华为交换机ACL控制列表设置
华为S6506R交换机配置ACL时易被忽略的规则
撑
Ru e 3 p r i i e t t n XXX.. 7 7 l e t p d si i m na o 0 1 .00
维普资讯
华 配 为 置
中国 工 商 银行 福 建 省 分 行 潘 朝 晖
中国工商银行福建省分行 实施 的一级分行网络结
条子规则组成, 对于这些子规则 , A t( 有 uo 深度优先 ) 和
构优化调整项 目中, 根据规划采用 了华为 的 ¥ 5 6 6 0 R交
杂, 而且很 多人员 又是初 次接 触华为中高端设备 , 因此 在实施过程 中往往考虑不周甚至出错 , 从而影响核心生
A t: u 指定匹配该子规则时系统 自动排序。当规则 o
冲突时 , 描述 的地址范 围越小的规则 , 将会越优先考 虑。 深度的判断要依靠通配 比较位 和 I P地址结合 比较 。 Cni:指定 匹配该子规则时按用户的配置顺序匹 of g
al re tcni- r- ac c odrl — of fs m t s a gi t h
a l a n a l d a c d c me i c v n e n a
_
采 用按 配置 顺 序 后 下 发 先 生 效 的 策 略
定 义 A L名 称 C
2 5 2 5 2 0. 5 a y I 5 . 5 .4 25 一一 n ,P h s- h s , P ot o tI
() 2华为 ¥ 5 6 6 0R交换机的 A L C
②较为复杂 的特点。¥ 56 60 R的 A L子规则条 目数 C
量有两个方面 的限制 : 规则 ( ue与掩码( ak 表项的 R l) M s)
数量 限制。对于 F 4T等单板的 18 E8 ~ 个百兆 口及 P 2/ 1T T 2/ T 8 1P 4 等单板的 1 G 个千兆 口, 其理论 上支持 的数 目 为 :2 18条 R l及 1 ue 6条 M s 组 合资源 。但 因为系统 ak A L 占用一些资源 , C要 因此 ¥5 6 6 0 R实际上只能支持用 户 A L的资源为 :0 C 10条左右 的 R l 及 1 ue s 0条的 M s ak 组合资源 。 M s 表项是 匹配 I ak P报文的前 8 个 字节 ,即不同 0
华为交换机过滤命令
华为交换机过滤命令一、Telnet登录交换机1. 打开Telnet客户端,输入交换机的管理IP地址,端口默认为23,点击连接按钮进行登录。
2. 在弹出的登录窗口中输入交换机的登录账号和密码,点击确定登录交换机。
二、使用过滤命令配置交换机策略1. 进入系统视图:在命令行界面输入"system-view",按回车键。
2. 配置ACL(访问控制列表):输入"acl number ACL-NAME",其中ACL-NAME是ACL的名称,按回车键。
3. 配置ACL规则:输入"rule Rule-ID deny/permit protocol source-ip destination-ip",其中Rule-ID是规则编号,deny/permit表示禁止或允许数据包通过,protocol表示协议类型,source-ip表示源IP地址,destination-ip表示目的IP地址。
4. 应用ACL到接口:输入"interface interface-typeinterface-number",其中interface-type表示接口类型,interface-number表示接口编号,按回车键。
5. 输入"packet-filter ACL-NAME inbound/outbound",其中ACL-NAME表示之前配置的ACL名称,inbound表示数据包进入接口时应用过滤,outbound表示数据包离开接口时应用过滤,按回车键。
6. 保存配置并退出视图:输入"save",按回车键,然后输入"quit",按回车键。
三、查看和验证过滤策略1. 查看已配置的ACL:在命令行界面输入"display acl ACL-NAME",其中ACL-NAME表示ACL的名称,按回车键。
勒索病毒,华为H3C三层交换机路由器用ACL访问控制实现端口禁用
勒索病毒,华为H3C三层交换机路由器⽤ACL访问控制实现端⼝禁⽤前不久勒索病毒横⾏,很多⼈都纷纷中招,从公司到个⼈,损失相当惨重。
有些公司在互联⽹⼊⼝上做了控制,但是这样并⾮完全,万⼀有⼈把中了毒的U盘插⼊⽹内设备上呢?那我们的内⽹中很有可能集体中招(打过相关补丁的除外)。
我们今天就说说如何在路由、交换机上实现相应的访问控制,封堵相关端⼝,防⽌病毒在⽹络内部蔓延。
以华为和H3C设备配置为例。
什么?为什么没有思科?要啥⾃⾏车,我们需要⽀持国产!**************************************华为#acl number 3100 //创建ALC控制规则rule 5 deny tcp destination-port eq 445 //禁⽌TCP 445端⼝数据rule 10 deny tcp destination-port eq 135rule 15 deny tcp destination-port eq 137rule 20 deny tcp destination-port eq 138rule 25 deny tcp destination-port eq 139rule 30 deny udp destination-port eq 445rule 35 deny udp destination-port eq 135rule 40 deny udp destination-port eq 137rule 45 deny udp destination-port eq 138rule 50 deny udp destination-port eq 139#traffic classifier anti_wana operator or precedence 5 //创建流分类if-match acl 3100 //将ACL与流分类关联#traffic behavior anti_wana //创建流⾏为deny //动作为禁⽌statistic enable //使能流量统计(可选)#traffic policy anti_wana match-order config //创建流策略classifier anti_wana behavior anti_wana //将流分类和流⾏为进⾏关联[全局视图]traffic-policy anti_wana global inbound //全局应⽤⼊⽅向流策略traffic-policy anti_wana global outbound //全局应⽤出⽅向流策略[接⼝视图] //也可以根据使⽤接⼝在接⼝上应⽤相关流策略traffic-policy anti_wana inboundtraffic-policy anti_wana outbound****************************************H3C⼤部分配置相同,毕竟本是同根⽣啊。
