- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
15-H3C MER系列路由器包过滤防火墙典型配置举例
本章节下载 (232.32 KB)
包过滤防火墙典型配置举例
|
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。 除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。 本文档中的信息可能变动,恕不另行通知。 |
本文档介绍路由器包过滤防火墙功能的典型配置举例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解包过滤防火墙特性。
本举例是在Version 7.1.064, ESS 0809P01版本上进行配置和验证的。
如图1所示,用户通过Router连接了Server与内网中各部门的PC,需要根据各部门的业务对访问Server的权限进行控制。具体要求如下:
· 允许Department A的PC在工作时间访问Server。
· 不允许Department B的PC在任何时间访问Server。
· 当一个接口上配置了多条包过滤防火墙的安全规则时,报文会按照规则的优先级(数值越小优先级越高)从高到低与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程,并对此报文执行规则中的动作。
· 根据包过滤防火墙安全规则的匹配原理,为使接口上配置的安全规则对流经设备的报文能够达到更好、更精准的过滤效果,需要在配置安全规则时遵循“深度优先”的原则,即先配置范围小的,再配置范围大的。
(1) 配置接口的IP地址:
# 选择“网络设置 > LAN配置”,单击<添加>按钮,进入新建LAN配置页面。配置如下参数:
¡ 名称:GE0;
¡ IP地址:192.168.1.1;
¡ 子网掩码:255.255.255.0。
# 单击<添加>按钮,进入新建LAN配置页面。配置如下参数:
¡ 名称:GE1;
¡ IP地址:192.168.2.1;
¡ 子网掩码:255.255.255.0。
# 单击<添加>按钮,进入新建LAN配置页面。配置如下参数:
¡ 名称:GE2;
¡ IP地址:192.168.3.1;
¡ 子网掩码:255.255.255.0。
(2) 配置时间组。
# 选择“上网行为管理 > 时间组”,进入时间组配置页面。配置步骤为:
· 在时间组页签下单击<添加>按钮,进入时间组创建页面。
· 在时间组创建页面中配置内容如图2所示:
¡ 时间组名称:work-time;
¡ 生效时间设置:周期性生效;
¡ 选中周一到周五;
¡ 输入工作时间段,单击<+>按钮
¡ 单击<确定>按钮完成添加。
图2 配置时间组
(3) 配置包过滤防火墙。
# 选择“网络安全 > 防火墙”,进入包过滤防火墙配置页面。配置步骤为:
· 单击<添加>按钮,进入创建安全规则页面。
· 在创建安全规则页面中配置内容如图3所示:
¡ 接口:GE1;
¡ 协议:所有协议;
¡ 源IP地址/掩码:192.168.2.0/255.255.255.0;
¡ 目的IP地址/掩码:192.168.1.0/255.255.255.0;
¡ 规则生效时间:work-time;
¡ 动作:允许;
¡ 优先级:自动;
¡ 单击<确定>按钮完成添加。
· 单击<添加>按钮,进入创建安全规则页面。
· 在创建安全规则页面中配置内容如图4所示:
¡ 接口:GE2;
¡ 协议:所有协议;
¡ 源IP地址/掩码:192.168.3.0/255.255.255.0;
¡ 目的IP地址/掩码:192.168.1.0/255.255.255.0;
¡ 动作:拒绝;
¡ 优先级:自动;
¡ 单击<确定>按钮完成添加。
(1) Department A的PC在工作时间可以Ping通Server。
C:\Users\abc>ping 192.168.1.2
Ping 192.168.1.2 (192.168.1.2): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.1.2: icmp_seq=0 ttl=254 time=0.320 ms
56 bytes from 192.168.1.2: icmp_seq=1 ttl=254 time=0.213 ms
56 bytes from 192.168.1.2: icmp_seq=2 ttl=254 time=0.194 ms
56 bytes from 192.168.1.2: icmp_seq=3 ttl=254 time=0.160 ms
56 bytes from 192.168.1.2: icmp_seq=4 ttl=254 time=0.187 ms
--- Ping statistics for 192.168.1.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.160/0.215/0.320/0.055 ms
(2) Department B的PC不可以Ping通Server。
C:\Users\abc>ping 192.168.1.2
Ping 192.168.1.2 (192.168.1.2): 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
