H3C-MSR系列路由器开局默认允许外网telnet和web管理,经过对大部分企业专线IP段扫描,发现大部分使用H3C路由器作为出口网关的中小企业,并未在出口路由器上配置ACL策略以屏蔽远程管理端口。由于大部分运营商已在上层路由屏蔽非IDC机房IP段的80,8080,445端口,所以只需在路由器上做ACL禁止外网或者仅允许指定IP进行Telnet和SSH。
MSR系列大部分无法从WEB界面配置ACL,需要在命令行下进行配置。
以下两种方法可达到禁止外网管理的目的。
假设管理员vlan的IP段是172.31.255.0/24,ACL配置如下
[H3C]acl num 2100
[H3C-acl-basic-2100]rule 10 permit source 172.31.255.0 0.0.0.255
[H3C-acl-basic-2100]rule 100 deny
[H3C-acl-basic-2100]quit
[H3C]user-interface vty 0 4
[H3C-ui-vty-0-4]acl 2100 inbound
[H3C-ui-vty-0-4]quit
此方法可以禁止外网telnet或者ssh,但是从外网仍然可以扫描到主机开放的22,23端口,系统会产生大量来自世界各国的IP登录失败的日志。
方法二:使用高级ACL来阻断外网的请求,假设企业出口固定IP为1.1.1.1
[H3C]acl num 3100
[H3C-acl-adv-3100]rule 10 permit tcp source 172.31.255.0 0.0.0.255 destination-port eq 23
[H3C-acl-adv-3100]rule 11 permit tcp source 172.31.255.0 0.0.0.255 destination-port eq 22
[H3C-acl-adv-3100]rule 100 deny tcp destination 1.1.1.1 0 destination-port eq 23
[H3C-acl-adv-3100]rule 110 deny tcp destination 1.1.1.1 0 destination-port eq 22
[H3C-acl-adv-3100]quit
[H3C]interface g0/0 #假设WAN口是GE0/0
[H3C-GigabitEthernet0/0] acl 3100 inbound
[H3C-GigabitEthernet0/0]quit
[H3C]firewall enable
[H3C]save
方法二使用高级ACL可以完全阻断来自外网的telnet、ssh请求,可以使黑客无法扫描到端口。
评论