华为路由器配置ACL
华为AR 28-11的型号基本适用多数华为路由Login authenticationUsername:ztwindows (用户)Password:sys (进如系统视图)System View: return to User View with Ctrl+Z.[quidway]dis curr (查看当前系统配置信息)#sysname quidway (系统名称)#info-center loghost 192.168.0.232(指定信息中心配置信息,这个可以不要)#firewall enable(开起防火墙功能)#dns resolve (启动动态DNS解析功能)dns server 202.98.198.168(指定域名服务器IP地址)dns-proxy enable(启动动态DNS解析功能)#radius scheme system(指定radius配置信息创建scheme方案或者修改方案属性)radius scheme test (test方案名)#domain system#local-user ztwindowspassword cipher L_'-D*ST]8Z)9JV9LS027A!!service-type telnet terminallevel 3关键地方来了!#acl number 2000 (设置一个基本的ACL数值为2000)rule 0 permit source 192.168.0.0 0.0.0.255 (这里配置的时候你会知道其意思)rule 1 deny#acl number 3001 (设置端口过滤使得安全功能)rule 0 deny tcp source-port eq 3127rule 1 deny tcp source-port eq 1025rule 2 deny tcp source-port eq 5554rule 3 deny tcp source-port eq 9996rule 4 deny tcp source-port eq 1068rule 5 deny tcp source-port eq 135rule 6 deny udp source-port eq 135rule 7 deny tcp source-port eq 137rule 8 deny udp source-port eq netbios-nsrule 9 deny tcp source-port eq 138rule 10 deny udp source-port eq netbios-dgmrule 11 deny tcp source-port eq 139rule 12 deny udp source-port eq netbios-ssnrule 13 deny tcp source-port eq 593rule 14 deny tcp source-port eq 4444rule 15 deny tcp source-port eq 5800rule 16 deny tcp source-port eq 5900rule 18 deny tcp source-port eq 8998rule 19 deny tcp source-port eq 445rule 20 deny udp source-port eq 445rule 21 deny udp source-port eq 1434rule 30 deny tcp destination-port eq 3127rule 31 deny tcp destination-port eq 1025rule 32 deny tcp destination-port eq 5554rule 33 deny tcp destination-port eq 9996rule 34 deny tcp destination-port eq 1068rule 35 deny tcp destination-port eq 135rule 36 deny udp destination-port eq 135rule 37 deny tcp destination-port eq 137rule 38 deny udp destination-port eq netbios-nsrule 39 deny tcp destination-port eq 138rule 40 deny udp destination-port eq netbios-dgmrule 41 deny tcp destination-port eq 139rule 42 deny udp destination-port eq netbios-ssnrule 43 deny tcp destination-port eq 593rule 44 deny tcp destination-port eq 4444rule 45 deny tcp destination-port eq 5800rule 46 deny tcp destination-port eq 5900rule 48 deny tcp destination-port eq 8998rule 49 deny tcp destination-port eq 445rule 50 deny udp destination-port eq 445rule 51 deny udp destination-port eq 1434#interface Aux0 (这个不用解释了自己看就知道了)async mode flow#interface Ethernet0/0(设置以太网口0/0口)speed 100(设置以太网的带宽为100M)descrīption link_to_dianxin(以太网口标识我设置的意思是这个口是接如点心)tcp mss 2048(设置TCP 的MSS直最大为2048)ip address 220.172.