F1000-C8330的防火牆
- 0關注
- 0收藏,428瀏覽
問題描述:
固件版本號:7.1.064,Release 9660P52
想針對某些國外的IP地址進行封堵,請問如何配置,謝謝
- 2025-05-03提問
- 舉報
-
(0)
最佳答案
如下圖所示,網絡管理員通過流量分析發現外部網絡中存在來自網段5.5.5.0/24的一組攻擊者,需要將這組攻擊者的報文在Device上永遠過濾掉。
圖-1 地址對象組黑名單配置組網圖
配置步驟
配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.0.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
將接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
[Device] security-zone name dmz
[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Device-security-zone-DMZ] quit
配置安全策略
# 配置名稱為trust-untrust的安全策略,保證Trust安全域內的主機可以訪問Internet,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.0.0 16
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
# 配置名稱為untrust-dmz的安全策略,保證Internet中的主機可以訪問Server,具體配置步驟如下。
[Device-security-policy-ip] rule name untrust-dmz
[Device-security-policy-ip-2-untrust-dmz] source-zone untrust
[Device-security-policy-ip-2-untrust-dmz] destination-zone dmz
[Device-security-policy-ip-2-untrust-dmz] destination-ip-host 10.1.1.2
[Device-security-policy-ip-2-untrust-dmz] action pass
[Device-security-policy-ip-2-untrust-dmz] quit
[Device-security-policy-ip] quit
配置地址對象組黑名單功能
# 創建地址對象組obj1,並將5.5.5.0/24加入地址對象組。
[Device] object-group ip address obj1
[Device-obj-grp-ip-obj1] network subnet 5.5.5.0 24
[Device-obj-grp-ip-obj1] quit
# 通過引用地址對象組obj1配置黑名單。
[Device] blacklist object-group obj1
# 開啟全局黑名單過濾功能。
[Device] blacklist global enable
驗證配置
完成以上配置後,Device對來自網段5.5.5.0/24的攻擊者的報文一律進行丟棄處理,除非管理員認為網段5.5.5.0/24不再是攻擊者,通過undo blacklist object-group將其從黑名單中刪除。
- 2025-05-06回答
- 評論(0)
- 舉報
-
(0)
方法一:通過IP黑名單配置
1. 開啟全局黑名單功能
system-view
blacklist global enable
2. 添加國外IP地址到黑名單(示例封堵1.1.1.1)
blacklist ip 1.1.1.1 timeout 1440 # 手動添加IP,timeout為老化時間(分鍾
3. 將接口加入安全域並啟用黑名單過濾
security-zone name Untrust # 假設外網接口在Untrust域
import interface GigabitEthernet1/0/1
blacklist enable
方法二:通過ACL+安全策略配置
1. 創建IPv4高級ACL定義國外IP地址段
acl advanced 3000
rule 0 deny ip destination 1.1.1.0 0.0.0.255 # 示例封堵1.1.1.0/24
rule 5 permit ip # 放行其他流量
2. 配置安全策略引用ACL
security-policy ip
rule name Block_Foreign_IP
source-zone untrust
destination-zone trust
acl 3000
action deny
注意事項
1. 國外IP需通過第三方IP庫(如GeoIP)獲取具體地址段,建議通過自動化腳本定期更新ACL規則。
2. 若需長期封堵,可不配置timeout參數,黑名單條目將永久生效。
3. 建議在非業務高峰期操作,並通過display blacklist命令驗證配置。
- 2025-05-05回答
- 評論(0)
- 舉報
-
(0)
暫無評論
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論