您現在的位置是:首頁 > 籃球
路由器配置虛擬防火牆黑名單
- 由 凌雲共遠 發表于 籃球
- 2022-09-20
路由器黑名單怎麼解除
配置虛擬防火牆黑名單組網需求:
在
R1
上,每個
VPN
例項均可以獨立部署防火牆,互不影響,即虛擬防火牆。
某公司部門
A
和部門
B
透過在
R1
上部署
VPN
例項劃分虛擬防火牆,實現部門間隔離。防火牆策略獨立部署,分別為每個
VPN
網路劃分安全區域。其中部門
A
發現
VPN1
網路上存在攻擊者,源
IP
為
10。13。1。2
,需要為
VPN1
配置黑名單。如果收到報文的源地址為攻擊者的
IP
地址,則丟棄該報文。
拓撲圖:
虛擬防火牆
配置虛擬防火牆黑名單配置方法:
1
、
在
R1
上配置
VPN
,透過
VPN
例項,實現部門
A
和部門
B
的隔離。
2、
在
R1
上劃分不同的安全區域。
3、在
Ro1
上為
VPN1
配置黑名單,丟棄攻擊者的報文。
配置虛擬防火牆黑名單配置步驟:
1、
在
R1
上配置
VPN
[Huawei]sysname R1
[R1-vpn-instance-vpn1]ipv4-family
[R1-vpn-instance-vpn1-af-ipv4]route-distinguisher 100:1
[R1]ip vpn-instance vpn2
[R1-vpn-instance-vpn2]ipv4-family
[R1-vpn-instance-vpn2-af-ipv4]route-distinguisher 200:1
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip binding vpn-instance vpn1
[R1-GigabitEthernet0/0/0]ip add 10。1。11。1 24
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ip binding vpn-instance vpn1
[R1-GigabitEthernet0/0/1]ip add 10。1。13。1 24
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip binding vpn-instance vpn2
[R1-GigabitEthernet0/0/2]ip add 10。1。12。1 24
[R1]int g1/0/0
[R1-GigabitEthernet1/0/0]ip binding vpn-instance vpn2
[R1-GigabitEthernet1/0/0]ip add 10。1。14。1 24
2、在R1上配置安全區域
[R1]firewall zone trust_a
[R1-zone-trust_a]priority 10
[R1]firewall zone untrust_a
[R1-zone-untrust_a]priority 1
[R1]firewall interzone trust_a untrust_a
[R1-interzone-trust_a-untrust_a]firewall enable
[R1]firewall zone trust_b
[R1-zone-trust_b]priority 12
[R1]firewall zone untrust_b
[R1-zone-untrust_b]priority 2
[R1]firewall interzone trust_b untrust_b
[R1-interzone-trust_b-untrust_b]firewall enable
3、將介面加入安全區域
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]zone trust_a
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]zone untrust_a
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]zone trust_b
[R1]int g1/0/0
[R1-GigabitEthernet1/0/0]zone untrust_b
4、在R1上為vpn1配置黑名單
[R1]firewall blacklist enable
[R1]firewall blacklist 10。1。13。2 vpn-instance vpn1
5、檢視配置結果
配置虛擬防火牆黑名單配置步驟:
[R1]dis firewall interzone
interzone trust_a untrust_a
firewall enable
packet-filter default deny inbound
packet-filter default permit outbound
interzone trust_b untrust_b
firewall enable
packet-filter default deny inbound
packet-filter default permit outbound
total number is : 2
[R1]dis firewall blacklist all
Firewall blacklist items :
————————————————————————————————————————
IP-Address Reason Expire-Time(m) VPN-Instance
————————————————————————————————————————
10。13。1。2 Manual Permanent vpn1
10。1。13。2 Manual Permanent vpn1
————————————————————————————————————————
Total number is : 2