*.* 255.255.255.192(这里是设置这个口的外网IP以及子网)nat outbound 2000(设置nat地址转换数值为2000)nat server protocol tcp global 220.172.*.* 15000 inside 192.168.0.232 15000(这些是我做的端口隐射)nat server protocol tcp global 220.172.*.* 15010 inside 192.168.0.232 15010nat server protocol tcp global 220.172.*.* 15030 inside 192.168.0.232 15030nat server protocol tcp global 220.172.*.* 15037 inside 192.168.0.232 15037nat server protocol tcp global 220.172.*.* 15047 inside 192.168.0.232 15047#interface Ethernet0/1(上面说过接口了这个是0/1口看懂上面就应该看懂这里了吧)speed 100desc rīption link_to_workgrouptcp mss 1536ip address 192.168.0.1 255.255.255.0nat outbound 2000(内网口可以不设置这项)#interface Serial0/0(这个自己看说明就知道什么用了)clock DTECLK1link-protocol pppshutdownip address ppp-negotiate#interface Tunnel0#interface NULL0#time-range daily 08:30 to 18:30 daily#FTP server enable (FT[服务器为打开做FTP不用隐射直接打开还有下面一项设置就行了)#ftp source-interface Ethernet0/1(指向FTP连接借口为以太网0/1口)#undo arp check enable(使得能ARP表项检测,这个可以根据自己在加上其他参数实现)#ip route-static 0.0.0.0 0.0.0.0 220.172.225.129 preference 60(这里是加上外网IP的网关)#user-interface con 0authentication-mode schemeuser-interface aux 0user-interface vty 0 4authentication-mode scheme#return[quidway]好了大家应该看得懂了吧对了支持中文方式命令为lan chin 缩写只要命令不冲突华为路由支持缩写然后大家要查看相关命令OR功能的话在命令行输入?就行了查看连续命令的话比如怎么转换中文就是lan空格?号就行了然后查看本缩写的相关命令比如就是lan?没空格回复:你做了端口过滤,为什么不应用到接口上?firewall packet-filter 3001 inboundfirewall packet-filter 3001 outbound。
华为交换机5700&2700的VLAN、DHCP、ACL配置
拓扑说明:比较简单的三层环境,防火墙进来后接三层交换机s5700,然后接的几台二层交换机s2700,本文只对几个主要的应用配置做个描述1.vlan、gvrp相关配置举例:三层交换机:[5700]vlan 11 创建VLAN11[5700-vlan11]description xxx 加入描述信息xxx[5700-vlan11]quit[5700]gvrp 要用gvrp的话,全局模式下必须开启gvrp [5700]interface g0/0/23 进入与2层交换机连接的端口准备配置中继[5700-GigabitEthernet0/0/23]gvrp 中继端口下开启gvrp[5700-GigabitEthernet0/0/23]port link-type trunk 端口类型设置为trunk[5700-GigabitEthernet0/0/23]port trunk allow-pass vlan all 设置允许通过的vlan为所有,也可设为指定的vlan[5700-GigabitEthernet0/0/23]quit二层交换机:发现华为上不能批量进入端口,只有通过先创建端口组,再把响应端口加入组的方式来实现批量管理,比如我们要在2700上把千兆口都设为trunk口:[2700]port-group trunk 创建名为turnk的端口组,也可取其他名字。
如果已有此名,则会直接进入此端口组[2700-1-port-group-trunk]group-member g0/0/1 to g0/0/4 宣告组成员为G0/0/1到G0/0/4[2700-1-port-group-trunk]port link-type trunk 此组设为中继,即G0/0/1到G0/0/4都为中继[2700-1-port-group-trunk]port trunk allow-pass vlan all 这几步都和三层的配置一样,不同的是我们这里是进行的批量配置[2700-1-port-group-trunk]gvrp[2700-1-port-group-trunk]quit下面把相应端口加入vlan,这里我觉得端口组以vlan命名较为合适[2700]port group vlan11[2700-1-port-group- vlan11]group-member e0/0/1 to e0/0/4 [2700-1-port-group- vlan11]port link-type access 端口设置为access口[2700-1-port-group- vlan11]port default vlan 11 把E0/0/1-4口加入vlan11[2700-1-port-group- vlan11]quit以上VLAN的配置基本完成。
