华为交换机封端口常用访问控制列表
acl number 3000
rule 1 deny udp destination-port eq 1434
rule 2 deny udp destination-port eq 135
rule 3 deny udp destination-port eq netbios-ssn
rule 5 deny tcp destination-port eq 135
rule 6 deny tcp destination-port eq 445
rule 7 deny tcp destination-port eq 593
rule 10 deny tcp destination-port eq 113
rule 11 deny tcp destination-port eq 5800
rule 12 deny tcp destination-port eq 5900
rule 13 deny udp destination-port eq 445
rule 14 deny udp destination-port eq 593
rule 15 deny udp destination-port eq netbios-ns
rule 16 deny udp destination-port eq netbios-dgm
rule 17 deny udp destination-port eq 113
rule 18 deny tcp destination-port eq 5554
rule 19 deny tcp destination-port eq 9996
packet-filter ip-group 3000 (全局应用)
queue-scheduler wrr 40 30 10 20 (设置队列调度模式和参数)
(选择添加 )
rule 0 deny icmp
rule 4 deny tcp destination-port eq 139
rule 8 deny tcp destination-port eq 137
rule 9 deny tcp destination-port eq 138
=============================================================================
标准ACL:列表号1-99,只限制源地址
---------------------------------------------------------
[Router1]acl 1 --只允许一台主机的流量通过
[Router1-acl-1]rule permit source 192.168.0.99 0.0.0.0
[Router1-acl-1]rule deny source any
192.168.0.99 0.0.0.0可以简写为192.168.0.99 0或者192.168.0.99
[Router1]acl 2 --只允许一个网段的流量通过
[Router1-acl-2]rule permit source 192.168.0.99 0.0.0.255
[Router1-acl-2]rule deny source any
[Router1]acl 3 --拒绝一台主机的流量
[Router1-acl-3]rule deny source 192.168.0.99 0
[Router1]acl 4 --拒绝一个网段的流量
[Router1-acl-4]rule deny source 192.168.0.99 0.0.0.255
[Router1]int e0 --在接口上应用ACL和取消ACL的应用
[Router1-Ethernet0]firewall packet-filter 1 inbound
[Router1-Ethernet0]undo firewall packet-filter 1 inbound
[Router1-Ethernet0]firewall packet-filter 2 inbound
[Router1-Ethernet0]undo firewall packet-filter 2 in
[Router1-Ethernet0]firewall packet-filter 3 in
[Router1-Ethernet0]undo firewall packet-filter 3 in
[Router1-Ethernet0]firewall packet-filter 4 in
[Router1-Ethernet0]undo firewall packet-filter 4 in
[Router1]display acl --显示所配置的所有ACL
[Router1]undo acl 4 --删除某一个ACL
============================================================================
扩展ACL:列表号100-199,可针对源地址、目标地址、协议、端口进行筛选
------------------------------------------------------------------
[RA]acl 110 --禁止主机99和所用网段间的ICMP流量,互相都PING不通
[RA-acl-100]rule deny icmp source 192.168.0.99 0 destination any
[RA]acl 111 --99 PING其它网段PING不通,其它网段可以PING通99
[RA-acl-101]rule deny icmp source 192.168.0.99 0 destination any icmp-type echo
[RA]acl 112 --99 能够PI
NG通其它网段,其它网段PING不通99
[RA-acl-102]rule deny icmp source 192.168.0.99 0 destination any icmp-type echo-reply
[Router1]acl 101 --拒绝192.168.0.0网段到131.107.0.0网段的telnet流量
[Router1-acl-101]rule deny tcp source 192.168.0.99 0.0.0.255 des 131.107.0.0 0.0.255.255 eq telnet
[Router1]acl 102 --只允许一台主机到所有网段的Telnet流量
[Router1-acl-102]rule permit tcp source 192.168.0.99 0 des any eq 23
[Router1-acl-102]rule deny ip source any des any
[Router1]int e0
[Router1-Ethernet0]firewall packet-filter 100 in
[Router1-Ethernet0]undo firewall pack 100 in
[Router1-Ethernet0]firewall packet-filter 101 in
[Router1-Ethernet0]undo firewall pack 101 in
[Router1-Ethernet0]firewall packet-filter 102 in
[Router1-Ethernet0]undo firewall pack 102 in
[Router1]acl 103 --样例:只允许外网访问内网的WWW、FTP、DNS服务,其它流量拒绝
[Router1-acl-103]rule permit tcp source any des 192.168.0.0 0.0.0.255 eq www
[Router1-acl-103]rule permit tcp source any des 192.168.0.0 0.0.0.255 eq ftp
[Router1-acl-103]rule permit tcp source any des 192.168.0.0 0.0.0.255 eq 53
[Router1-acl-103]rule permit udp source any des 192.168.0.0 0.0.0.255 eq 53
[Router1-acl-103]rule deny ip source any des 192.168.0.0 0.0.0.255
[Router1-acl-103]quit
[Router1]int s0
[Router1-Serial0]firewall pack 103 in
====================================================================================
时间段的过滤:使ACL只在特定的时间生效
----------------------------------------------------
[Router1]clock 14:09:40 11 3 2005 --先调整路由器时钟
[Router1]display clock
Current router time:14:09:50 Mar 11 2005
[Router1]timerang enable --启用时间段过滤
[Router1]settr 8:00 10:00 11:30 13:30 14:15 15:30 --设置时间段
[Router1]display timerang --显示所配置的时间段
TimeRange packet-filtering enable.
beginning of time range:
08:00 - 10:00
11:30 - 13:30
14:15 - 15:30
end of time range.
[Router1]display isintr --显示当
WinXP共享需要137、138、139,445
1、137端口
这个端口是用来请求NetBios名到IP地址达。比如有人喊“123计算机您共享C盘下的ABC.doc这个文件的IP地址是多少”。于是这个呐喊被广播,只有IP地址是123的回答了。
2、138端口
这个端口是您浏览[网络邻居]用达。您网络里有台计算机叫主浏览器计算机维护着共享列表。所以这个端口封了也就不能通过[网络邻居]来查看其他计算机喽。当然并不防碍彼此通信。
3、139、445端口
通信计算机得到了对方的IP地址以后,就用139或者445端口开始通讯了。如果不是域环境,就是SMB调用139端口通讯。如果是域环境,就是CIFS调用445端口通讯。如果您不想别人访问您的文件呢,就把这两个关闭掉。
备注:很有名的IPC$空连就是利用139端口来获得计算机一些信息的。比如net vi
ew.
1、关闭137、138、139
1.1控制面板\网络连接\属性窗口查看“ "Internet协议(TCP/IP) "的属性
1.2在“常规”页标中单击“高级”按钮,在“WINS”页选择 "禁用TCP/IP上的NetBIOS(S) "
2、关闭445端口
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters”中创建名为“SMBDeviceEnabled”的DWord值,将其设置为0,重起机器