利用acl来对黑名单 做进一步控制

发布时间:  2012-07-20 浏览次数:  148 下载次数:  0
问题描述
用户开启了攻击防范使能了防火墙的黑名单功能,但内网用户有时会被加入到黑名单里去造成不能上网。想在黑名单中排除掉内网地址,使内网用户不受黑名单影响
告警信息
处理过程

1、根据用户需求,可在使能黑名单时绑定acl来实现

firewall blacklist enable acl-number ?
INTEGER<2000-2999> Specify the basic ACL
INTEGER<3000-3999> Specify the advanced ACL

例如用户内网是192.168.1.0/24网段,需要192.168.1.0/24网段不受黑名单影响,配置如下:

acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255
rule 10 deny ip

firewall blacklist enable acl-number 3000

实现的原理是在配置黑名单功能时可以引用一条ACL。对于来自黑名单中IP地址的报文,

  • 如果ACL中定义的动作为permit,则不会丢弃该报文,而是继续转发
  • 如果ACL中定义的动作为deny,才会丢弃该报文
根因
建议与总结

END