华为ACL配置
使用高级ACL限制不同网段的用户互访示例图1 使用高级ACL限制不同网段的用户互访示例组网需求如图1所示,某公司通过Switch实现各部门之间的互连。
为方便管理网络,管理员为公司的研发部和市场部规划了两个网段的IP地址。
同时为了隔离广播域,又将两个部门划分在不同VLAN之中。
现要求Switch能够限制两个网段之间互访,防止公司机密泄露。
配置思路采用如下的思路在Switch上进行配置:1.配置高级ACL和基于ACL的流分类,使设备可以对研发部与市场部互访的报文进行过滤。
2.配置流行为,拒绝匹配上ACL的报文通过。
3.配置并应用流策略,使ACL和流行为生效。
操作步骤1.配置接口所属的VLAN以及接口的IP地址# 创建VLAN10和VLAN20。
<HUAWEI> system-view[HUAWEI] sysname Switch[Switch] vlan batch 10 20# 配置Switch的接口GE0/0/1和GE0/0/2为trunk类型接口,并分别加入VLAN10和VLAN20。
[Switch] interface gigabitethernet 0/0/1[Switch-GigabitEthernet0/0/1] port link-type trunk[Switch-GigabitEthernet0/0/1] port trunk allow-pass vlan 10[Switch-GigabitEthernet0/0/1] quit[Switch] interface gigabitethernet 0/0/2[Switch-GigabitEthernet0/0/2] port link-type trunk[Switch-GigabitEthernet0/0/2] port trunk allow-pass vlan 20[Switch-GigabitEthernet0/0/2] quit# 创建VLANIF10和VLANIF20,并配置各VLANIF接口的IP地址。
华为交换机ACL策略
华为交换机ACL策略1.1 时间段配置命令1.1.1 display time-range【命令】display time-range{all | time-name }【视图】任意视图【参数】time-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
为避免混淆,时间段的名字不可以使用英文单词all。
all:所有配置的时间段。
【描述】display time-range命令用来显示当前时间段的配置信息和状态,对于当前处在激活状态的时间段将显示Active,对于非激活状态的时间段将显示Inactive。
【举例】# 显示时间段trname的配置信息和状态。
●<Sysname> display time-range trname●Current time is 10:45:15 4/14/2005 Thursday●●Time-range : trname ( Inactive )● from 08:00 12/1/2005 to 24:00 12/31/2100表1-1display time-range命令显示信息描述表1.1.2 time-range【命令】time-range time-name { start-time to end-time days [ from time1 date1 ] [ totime2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }undo time-range time-name [ start-time to end-time days [ from time1 date1 ][ to time2 date2 ]| from time1 date1 [ to time2 date2 ] | to time2 date2 ]【视图】系统视图【参数】time-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
华为交换机ACL策略
华为交换机ACL策略1.1 时间段配置命令1.1.1 display time-range【命令】display time-range{all | time-name }【视图】任意视图【参数】time-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
为避免混淆,时间段的名字不可以使用英文单词all。
all:所有配置的时间段。
【描述】display time-range命令用来显示当前时间段的配置信息和状态,对于当前处在激活状态的时间段将显示Active,对于非激活状态的时间段将显示Inactive。
【举例】# 显示时间段trname的配置信息和状态。
●<Sysname> display time-range trname●Current time is 10:45:15 4/14/2005 Thursday●●Time-range : trname ( Inactive )● from 08:00 12/1/2005 to 24:00 12/31/2100表1-1display time-range命令显示信息描述表1.1.2 time-range【命令】time-range time-name { start-time to end-time days [ from time1 date1 ] [ totime2 date2 ] | from time1 date1 [ to time2 date2 ] | to time2 date2 }undo time-range time-name [ start-time to end-time days [ from time1 date1 ][ to time2 date2 ]| from time1 date1 [ to time2 date2 ] | to time2 date2 ]【视图】系统视图【参数】time-name:时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为交换机ACL控制列表设置交换机配置(三)ACL基本配置1,二层ACL. 组网需求:通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。
