ICG防火墙配置指导

ICG 防火墙配置指导

1      防火墙简介

防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问，另一方面可以 作为一个访问因特网的权限控制关口， 控制内部网络用户对因特网进行 Web 访问或收发 E-mail 等。通过合理的配置防火墙可以大大提高网络的安全性和稳定性。

2      防火墙配置指导

2.1      基本配置步骤

防火墙的基本配置顺序如下：

首先使能防火墙：

ipv4 ：系统视图下输入 firewall enable

ipv6 ：系统视图下输入 firewall ipv6 enable

然后配置 acl

acl number 3000

 rule 0 permit ip source 1.0.0.1 0

rule 10 deny ip 

然后在接口上根据需要应用防火墙

interface Ethernet0/1

 port link-mode route

 firewall packet-filter 3000 inbound

ip address 5.0.0.2 255.255.255.0 

2.2      基础配置举例：

如前所说，在使能了防火墙后，就要按需求配置 acl 并应用在接口上，下面给出几个常见的需求的配置方法：

 

et0/1

et0/0

以下的例子中的组网如下：

 

 

 

其中内网地址 192.168.0.2 － 192.168.1.255

2.2.1  禁止访问外网的某些地址

用途：限制上网。比如禁止访问 100.0.0.1 地址

acl 配置：

[H3C]acl n 3000

[H3C-acl-adv-3000]rule deny ip destination 100.0.0.1 0       禁止 100.0.0.1

[H3C-acl-adv-3000]rule permit ip                       允许其它 ip

端口配置，在内网口入方向配置防火墙

[H3C]int et0/1

[H3C-Ethernet0/1]firewall packet-filter 3000 inbound 

备注： 1 ）如果要禁止某个网段，则选择配置适当的掩码就可以了

      2 ）如果内网口不止一个，可以在每一个需要的内网口都配上，或者在外网口的出方向配置防火墙

2.2.2  限制只能访问外网的某些地址

用途：限制上网。比如只能访问 200.0.0.1/24 网段

acl 配置：

[H3C]acl n 3000

[H3C-acl-adv-3000]rule permit ip destination 200.0.0.1 0.0.0.255  允许访问 200.0.0.1/24 网段

[H3C-acl-adv-3000]rule deny ip       禁止访问其他网段

端口配置，在内网口入方向配置防火墙

[H3C]int et0/1

[H3C-Ethernet0/1]firewall packet-filter 3000 inbound 

备注： 1 ）如果要增加其他允许的网段，就需要增加相应的 rule

      2 ）如果内网口不止一个，可以在每一个需要的内网口都配上，或者在外网口的出方向配置防火墙

2.2.3  限制只能某些地址可以访问外网

用途：限制上网。比如只允许 192.168.1.0/24 网段的地址访问外网

acl 配置：

[H3C]acl n 3000 

[H3C-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255    允许 192.168.1.0/24 访问外网

[H3C-acl-adv-3000]rule deny ip    禁止其他地址访问

端口配置，在内网口入方向配置防火墙

[H3C]int et0/1

[H3C-Ethernet0/1]firewall packet-filter 3000 inbound 

备注： 1 ）如果要更精确的控制，可以通过多条 rule 加更精细的掩码匹配来实现

     2 ）如果内网口不止一个，可以在每一个需要的内网口都配上，或者在外网口的出方向配置防火墙。

2.2.4  禁止某些地址访问外网

用途：限制上网。比如禁止 192.168.0.5 ， 192.168.1.59 两个地址访问外网

acl 配置：

[H3C]acl n 3000 

[H3C-acl-adv-3000]rule deny ip source 192.168.0.5 0     禁止 192.168.0.5 地址

[H3C-acl-adv-3000]rule deny ip source 192.168.1.59 0     禁止 192.168.1.59 地址

[H3C-acl-adv-3000]rule permit ip                允许其他地址

端口配置，在内网口入方向配置防火墙

[H3C]int et0/1

[H3C-Ethernet0/1]firewall packet-filter 3000 inbound 

备注： 1 ）如果要对网段实现控制，设置规则时匹配该网段就可以了

     2 ）如果内网口不止一个，可以在每一个需要的内网口都配上，或者在外网口的出方向配置防火墙。

 

