AR1220实现防火墙的功能.docxVIP

置ACL包过滤防火墙典型示例ACL包过滤防火墙在具体组网中的应用。根据数据流的源、目的IP地址，源、目的端口号，协议类型五元组过滤数据流，提高数据流的安全性。组网需求如图1所示，Router的接口Ethernet0/0/0连接一个高安全优先级的内部网络，接口GE0/0/1连接低安全优先级的外部网络，需要对内部网络和外部网络之间的通信实施包过滤。具体要求如下： ?外部特定主机（202.39.2.3）允许访问内部网络中的服务器。 ??其余的访问均不允许。图1 配置ACL包过滤组网图配置思路采用如下思路配置ACL包过滤防火墙：1.? 配置安全区域和安全域间。2.? 将接口加入安全区域。3.? 配置ACL。4.? 在安全域间配置基于ACL的包过滤。操作步骤1.? 在Router上配置安全区域和安全域间。 2.? Huawei system-view3.? [Huawei] firewall zone trust4.? [Huawei-zone-trust] priority 155.? [Huawei-zone-trust] quit6.? [Huawei] firewall zone untrust7.? [Huawei-zone-untrust] priority 18.? [Huawei-zone-untrust] quit9.? [Huawei] firewall interzone trust untrust10. [Huawei-interzone-trust-untrust] firewall enable11. [Huawei-interzone-trust-untrust] quit12. 在Router上将接口加入安全区域。 13. [Huawei] vlan 100 14. [Huawei-vlan100] quit15. [Huawei] interface vlanif 10016. [Huawei-Vlanif100] ip address 129.38.1.1 2417. [Huawei-Vlanif100] quit???? ? 18. [Huawei] interface Ethernet 0/0/019. [Huawei-Ethernet0/0/0] port link-type access ?20. [Huawei-Ethernet0/0/0] port default vlan 100 21. [Huawei-Ethernet0/0/0] quit? 22. [Huawei] interface vlanif 10023. [Huawei-Vlanif100] zone trust24. [Huawei-Vlanif100] quit25. [Huawei] interface gigabitethernet 0/0/126. [Huawei-GigabitEthernet0/0/1] ip address 202.39.2.1 24 27. [Huawei-GigabitEthernet0/0/1] zone untrust?????????????????????? ? [Huawei-GigabitEthernet0/0/1] quit28. 在Router上配置ACL。 29. [Huawei] acl 310230. [Huawei-acl-adv-3102] rule permit tcp source 202.39.2.3 0.0.0.0 destination 129.38.1.2 0.0.0.031. [Huawei-acl-adv-3102] rule permit tcp source 202.39.2.3 0.0.0.0 destination 129.38.1.3 0.0.0.032. [Huawei-acl-adv-3102] rule permit tcp source 202.39.2.3 0.0.0.0 destination 129.38.1.4 0.0.0.033. [Huawei-acl-adv-3102] rule deny ip34. [Huawei-acl-adv-3102] quit35. 在Router上配置包过滤。 36. [Huawei] firewall interzone trust untrust37. [Huawei-interzone-trust-untrust] packet-filter 3102 inbound38. [Huawei-interzone-trust-untrust] quit39. 检查配置结果。 配置成功后，仅特定主机（202.39.2.3）可以访问内部服务器。在Router上执行display firew