”。
完成上述配置后,在任意视图下执行display命令可以显示配置后包过滤防火墙的运行情况,通过查看显示信息验证配置的效果。
表1-3 配置端口映射
操作 |
命令 |
显示接口的报文过滤信息 |
display firewall packet-filter { all | interface interface-type interface-number } [ inbound | outbound ] [ | { begin | exclude | include } regular-expression ] |
· 某公司通过Router的接口Serial3/1/9/1:2访问Internet,Router与内部网通过接口GigabitEthernet3/1/1连接;
· 公司内部对外提供WWW、FTP和Telnet服务:公司内部子网为129.1.1.0。其中,内部FTP服务器地址为129.1.1.1,内部Telnet服务器地址为129.1.1.2,内部WWW服务器地址为129.1.1.3;公司对外地址为20.1.1.1。在Router上配置了地址转换,这样公司内部主机可以访问Internet,公司外部主机可以访问公司内部的服务器;
· 通过配置防火墙,希望实现以下要求:外部网络只有特定用户可以访问内部服务器;内部网络只有特定主机可以访问外部网络。
· 假定外部特定用户的IP地址为20.3.3.3。
# 创建高级访问控制列表3001。
[Router] acl number 3001
# 配置规则允许特定主机访问外部网,允许内部服务器访问外部网。
[Router-acl-adv-3001] rule permit ip source 129.1.1.1 0
[Router-acl-adv-3001] rule permit ip source 129.1.1.2 0
[Router-acl-adv-3001] rule permit ip source 129.1.1.3 0
[Router-acl-adv-3001] rule permit ip source 129.1.1.4 0
# 配置规则禁止所有IP包通过。
[Router-acl-adv-3001] rule deny ip
[Router-acl-adv-3001] quit
# 创建高级访问控制列表3002。
[Router] acl number 3002
# 配置规则允许特定用户从外部网访问内部服务器。
[Router-acl-adv-3002] rule permit tcp source 20.3.3.3 0 destination 129.1.1.0 0.0.0.255
# 配置规则允许外部特定数据进入内部网络(只允许端口大于1024的包)。
[Router-acl-adv-3002] rule permit tcp destination 20.1.1.1 0 destination-port gt 1024
[Router-acl-adv-3002] rule deny ip
[Router-acl-adv-3002] quit
# 将ACL 3001作用于从接口GigabitEthernet3/1/1进入的包。
[Router] interface gigabitEthernet 3/1/1
[Router-GigabitEthernet3/1/1] firewall packet-filter 3001 inbound
# 将ACL 3002作用于从接口Serial3/1/9/1:2进入的包。
[Router-GigabitEthernet3/1/1] quit
[Router] interface serial 3/1/9/1:2
[Router-Serial3/1/9/1:2] firewall packet-filter 3002 inbound
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!