一、如何启用路由器设备的防火墙功能
概述
组网拓扑如下图所示,1和2分配的IP分别是192.168.1.1和192.168.2.1它们的网关IP配置在Router设备上。
基于组网拓扑图及说明,如何启用路由器设备的防火墙功能?如何利用路由器的防火墙功能实现1无法telnet访问2?
Tips:
- 采用HCL模拟器,Router设备采用【VSR2000】
组网设备基础配置
Router设备
[H3C]sysname Router
#开启软件快速转发的会话统计功能
[Router] session statistics enable
This command is CPU intensive and might affect ongoing services. Are you sure you want to continue? [Y/N]:y
[Router]
[Router]interface GigabitEthernet1/0
[Router-GigabitEthernet1/0] ip address 192.168.1.254 255.255.255.0
[Router-GigabitEthernet1/0]quit
[Router]interface GigabitEthernet2/0
[Router-GigabitEthernet2/0] ip address 192.168.2.254 255.255.255.0
[Router-GigabitEthernet2/0]quit
[Router]
1和2设备配置
1和2设备配置类似,下面仅说明1设备的配置
[H3C]sysname 1
[1]interface Vlan-interface1
[1-Vlan-interface1] ip address 192.168.1.1 255.255.255.0
[1-Vlan-interface1]quit
[1]ip route-static 0.0.0.0 0 192.168.1.254
[1]
#启用1设备telnet服务并配置用户名和密码
[1]telnet server enable
[1]local-user admin
[1-luser-manage-admin] password simple admin
[1-luser-manage-admin] service-type telnet
[1-luser-manage-admin] authorization-attribute user-role level-15
[1-luser-manage-admin]quit
[1]line vty 0 63
[1-line-vty0-63] authentication-mode scheme
[1-line-vty0-63]quit
[1]#
小节
1、缺省情况下,路由器设备的软件快速转发的会话统计功能处于关闭状态。开启软件快速转发的会话统计功能之后,设备将对收到和发送的基于会话的业务报文数目和报文字节数进行统计。
2、完成上述的设备配置,1和2设备之间实现相互访问,例如,1 telnet访问2,在Router设备上通过命令“display session table ipv4 verbose” 查看IPv4单播会话表信息,如下图所示。
启用路由器设备的防火墙功能
#将接口G1/0和G2/0分别加入Trust安全域和Untrust安全域
[Router]security-zone name Trust
[Router-security-zone-Trust] import interface GigabitEthernet1/0
[Router-security-zone-Trust]quit
[Router]security-zone name Untrust
[Router-security-zone-Untrust] import interface GigabitEthernet2/0
[Router-security-zone-Untrust]quit
[Router]
#定义IP和服务对象,例如IP对象1和2,服务对象Tel
[Router]object-group ip address 1
[Router-obj-grp-ip-1] 0 network host address 192.168.1.1
[Router-obj-grp-ip-1]quit
[Router]object-group ip address 2
[Router-obj-grp-ip-2] 0 network host address 192.168.2.1
[Router-obj-grp-ip-2]quit
[Router]object-group service Tel
[Router-obj-grp-service-Tel] 0 service tcp destination eq 23
[Router-obj-grp-service-Tel]quit
[Router]
#配置对象策略1-2,创建一条1无法telnet访问2并记录匹配次数和日志的规则;创建一条默认放通的策略并记录匹配次数和日志的规则
[Router]object-policy ip 1-2
[Router-object-policy-ip-1-2] rule 0 drop source-ip 1 destination-ip 2 service Tel logging counting
[Router-object-policy-ip-1-2] rule 1 pass logging counting
[Router-object-policy-ip-1-2]quit
[Router]
#配置安全域间实例并应用对象策略【每个安全域间实例仅能应用一个对象策略】
[Router]
[Router]zone-pair security source Any destination Any
[Router-zone-pair-security-Any-Any] object-policy apply ip 1-2
[Router-zone-pair-security-Any-Any]quit
[Router]
小节
1、一旦将路由器的接口加入安全区域,网络将发生中断,因此,要及时配置对象策略和配置安全域间实例并应用对象策略。需要注意是每个安全域间实例仅能应用一个对象策略。
2、完成上述配置启用路由器设备的防火墙功能后,1无法telnet访问2,但2可telnet访问1。在Router设备上通过命令“display logbuffer reverse” 查看访问日志信息,如下图所示。
3、在Router设备上通过命令“move rule 1 before 0”可修改对象策略1-2的规则匹配顺序【从上到下顺序匹配】,如下图所示。
总结
以上分享,希望各位小伙伴有所收获,欢迎各位点赞、收藏和指正。
二、家用路由器防火墙怎么设置
其实家用路由器的防火墙功能是比较简单的,只能够达到屏蔽内部网络IP地址,自由设定IP地址、通信端口过滤等,另外,家用服务器的过滤规则只是一些比较基本的数据包拒收规则而已,并不能达到很好的防护效果,不过对于一般的网络恶意攻击还是可以应付。目前的路由器防火墙功能主要包括防IP地址过滤,URL过滤,MAC地址过滤,IP地址与MAC地址绑定以及一些防黑能力,安全日志等。通过路由器内置的防火墙功能,可设置不同的过滤规则,过滤来自外网的异常信息包。另外需要说明的是,假如路由器开启了防火墙功能或者对防火墙的过滤规则设置过于严格,有可能造成一些正常的网络应用程序出错,所以一般采取默认设置即可.那些就是在有病毒攻击的时候可以将其IP添加进去.
三、link路由器防火墙怎么设置
一、IP地址过滤的使用IP地址过滤用于通过IP地址设置内网主机对外网的访问权限,适用于这样的需求:在某个时间段,禁止/允许内网某个IP(段)所有或部分端口和外网IP的所有或部分端口的通信。
开启IP地址过滤功能时,必须要开启防火墙总开关,并明确IP地址过滤的缺省过滤规则。
二、设置方法如下:
1.选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器。
2、添加IP地址过滤新条目:
允许内网192.168.1.103完全不受限制的访问外网的所有IP地址。因默认规则为“禁止不符合IP过滤规则的数据包通过路由器”,所以内网电脑IP地址段:192.168.1.100-192.168.1.102不需要进行添加,默认禁止其通过。
3、保存后生成如下条目,即能达到预期目的。
4、浏览网页需使用到80端口(HTTP协议),收发电子邮件使用25(SMTP)与110(POP),同时域名服务器端口号53(DNS)
5、设置方法如下:
选择缺省过滤规则为:凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器。
6、设置生成如下条目后即能达到预期目的。