2.2.5  禁止某些地址访问内网

用途：放置非法访问。比如禁止 200.0.0.1/24 网段的地址访问内网 :

acl 配置：

[H3C]acl n 3000 

[H3C-acl-adv-3000]rule deny ip source 200.0.0.1 0.0.0.255   禁止访问 200.0.0.1/24

[H3C-acl-adv-3000]rule permit ip                       允许其他地址

端口配置，在外网口入方向配置防火墙

[H3C]int et0/0

[H3C-Ethernet0/0]firewall packet-filter 3000 inbound 

备注：如果有多个网段需要禁止，就需要配置多条 rule

2.2.6  限制内网的某些地址不能访问外网的某些地址

用途：限制上网。比如 192.168.1.0/24 的地址段不能访问 200.0.0.1/24

acl 配置：

[H3C]acl n 3000 

[H3C-acl-adv-3000]rule deny ip source 192.168.1.0 0.0.0.255 destination 200.0.0.1 0.0.0.255

[H3C-acl-adv-3000]rule permit ip      允许其他地址

端口配置，在内网口入方向配置防火墙

[H3C]int et0/1

[H3C-Ethernet0/1]firewall packet-filter 3000 inbound 

备注：如果有多个网段需要禁止，就需要配置多条 rule

2.2.7  限制ICMP报文

用途：防攻击。只允许 ping 报文，屏蔽其他 icmp 报文，防止攻击

acl 配置：

[H3C]acl n 3000 

[H3C-acl-adv-3000]rule permit icmp icmp-type echo

[H3C-acl-adv-3000]rule permit icmp icmp-type echo-reply

[H3C-acl-adv-3000]rule permit icmp icmp-type ttl-exceeded 

[H3C-acl-adv-3000]rule deny icmp

端口配置，在外网口入方向配置防火墙

[H3C]int et0/0

[H3C-Ethernet0/0]firewall packet-filter 3000 inbound 

2.2.8  禁止外网访问某个端口

用途：防攻击，限制应用。比如禁止外网访问 300 端口

acl 配置：

[H3C]acl n 3000

[H3C-acl-adv-3000]rule deny tcp destination-port eq 300

端口配置，在外网口入方向配置防火墙

[H3C]int et0/0

[H3C-Ethernet0/0]firewall packet-filter 3000 inbound 

备注：可以配置某一段端口不能访问

2.2.9  只允许外网访问某个端口

用途：防攻击，限制应用。比如只允许外网访问 ftp 端口

acl 配置：

[H3C]acl n 3000

[H3C-acl-adv-3000]rule permit tcp destination-port eq ftp 

端口配置，在外网口入方向配置防火墙

[H3C]int et0/0

[H3C-Ethernet0/0]firewall packet-filter 3000 inbound 

[H3C-acl-adv-3000]rule deny tcp 

备注：应用时可以加上 ip 地址的匹配，比如内网某台机器是 ftp 服务器，则可以配置该地址只开放 ftp 端口。

2.3      进阶配置

2.3.1  组合使用上面的配置

可以在一条 acl 中配置多个 rule ，也可以在一个端口上分别配置 inbound 和 outbound 的规则进行匹配，通过灵活应用与组合，实现需要的保护与限制。

2.3.2  过滤常见攻击

通过防火墙，过滤掉一些常见的攻击，以下推荐一些常用的配置：

限制 NETBIOS 协议端口：

[H3C]acl number 3000

[H3C-acl-adv-3000]rule deny udp destination-port eq netbios-ns

[H3C-acl-adv-3000]rule deny udp destination-port eq netbios-dgm

[H3C-acl-adv-3000]rule deny tcp destination-port eq 139

[H3C-acl-adv-3000]rule deny udp destination-port eq netbios-ssn 

限制常见病毒使用的端口：

[H3C]acl number 3000

[H3C-acl-adv-3000]rule deny tcp destination-port eq 135         / Worm.Blaster

[H3C-acl-adv-3000]rule deny udp destination-port eq 135        / Worm.Blaster

[H3C-acl-adv-3000]rule deny tcp destination-port eq 445         / Worm.Blaster

[H3C-acl-adv-3000]rule deny udp destination-port eq 445        / Worm.Blaster

[H3C-acl-adv-3000]rule deny udp destination-port eq 593        / Worm.Blaster

[H3C-acl-adv-3000]rule deny tcp destination-port eq 593         / Worm.Blaster

[H3C-acl-adv-3000]rule deny tcp destination-port eq 1433       / SQL Slammer

[H3C-acl-adv-3000]rule deny tcp destination-port eq 1434       / SQL Slammer

[H3C-acl-adv-3000]rule deny tcp destination-port eq 4444       / Worm.Blaster

[H3C-acl-adv-3000]rule deny tcp destination-port eq 1025       / Sasser

[H3C-acl-adv-3000]rule deny tcp destination-port eq 1068       / Sasser

[H3C-acl-adv-3000]rule deny tcp destination-port eq 707         /Nachi  Blaster-D

