我们来详细解析华为/H3C网络设备中的 Filter(过滤) 概念,并通过一个完整的实验来演示其应用。
第一部分:详细概念解析
- 什么是 Filter?
在华为/H3C设备中,Filter(过滤器) 通常指的是基于访问控制列表对数据包进行过滤的技术,即包过滤。
它是网络安全中最基础、最重要的功能之一,通过定义规则来允许或拒绝特定的数据包通过网络设备。
- Filter的核心组件:ACL
Filter功能的实现依赖于ACL。
基本ACL(2000-2999):仅依据源IP地址进行匹配。
高级ACL(3000-3999):可依据源IP、目的IP、协议类型、源端口、目的端口等多种元素进行精细匹配。
二层ACL(4000-4999):依据MAC地址、以太网帧类型等二层信息进行匹配。
- Filter的工作机制
Filter通过将ACL规则应用到接口的特定方向上来工作:
入方向:对设备接收到的数据包进行过滤。
出方向:对设备发送的数据包进行过滤。
数据处理流程:
数据包到达接口。
系统检查该接口上是否应用了ACL过滤器。
按ACL规则序号从小到大依次匹配。
一旦匹配某条规则,立即执行该规则的 permit 或 deny 动作,后续规则不再检查。
如果所有规则都不匹配,则执行ACL的默认动作。在华为/H3C中,ACL的默认动作是 deny,即隐含拒绝所有。
- Filter的典型应用场景
安全域隔离:在不同信任级别的网络区域之间实施访问控制。
网络访问控制:限制用户或部门访问特定的网络资源(如服务器、互联网)。
流量控制:阻断不必要的或有害的流量(如P2P、病毒流量)。
简化防火墙策略:作为基础防火墙功能,实施简单的安全策略。
第二部分:详细实验
实验拓扑与目标
拓扑:
[市场部 PC: 192.168.10.10/24] — <接口GigabitEthernet0/1> [H3C路由器] <接口GigabitEthernet0/2> — [财务部 Server: 192.168.20.20/24]
目标:
配置Filter,禁止市场部(192.168.10.0/24)访问财务部服务器(192.168.20.20)的所有服务。
但允许市场部访问财务部网络的其他资源(如192.168.20.0/24网段除 .20 以外的IP)。
允许所有其他流量。
实验配置步骤
第1步:基础网络配置
配置接口IP地址,确保基础连通性。
system-view
[H3C] interface GigabitEthernet 0/1
[H3C-GigabitEthernet0/1] ip address 192.168.10.1 255.255.255.0
[H3C-GigabitEthernet0/1] quit
[H3C] interface GigabitEthernet 0/2
[H3C-GigabitEthernet0/2] ip address 192.168.20.1 255.255.255.0
[H3C-GigabitEthernet0-2] quit
第2步:创建高级ACL定义过滤规则
我们需要创建一个高级ACL来精确匹配从市场部到财务部服务器的流量。
最低0.47元/天 解锁文章
扫一扫
785
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
