华为交换机封端口常用访问控制列表

华为交换机封端口常用访问控制列表aclnumber3000rule1denyudpdestination-porteq1434rule2denyudpdestination-porteq135rule3denyudpdestination-porteqnetbios-ssnrule5denytcpdestination-porteq135rule6denytcpdestination-porteq445rule7denytcpdestination-porteq593rule10denytcpdestination-porteq113rule11denytcpdestination-porteq5800rule12denytcpdestination-porteq5900rule13denyudpdestination-porteq445rule14denyudpdestination-porteq593rule15denyudpdestination-porteqnetbios-nsrule16denyudpdestination-porteqnetbios-dgmrule17denyudpdestination-porteq113rule18denytcpdestination-porteq5554rule19denytcpdestination-porteq9996packet-filterip-group3000(全局应用)queue-schedulerwrr40301020(设置队列调度模式和参数)（选择添加）rule0denyicmprule4denytcpdestination-porteq139rule8denytcpdestination-porteq137rule9denytcpdestination-porteq138=============================================================================标准ACL：列表号1-99，只限制源地址---------------------------------------------------------[Router1]acl1--只允许一台主机的流量通过[Router1-acl-1]rulepermitsource192.168.0.990.0.0.0[Router1-acl-1]ruledenysourceany192.168.0.990.0.0.0可以简写为192.168.0.990或者192.168.0.99[Router1]acl2--只允许一个网段的流量通过[Router1-acl-2]rulepermitsource192.168.0.990.0.0.255[Router1-acl-2]ruledenysourceany[Router1]acl3--拒绝一台主机的流量[Router1-acl-3]ruledenysource192.168.0.990[Router1]acl4--拒绝一个网段的流量[Router1-acl-4]ruledenysource192.168.0.990.0.0.255[Router1]inte0--在接口上应用ACL和取消ACL的应用[Router1-Ethernet0]firewallpacket-filter1inbound[Router1-Ethernet0]undofirewallpacket-filter1inbound[Router1-Ethernet0]firewallpacket-filter2inbound[Router1-Ethernet0]undofirewallpacket-filter2in[Router1-Ethernet0]firewallpacket-filter3in[Router1-Ethernet0]undofirewallpacket-filter3in[Router1-Ethernet0]firewallpacket-filter4in[Router1-Ethernet0]undofirewallpacket-filter4in[Router1]displayacl--显示所配置的所有ACL[Router1]undoacl4--删除某一个ACL============================================================================扩展ACL：列表号100-199，可针对源地址、目标地址、协议、端口进行筛选------------------------------------------------------------------[RA]acl110--禁止主机99和所用网段间的ICMP流量,互相都PING不通[RA-acl-100]ruledenyicmpsource192.168.0.990destinationany[RA]acl111--99PING其它网段PING不通,其它网段可以PING通99[RA-acl-101]ruledenyicmpsource192.168.0.990destinationanyicmp-typeecho[RA]acl112--99能够PING通其它网段,其它网段PING不通99[RA-acl-102]ruledenyicmpsource192.168.0.990destinationanyicmp-typeecho-reply[Router1]acl101--拒绝192.168.0.0网段到131.107.0.0网段的telnet流量[Router1-acl-101]ruledenytcpsource192.168.0.990.0.0.255des131.107.0.00.0.255.255eqtelnet[Router1]acl102--只允许一台主机到所有网段的Telnet流量[Router1-acl-102]rulepermittcpsource192.168.0.990desanyeq23[Router1-acl-102]ruledenyipsourceanydesany[Router1]inte0[Router1-Ethernet0]firewallpacket-filter100in[Router1-Ethernet0]undofirewallpack100in[Router1-Ethernet0]firewallpacket-filter101in[Router1-Ethernet0]undofirewallpack101in[Router1-Ethernet0]firewallpacket-filter102in[Router1-Ethernet0]undofirewallpack102in[Router1]acl103--样例：只允许外网访问内网的、FTP、DNS服务，其它流量拒绝[Router1-acl-103]rulepermittcpsourceanydes192.168.0.00.0.0.255eq[Router1-acl-103]rulepermittcpsourceanydes192.168.0.00.0.0.255eqftp[Router1-acl-103]rulepermittcpsourceanydes192.168.0.00.0.0.255eq53[Router1-acl-103]rulepermitudpsourceanydes192.168.0.00.0.0.255eq53[Router1-acl-103]ruledenyipsourceanydes192.168.0.00.0.0.255[Router1-acl-103]quit[Router1]ints0[Router1-Serial0]firewallpack103in====================================================================================时间段的过滤：使ACL只在特定的时间生效----------------------------------------------------[Router1]clock14:09:401132005--先调整路由器时钟[Router1]displayclockCurrentroutertime:14:09:50Mar112005[Router1]timerangenable--启用时间段过滤[Router1]settr8:0010:0011:3013:3014:1515:30--设置时间段[Router1]displaytimerang--显示所配置的时间段TimeRangepacket-filteringenable.beginningoftimerange:08:00-10:0011:30-13:3014:15-15:30endoftimerange.[Router1]displayisintr--显示当WinXP共享需要137、138、139，4451、137端口这个端口是用来请求NetBios名到IP地址达。比如有人喊“123计算机您共享C盘下的ABC.doc这个文件的IP地址是多少”。于是这个呐喊被广播，只有IP地址是123的回答了。2、138端口这个端口是您浏览[网络邻居]用达。您网络里有台计算机叫主浏览器计算机维护着共享列表。所以这个端口封了也就不能通过[网络邻居]来查看其他计算机喽。当然并不防碍彼此通信。3、139、445端口通信计算机得到了对方的IP地址以后，就用139或者445端口开始通讯了。如果不是域环境，就是SMB调用139端口通讯。如果是域环境，就是CIFS调用445端口通讯。如果您不想别人访问您的文件呢，就把这两个关闭掉。备注：很有名的IPC$空连就是利用139端口来获得计算机一些信息的。比如netview.1、关闭137、138、1391.1控制面板\网络连接\属性窗口查看“Internet协议（TCP/IP）的属性1.2在“常规”页标中单击“高级”按钮，在“WINS”页选择禁用TCP/IP上的NetBIOS（S）2、关闭445端口“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”中创建名为“SMBDeviceEnabled”的DWord值,将其设置为0，重起机器