[H3C-acl-adv-3000]rule deny tcp destination-port eq 5554       / Sasser

[H3C-acl-adv-3000]rule deny tcp destination-port eq 9996       / Sasser

 

2.3.3  设置时间段

如果要限制某段时间内使防火墙生效，就需要配置 time-range ，然后在 acl 的 rule 上加入此限制，方法如下：

比如在工作时间，外网只能访问 100.0.0.1 ，其他时间不做限制

定义时间段：

[H3C]time-range worktimeam 8:00 to 12:00 working-day 定义上午

[H3C]time-range worktimepm 13:00 to 17:00 working-day  定义下午

如果不需要“午休”时间，那直接定义成 8:00-17:00 就可以了

定义 acl

[H3C]acl n 3000

[H3C-acl-adv-3000]rule permit ip destination 100.0.0.1 0 time-range worktimeam

[H3C-acl-adv-3000]rule permit ip destination 100.0.0.1 0 time-range worktimepm

[H3C-acl-adv-3000]rule deny ip time-range worktimeam

[H3C-acl-adv-3000]rule deny ip time-range worktimepm

端口配置，在内网口入方向配置防火墙

[H3C]int et0/1

[H3C-Ethernet0/1]firewall packet-filter 3000 inbound 

2.3.1        配置推荐

对于最基本的应用，给出以下的配置模版，包括屏蔽了常见攻击和内外网访问控制。

内网口：

acl number 3101

 rule 10 permit icmp icmp-type echo

 rule 20 permit icmp icmp-type echo-reply

 rule 30 permit icmp icmp-type ttl-exceeded

 rule 40 deny icmp

 

 rule 110 deny tcp destination-port eq 135

 rule 120 deny udp destination-port eq 135

 rule 130 deny udp destination-port eq netbios-ns

 rule 140 deny udp destination-port eq netbios-dgm

 rule 150 deny tcp destination-port eq 139

 rule 160 deny udp destination-port eq netbios-ssn

 rule 170 deny tcp destination-port eq 445

 rule 180 deny udp destination-port eq 445

 rule 190 deny udp destination-port eq 593

 rule 200 deny tcp destination-port eq 593

 rule 210 deny tcp destination-port eq 1433

 rule 220 deny tcp destination-port eq 1434

 rule 230 deny tcp destination-port eq 4444

 rule 240 deny tcp destination-port eq 1025

 rule 250 deny tcp destination-port eq 1068

 rule 260 deny tcp destination-port eq 707

 rule 270 deny tcp destination-port eq 5554

 rule 280 deny tcp destination-port eq 9996

 

 rule 2000 permit ip source 192.168.0.0 0.0.1.255

 rule 3000 deny ip

 

# 在内网接口下应用：

interface vlan-interface 1

  ip address 192.168.0.1 255.255.254.0

  firewall packet-filter 3101 inbound

 

外网口

acl number 3102

 rule 10 permit icmp icmp-type echo

 rule 20 permit icmp icmp-type echo-reply

 rule 30 permit icmp icmp-type ttl-exceeded

 rule 40 deny icmp

 

 rule 110 deny tcp destination-port eq 135

 rule 120 deny udp destination-port eq 135

 rule 130 deny udp destination-port eq netbios-ns

 rule 140 deny udp destination-port eq netbios-dgm

 rule 150 deny tcp destination-port eq 139

 rule 160 deny udp destination-port eq netbios-ssn

 rule 170 deny tcp destination-port eq 445

 rule 180 deny udp destination-port eq 445

 rule 190 deny udp destination-port eq 593

 rule 200 deny tcp destination-port eq 593

 rule 210 deny tcp destination-port eq 1433

 rule 220 deny tcp destination-port eq 1434

 rule 230 deny tcp destination-port eq 4444

 rule 240 deny tcp destination-port eq 1025

 rule 250 deny tcp destination-port eq 1068

 rule 260 deny tcp destination-port eq 707

 rule 270 deny tcp destination-port eq 5554

 rule 280 deny tcp destination-port eq 9996

 

 rule 2000 permit ip destination 192.168.0.0 0.0.1.255

 rule 2010 permit tcp destination-port eq 23

 

 rule 3000 deny ip

 

# 在WAN接口下应用：

interface ethernet 0/0

  ip address 202.198.11.2 255.255.255.0

  firewall packet-filter 3102 inbound