配置思路采用如下的配置思路:
在Router上创建基本ACL,并通过配置基本ACL规则对网络中不同用户进行分类。
在Router上配置FTP基本功能。
在Router应用基本ACL为网络中的不同用户设置不同的访问权限。
数据准备为完成配置举例,需准备如下的数据:
基本ACl编号:2001。
子网2访问FTP服务器的时间段名称:ftp-access。
ftp-access描述的时间范围:2009年到2011年周六、周日下午14:00到18:00。
操作步骤
配置时间段 <Huawei> system-view
[Huawei] sysname Router
[Router] time-range ftp-access from 0:0 2009/1/1 to 23:59 2011/12/31
[Router] time-range ftp-access 14:00 to 18:00 off-day
配置基本ACL [Router] acl number 2001
[Router-acl-basic-2001] rule permit source 172.16.105.0 0.0.1.255
[Router-acl-basic-2001] rule permit source 172.16.107.0 0.0.1.255 time-range ftp-access
[Router-acl-basic-2001] quit
配置FTP基本功能(略)
配置FTP服务器访问权限 [Router] ftp acl 2001
验证配置结果 在子网1的PC A(172.16.105.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。
2010年某个周一在子网2的PC B(172.16.107.111/24)上执行ftp 172.16.104.110命令,不能连接FTP服务器;2010年某个周六下午15:00在子网2的PC B(172.16.107.111/24)上执行ftp 172.16.104.110命令,可以连接FTP服务器。
在PC C(10.10.10.1/24)上执行ftp 172.16.104.110命令,不能连接FTP服务器。
配置文件# Router的配置文件
#sysname Router#ftp server enableftp acl 2001
#time-range ftp-access from 0:0 2009/1/1 to 23:59 2011/12/31time-range ftp-access 14:00 to 18:00 off-day
#
acl number 2001
rule 5 permit source 172.16.104.0 0.0.1.255
rule 10 permit source 172.16.106.0 0.0.1.255 time-range ftp-access
#return
配置思路
采用如下的配置思路:
为企业内部网络和外部网络配置不同的安全区域。
配置安全域间,在安全域间使能防火墙功能。
配置不同的高级ACL,对可以访问内部服务器的外部网络用户以及可以访问外部网络的内部服务器进行分类。
在安全域间配置基于高级ACL的包过滤。
数据准备
为完成配置举例,需准备如下的数据:
表示企业内部网络的安全区域名称:company。
安全区域company的优先级:12。
表示外部网络的安全区域名称:external。
安全区域external的优先级:5。
企业加入的VLAN ID:100。
接口VLANIF100的IP地址:202.169.10.1/24。
接口GE0/0/1的IP地址:129.39.10.8/24
从外部网络可以访问内部服务器的特定用户的IP地址:202.39.2.3/24。
为该特定用户进行分类的高级ACL编号:3001。
为内部服务器进行分类的高级ACL编号:3002。
操作步骤
配置安全区域。
# 为企业内部网络配置安全区域。
<Huawei> system-view
[Huawei] sysname Router
[Router] firewall zone company
[Router-zone-company] priority 12
[Router-zone-company] quit
# 将接口VLANIF100加入安全区域company。
[Router] interface vlanif 100
[Router-Vlanif100] zone company
[Router-Vlanif100] quit# 为外部网络配置安全区域。
[Router] firewall zone external
[Router-zone-external] priority 5
[Router-zone-external] quit
# 将接口GE0/0/1加入安全区域external。
[Router] interface gigabitEthernet 0/0/1
[Router-gigabitEthernet0/0/1] zone external
[Router-gigabitEthernet0/0/1] quit
配置安全域间。
[Router] firewall interzone company external
[Router-interzone-company-external] firewall enable
[Router-interzone-company-external] quit
配置ACL3001。
# 创建ACL3001。
[Router] acl 3001
# 配置允许特定用户从外部网络可以访问内部服务器。
[Router-acl-adv-3001] rule permit tcp source 202.39.2.3 0.0.0.0 destination 202.169.10.5 0.0.0.0
[Router-acl-adv-3001] rule permit tcp source 202.39.2.3 0.0.0.0 destination 202.169.10.6 0.0.0.0
[Router-acl-adv-3001] rule permit tcp source 202.39.2.3 0.0.0.0 destination 202.169.10.7 0.0.0.0
# 配置其他用户不能从外部网络访问企业内部的任何主机。
[Router-acl-adv-3001] rule deny ip
[Router-acl-adv-3001] quit
配置ACL3002。
# 创建ACL3002。
[Router] acl 3002
# 配置允许内部服务器访问外部网络。
[Router-acl-adv-3002] rule permit ip source 202.169.10.5 0.0.0.0
[Router-acl-adv-3002] rule permit ip source 202.169.10.6 0.0.0.0
[Router-acl-adv-3002] rule permit ip source 202.169.10.7 0.0.0.0# 配置网络内部的其他用户不能访问外部网络。
[Router-acl-adv-3002] rule deny ip
[Router-acl-adv-3002] quit
在安全域间配置基于高级ACL的包过滤。
[Router] firewall interzone company external
[Router-interzone-company-external] packet-filter 3001 inbound
[Router-interzone-company-external] packet-filter 3002 outbound
[Router-interzone-company-external] quit
检查配置结果。
配置成功后,仅特定主机(202.39.2.3)可以访问内部服务器,仅内部服务器可以访问外部网络。
在Router上执行display firewall interzone [ zone-name1 zone-name2 ]操作,结果如下。
[Router] display firewall interzone company external
interzone company external
firewall enable
packet-filter default deny inbound
packet-filter default permit outbound
packet-filter 3001 inbound
packet-filter 3002 outbound
配置文件
# Router的配置文件
#
vlan batch 100
#
acl number 3001
rule 5 permit tcp source 202.39.2.3 0.0.0.0 destination 202.169.10.5 0.0.0.0
rule 10 permit tcp source 202.39.2.3 0.0.0.0 destination 202.169.10.6 0.0.0.0
rule 15 permit tcp source 202.39.2.3 0.0.0.0 destination 202.169.10.7 0.0.0.0
rule 20 deny ip
#
acl number 3002
rule 5 permit ip source 202.169.10.5 0.0.0.0
rule 10 permit ip source 202.169.10.6 0.0.0.0
rule 15 permit ip source 202.169.10.7 0.0.0.0
rule 20 deny ip
#
interface Vlanif100
ip address 202.169.10.1 255.255.255.0
zone company
#
firewall zone company
priority 12
#
firewall zone external
priority 5
#
firewall interzone company external
firewall enable
packet-filter 3001 inbound
packet-filter 3002 outbound
#
interface Ethernet0/0/0
port link-type access
port default vlan 100
#
interface GigabitEthernet0/0/1
ip address 129.39.10.8 255.255.255.0
zone external
#
return