该主机从GigabitEthernet0/1接入。
.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL# 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。
[Quidway] acl name traffic-of-link link# 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。
[Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。
# 将traffic-of-link的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link2 三层ACLa)基本访问控制列表配置案例. 组网需求:通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。
该主机从GigabitEthernet0/1接入。
.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。
[Quidway] time-range huawei 8:00 to 18:00 daily(2)定义源IP为10.1.1.1的ACL# 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。
[Quidway] acl name traffic-of-host basic# 定义源IP为10.1.1.1的访问规则。
[Quidway-acl-basic-traffic-of-host] rule 1 denyip source 10.1.1.1 0 time-range huawei(3)激活ACL。
# 将traffic-of-host的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-hostb)高级访问控制列表配置案例.组网需求:公司企业网通过Switch的端口实现各部门之间的互连。
研发部门的由GigabitEthernet0/1端口接入,工资查询服务器的地址为129.110.1.2。
要求正确配置ACL,限制研发部门在上班时间8:00至18:00访问工资服务器。
.配置步骤:(1)定义时间段# 定义8:00至18:00的周期时间段。
定义时间-ACL规则创建-设定规则-激活规则[Quidway] time-range huawei 8:00 to 18:00 working-day(2)定义到工资服务器的ACL# 进入基于名字的高级访问控制列表视图,命名为traffic-of-payserver。
[Quidway] acl name traffic-of-payserveradvanced# 定义研发部门到工资服务器的访问规则。
[Quidway-acl-adv-traffic-of-payserver] rule 1 deny ip source any destination 129.110.1.2 0.0.0.0 time-range huawei(3)激活ACL。
# 将traffic-of-payserver的ACL激活。
[Quidway-GigabitEthernet0/1] packet-filter inbound ip-group traffic-of-payserver3,常见病毒的ACL创建aclacl number 100禁pingrule deny icmp source any destination any 用于控制Blaster蠕虫的传播rule deny udp source any destination any destination-port eq 69rule deny tcp source any destination any destination-port eq 4444用于控制冲击波病毒的扫描和攻击rule deny tcp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq 135rule deny udp source any destination any destination-port eq netbios-nsrule deny udp source any destination any destination-port eq netbios-dgmrule deny tcp source any destination any destination-port eq 139rule deny udp source any destination any destination-port eq 139rule deny tcp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 445rule deny udp source any destination any destination-port eq 593rule deny tcp source any destination any destination-port eq 593用于控制振荡波的扫描和攻击rule deny tcp source any destination any destination-port eq 445rule deny tcp source any destination anyrule deny tcp source any destination any destination-port eq 9995rule deny tcp source any