3C包过滤防火墙典型配置举例

1. 组网需求

以下通过一个公司配置防火墙的实例来说明防火墙的配置。

该公司通过一台SecPath防火墙的接口Ethernet1/0/0访问Internet，防火墙与内部网通过以太网接口Ethernet0/0/0连接。公司内部对外提供WWW、FTP和Telnet服务，公司内部子网为129.38.1.0，其中，内部FTP服务器地址为129.38.1.1，内部Telnet服务器地址为129.38.1.2，内部WWW服务器地址为129.38.1.3，公司对外地址为202.38.160.1。在防火墙上配置了地址转换，这样内部PC机可以访问Internet，外部PC可以访问内部服务器。通过配置防火墙，希望实现以下要求：

l              外部网络只有特定用户可以访问内部服务器。

l              内部网络只有特定主机可以访问外部网络。

假定外部特定用户的IP地址为202.39.2.3。

2. 组网图

图5-3 包过滤防火墙配置案例组网图

3. 配置步骤

# 使能包过滤防火墙。

[H3C] firewall packet-filter enable

# 设置防火墙缺省过滤方式为允许包通过。

[H3C] firewall packet-filter default permit

# 创建访问控制列表3001。

[H3C] acl number 3001

# 配置规则允许特定主机访问外部网，允许内部服务器访问外部网。

[H3C-acl-adv-3001] rule permit ip source 129.38.1.4 0

[H3C-acl-adv-3001] rule permit ip source 129.38.1.1 0

[H3C-acl-adv-3001] rule permit ip source 129.38.1.2 0

[H3C-acl-adv-3001] rule permit ip source 129.38.1.3 0

[H3C-acl-adv-3001] rule deny ip

# 创建访问控制列表3002。

[H3C] acl number 3002

# 配置规则允许特定用户从外部网访问内部服务器。

[H3C-acl-adv-3002] rule permit tcp source 202.39.2.3 0 destination 129.38.1.0 0.0.0.3

# 配置规则允许特定用户从外部网取得数据（只允许端口大于1024的包）。

[H3C-acl-adv-3002] rule permit tcp destination 129.38.1.4 0 destination-port gt 1024

[H3C-acl-adv-3002] rule deny ip

# 将规则3001作用于从接口Ethernet0/0/0进入的包。

[H3C-Ethernet0/0/0] firewall packet-filter 3001 inbound

# 将规则3002作用于从接口Ethernet1/0/0进入的包。

[H3C-Ethernet1/0/0] firewall packet-filter 3002 inbound