1. 项目背景与核心需求
企业内网安全防护中,端口管控是最基础也是最重要的防线之一。我在某次安全巡检中发现,某部门内网存在大量135、137、139、445等高危端口的开放状态,这些端口常被用于病毒传播和横向渗透。通过华为交换机的ACL(访问控制列表)功能,我们可以有效阻断这些端口的通信,将潜在攻击面降到最低。
这个方案特别适合需要快速响应安全事件的中小型企业网络环境。相比部署专业防火墙,利用现有交换机的ACL功能实现端口封禁,具有实施速度快、配置简单、不影响现有网络架构的优势。我在金融、医疗等多个行业项目中验证过这种方案的可靠性。
2. 技术方案设计
2.1 ACL类型选择
华为交换机支持多种ACL类型,针对端口封禁场景推荐使用:
- 基本ACL(2000-2999):仅基于源IP过滤,不适合本场景
- 高级ACL(3000-3999):可基于协议类型+端口号过滤(最佳选择)
- 二层ACL(4000-4999):基于MAC地址过滤,不适用
我们选择创建编号为3001的高级ACL,通过TCP/UDP协议+端口号的组合实现精准控制。这里特别注意:高危端口往往同时承载TCP和UDP协议,必须分别封禁。
2.2 规则设计逻辑
典型高危端口封禁规则包含三个关键维度:
- 协议类型:区分TCP/UDP
- 端口范围:单个端口或连续范围
- 方向控制:inbound/outbound
以445端口为例,需要同时阻断:
- TCP 445(SMB协议)
- UDP 445(Direct Host)
3. 详细配置步骤
3.1 登录设备与基础检查
bash复制<HUAWEI> system-view # 进入系统视图
[HUAWEI] display current-configuration | include acl # 检查现有ACL配置
[HUAWEI] display interface brief # 确认接口状态
重要提示:配置前务必保存当前配置(save),并确认设备有足够的内存空间(display memory-usage)
3.2 ACL规则创建
创建高级ACL并添加规则:
bash复制[HUAWEI] acl 3001 # 创建ACL
[HUAWEI-acl-adv-3001] rule deny tcp destination-port eq 135
[HUAWEI-acl-adv-3001] rule deny udp destination-port eq 135
[HUAWEI-acl-adv-3001] rule deny tcp destination-port eq 445
[HUAWEI-acl-adv-3001] rule deny udp destination-port eq 445
[HUAWEI-acl-adv-3001] rule deny tcp destination-port range 137 139
[HUAWEI-acl-adv-3001] rule deny udp destination-port range 137 139
关键参数说明:
deny:拒绝动作tcp/udp:协议类型eq:等于特定端口range:端口范围
3.3 应用ACL到接口
将ACL应用到内网接口的入方向:
bash复制[HUAWEI] interface GigabitEthernet 0/0/1 # 进入内网接口
[HUAWEI-GigabitEthernet0/0/1] traffic-filter inbound acl 3001 # 应用ACL
应用技巧:建议先在测试接口应用,通过
display acl 3001查看命中计数,确认规则生效后再部署到生产接口
4. 验证与排错
4.1 基础验证方法
bash复制[HUAWEI] display acl 3001 # 查看ACL配置详情
[HUAWEI] display traffic-filter applied-record # 检查ACL应用情况
通过内网主机执行端口扫描验证:
bash复制# 在客户端执行(应显示端口过滤)
telnet 目标IP 445
nmap -p 135,137-139,445 目标IP
4.2 常见问题处理
问题1:规则未生效
- 检查项:
- ACL是否正确应用到接口的inbound方向
- 规则中协议类型(TCP/UDP)是否匹配实际流量
- 是否存在优先级更高的ACL规则
问题2:误封正常业务
- 应急处理:
bash复制[HUAWEI] undo traffic-filter inbound # 临时取消ACL应用 [HUAWEI-acl-adv-3001] undo rule [规则ID] # 删除特定规则
问题3:设备性能下降
- 优化建议:
- 合并连续端口规则(如
range 137 139) - 避免单条ACL超过50条规则
- 考虑使用
traffic-policy替代简单流过滤
- 合并连续端口规则(如
5. 进阶配置建议
5.1 规则优化技巧
-
时间控制:结合time-range实现分时段封禁
bash复制
[HUAWEI] time-range worktime 08:00 to 18:00 working-day [HUAWEI-acl-adv-3001] rule deny tcp destination-port eq 135 time-range worktime -
日志记录:关键规则添加log参数
bash复制[HUAWEI-acl-adv-3001] rule deny tcp destination-port eq 445 log -
描述信息:为每条规则添加备注
bash复制
[HUAWEI-acl-adv-3001] rule deny tcp destination-port eq 135 description Block_SMB_Exploit
5.2 企业级部署方案
对于大型网络建议采用分层部署:
- 核心层:部署基础防护规则(如全网的445封禁)
- 接入层:部署部门级细粒度规则(如研发部封禁3389)
- 安全设备联动:将ACL日志发送到SIEM系统分析
配置示例(日志服务器对接):
bash复制[HUAWEI] info-center enable
[HUAWEI] info-center loghost 192.168.1.100 facility local6
6. 维护与监控
6.1 日常检查清单
每月应执行以下检查:
- 查看ACL命中计数:
display acl 3001 - 检查接口应用状态:
display traffic-filter applied-record - 分析日志中的违规尝试:
display logbuffer | include ACL
6.2 规则更新流程
当发现新威胁需要封禁端口时:
- 测试环境验证新规则
- 业务低峰期实施变更
- 添加规则描述和变更记录
- 更新网络拓扑文档
示例变更命令:
bash复制[HUAWEI-acl-adv-3001] rule deny tcp destination-port eq 3389 description Block_RDP
[HUAWEI-acl-adv-3001] rule deny tcp destination-port eq 23 description Block_Telnet
我在某次实际部署中发现,凌晨2-4点是实施ACL变更的最佳窗口期,此时业务流量最低,即使出现配置问题也有充足时间回滚。另外建议为每个变更设置30分钟的回滚定时任务:
bash复制[HUAWEI] scheduler job ROLLBACK-ACL
[HUAWEI-job-ROLLBACK-ACL] command 1 undo traffic-filter inbound
[HUAWEI] scheduler schedule at 02:30 2023/08/01
[HUAWEI-schedule-at] job ROLLBACK-ACL