h3c 防火牆禁用某個IP和端口訪問
- 0關注
- 0收藏,2017瀏覽
問題描述:
h3c設備如何禁用某個IP和端口訪問?web端和命令行如何操作
- 2025-09-18提問
- 舉報
-
(0)
最佳答案
web比較簡單
Web方式:基於IP地址的安全策略典型配置
使用版本
本舉例是在F5000-AI-55-G的E9900版本上進行配置和驗證的。
組網需求
如下圖所示,某公司內的各部門之間通過Device實現互連,該公司的工作時間為每周工作日的8點到18點。通過配置安全策略,實現如下需求:
允許總裁辦在任意時間、財務部在工作時間通過HTTP協議訪問財務數據庫服務器的Web服務。
禁止其它部門在任何時間、財務部在非工作時間通過HTTP協議訪問財務數據庫服務器的Web服務。
配置步驟
配置安全域
# 選擇“網絡 > 安全域”,進入安全域配置頁麵,依次配置如下內容。
創建名為database的安全域,並將接口GigabitEthernet1/0/1加入該安全域中
創建名為president的安全域,並將接口GigabitEthernet1/0/2加入該安全域中
創建名為finance的安全域,並將接口GigabitEthernet1/0/3加入該安全域中
創建名為market的安全域,並將接口GigabitEthernet1/0/4加入該安全域中
配置接口IP地址
# 選擇“網絡 > 接口與VRF > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
選擇“IPv4地址”頁簽,配置IP地址/掩碼:192.168.0.1/24
其他配置項使用缺省值
# 單擊<確定>按鈕,完成接口IP地址的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
IP地址/掩碼:192.168.1.1/24
其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/3,配置如下。
IP地址/掩碼:192.168.2.1/24
其他配置項使用缺省值
# 按照同樣的步驟配置接口GE1/0/4,配置如下。
IP地址/掩碼:192.168.3.1/24
其他配置項使用缺省值
配置時間段
# 創建名為work的時間段,其時間範圍為每周工作日的8點到18點。
# 選擇“對象 > 對象組 > 時間段”,進入時間段配置頁麵,配置如下。
名稱為work
周期時間段為每周工作日的8點到18點
創建源安全域president到目的安全域database的安全策略,允許總裁辦在任意時間通過HTTP協議訪問財務數據庫服務器
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,進入新建安全策略頁麵,配置如下。
圖-2 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略president-database的配置。
創建源安全域finance到目的安全域database的安全策略,隻允許財務部在工作時間通過HTTP協議訪問財務數據庫服務器
# 選擇“策略 > 安全策略 > 安全策略”,進入安全策略配置頁麵。
# 單擊<新建>按鈕,進入新建安全策略頁麵,配置如下。
圖-3 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略finance-database的配置。
創建源安全域market到目的安全域database的安全策略,禁止市場部在任何時間通過HTTP協議訪問財務數據庫服務器
# 選擇“策略 > 安全策略 > 安全策略”,選擇新建策略,進入新建安全策略頁麵,進入安全策略配置頁麵。
# 單擊<新建>按鈕,配置如下。
圖-4 配置安全策略
# 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成安全策略market-database的配置。
驗證配置
配置完成後,總裁辦可以在任意時間訪問財務數據庫服務器的Web服務,財務部僅可以在工作時間訪問財務數據庫服務器的Web服務,其他部門任何時間均不可以訪問財務數據庫服務器的Web服務。
CLI方式:基於IP地址的安全策略典型配置
使用版本
本舉例是在F5000-AI-55-G的E9900版本上進行配置和驗證的。
組網需求
如下圖所示,某公司內的各部門之間通過Device實現互連,該公司的工作時間為每周工作日的8點到18點。
通過配置安全策略規則,允許總裁辦在任意時間、財務部在工作時間通過HTTP協議訪問財務數據庫服務器的Web服務,禁止其它部門在任何時間、財務部在非工作時間通過HTTP協議訪問該服務器的Web服務。
圖-1 基於IP地址的安全策略配置組網圖
配置步驟
配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.0.1 255.255.255.0
[Device-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
配置接口加入安全域
# 請根據組網圖中規劃的信息,創建安全域,並將接口加入對應的安全域,具體配置步驟如下。
[Device] security-zone name database
[Device-security-zone-database] import interface gigabitethernet 1/0/1
[Device-security-zone-database] quit
[Device] security-zone name president
[Device-security-zone-president] import interface gigabitethernet 1/0/2
[Device-security-zone-president] quit
[Device] security-zone name finance
[Device-security-zone-finance] import interface gigabitethernet 1/0/3
[Device-security-zone-finance] quit
[Device] security-zone name market
[Device-security-zone-market] import interface gigabitethernet 1/0/4
[Device-security-zone-market] quit
配置時間段
# 創建名為work的時間段,其時間範圍為每周工作日的8點到18點,具體配置步驟如下。
[Device] time-range work 08:00 to 18:00 working-day
配置安全策略
# 配置名稱為president-database的安全策略規則,允許總裁辦在任意時間通過HTTP協議訪問財務數據庫服務器,具體配置步驟如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name president-database
[Device-security-policy-ip-0-president-database] source-zone president
[Device-security-policy-ip-0-president-database] destination-zone database
[Device-security-policy-ip-0-president-database] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-0-president-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-0-president-database] service http
[Device-security-policy-ip-0-president-database] action pass
[Device-security-policy-ip-0-president-database] quit
# 配置名稱為finance-database的安全策略規則,隻允許財務部在工作時間通過HTTP協議訪問財務數據庫服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name finance-database
[Device-security-policy-ip-1-finance-database] source-zone finance
[Device-security-policy-ip-1-finance-database] destination-zone database
[Device-security-policy-ip-1-finance-database] source-ip-subnet 192.168.2.0 24
[Device-security-policy-ip-1-finance-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-1-finance-database] service-port tcp destination eq 80
[Device-security-policy-ip-1-finance-database] action pass
[Device-security-policy-ip-1-finance-database] time-range work
[Device-security-policy-ip-1-finance-database] quit
# 配置名稱為market-database的安全策略規則,禁止市場部在任何時間通過HTTP協議訪問財務數據庫服務器,具體配置步驟如下。
[Device-security-policy-ip] rule name market-database
[Device-security-policy-ip-2-market-database] source-zone market
[Device-security-policy-ip-2-market-database] destination-zone database
[Device-security-policy-ip-2-market-database] source-ip-subnet 192.168.3.0 24
[Device-security-policy-ip-2-market-database] destination-ip-subnet 192.168.0.0 24
[Device-security-policy-ip-2-market-database] service http
[Device-security-policy-ip-2-market-database] action drop
[Device-security-policy-ip-2-market-database] quit
# 激活安全策略規則的加速功能,具體配置步驟如下。
[Device-security-policy-ip] accelerate enhanced enable
[Device-security-policy-ip] quit
驗證配置
- 2025-09-18回答
- 評論(0)
- 舉報
-
(0)
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論