destination any destination-port eq 9996用于控制Worm_MSBlast.A 蠕虫的传播rule deny udp source any destination any destination-port eq 1434下面的不出名的病毒端口号(可以不作)rule deny tcp source any destination any destination-port eq 1068rule deny tcp source any destination any destination-port eq 5800rule deny tcp source any destination any destination-port eq 5900rule deny tcp source any destination any destination-port eq 10080rule deny tcp source any destination any destination-port eq 455rule deny udp source any destination any destination-port eq 455rule deny tcp source any destination anyrule deny tcp source any destination any destination-port eq 1871rule deny tcp source any destination any destination-port eq 4510rule deny udp source any destination any destination-port eq 4334rule deny tcp source any destination any destination-port eq 4331rule deny tcp source any destination any destination-port eq 4557然后下发配置packet-filter ip-group 100目的:针对目前网上出现的问题,对目的是端口号为1434的UDP报文进行过滤的配置方法,详细和复杂的配置请看配置手册。
NE80的配置:NE80(config)#rule-map r1 udp any any eq 1434//r1为role-map的名字,udp 为关键字,any any 所有源、目的IP,eq为等于,1434为udp 端口号NE80(config)#acl a1 r1 deny//a1为acl的名字,r1为要绑定的rule-map的名字,NE80(config-if-Ethernet1/0/0)#access-group acl a1//在1/0/0接口上绑定acl,acl为关键字,a1为acl的名字NE16的配置:NE16-4(config)#firewall enable all//首先启动防火墙NE16-4(config)#access-list 101 deny udp any any eq 1434//deny为禁止的关键字,针对udp报文,any any 为所有源、目的IP,eq为等于,1434为udp端口号NE16-4(config-if-Ethernet2/2/0)#ipaccess-group 101 in//在接口上启用access-list,in表示进来的报文,也可以用out表示出去的报文中低端路由器的配置[Router]firewall enable[Router]acl 101[Router-acl-101]rule deny udp source any destion any destination-port eq 1434 [Router-Ethernet0]firewall packet-filter 101 inbound6506产品的配置:旧命令行配置如下:6506(config)#acl extended aaa deny protocol udp any any eq 14346506(config-if-Ethernet5/0/1)#access-group aaa国际化新命令行配置如下:[Quidway]acl number 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway-acl-adv-100]quit[Quidway]interface ethernet 5/0/1 [Quidway-Ethernet5/0/1]packet-filter inbound ip-group 100 not-care-for-interface5516产品的配置:旧命令行配置如下:5516(config)#rule-map l3 aaa protocol-type udp ingress any egress any eq 14345516(config)#flow-action fff deny5516(config)#acl bbb aaa fff5516(config)#access-group bbb国际化新命令行配置如下:[Quidway]acl num 100[Quidway-acl-adv-100]rule deny udp source any destination any destination-port eq 1434 [Quidway]packet-filter ip-group 1003526产品的配置:旧命令行配置如下:rule-map l3 r1 0.0.0.0 0.0.0.0 1.1.0.0255.255.0.0 eq 1434flow-action f1 denyacl acl1 r1 f1access-group acl1国际化新命令配置如下:acl number 100rule 0 deny udp source 0.0.0.0 0 source-port eq 1434 destination 1.1.0.0 0packet-filter ip-group 101 rule 0注:3526产品只能配置外网对内网的过滤规则,其中1.1.0.0 255.255.0.0是内网的地址段。