编写防火墙规则：禁止除管理员计算机（IP为172.18.25.110）外任何一台计算机访问某主机（IP为172.18.25.1

Posted 2023-04-28

编写防火墙规则：禁止除管理员计算机（IP为172.18.25.110）外任何一台计算机访问某主机（IP为172.18.25.109）的SMTP服务。 注意是SMTP服务

以cisco pix firewall为例子，在配置模式下写入：

access-list 10 permit ip 192.168.20.10 host 192.168.20.10 eq 3389

access-list 10 deny ip any 192.168.20.10（这里设置的访问控制列表号是10）

支持实时的多用户连接，支持匿名用户的访问；通过限制同一时间最大的用户访问人数确保PC 的正常运转。安全性能出众。在目录和文件层次都可以设置安全防范措施。能够为不同用户提供不同设置，支持分组管理数量众多的用户。可以基于IP 对用户授予或拒绝访问权限。

防火墙功能

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

以上内容参考：百度百科-防火墙

参考技术A 以XP系统为例：打开：控制面版--管理工具-本地安全设置。点左边的IP安全策略，在本地计算机。然后在右边点右键--创建IP安全策略，打开IP安全策略向导。下一步，出现IP安全策略名称，随便起个就行。比如叫阻止192.168.1.163下一步，出现激活默认响应规则，不要选中，把钩去掉。下一步，选中编辑属性，完成。然后出现了IP安全策略属性，点下边的添加，出现规则属性，点击添加，出现IP策略器列表。把使用添加向导去掉，点右边的添加，出现筛选器属性。寻址栏原地址选一个特定的IP192.168.1.163。目标IP是我的IP地址。然后点击确定。现在回到IP筛选器列表，点击确定，在规则属性里应该多了个列表，选中它。然后切换到筛选器操作选项卡，把使用添加向导去掉，点击添加。在出现的筛选器操作属性里的安全措施选项卡中，选择阻止，点击确定。在筛选器操作选项卡中会多出一个阻止的选项，选中它。 参考技术B 以ciscopixfirewall为例子，在配置模式下写入：access-list10permitip192.168.20.10host192.168.20.100eq3389access-list10denyipany192.168.20.100（这里设置的访问控制列表号是10） 参考技术C 建立ACL列表，应用ACL扩展列表，在传统的DENY/permit，最后可以配置端口号。比如eq www/80
你的应该是
要扩展列表，不能是标准的
permit XXX XXX XXXX XXXX eq smtp/25
deny any any eq smtp

AWS - 防火墙管理器 - WAF 规则如何阻止来自 IP 地址的请求（无主机名）？

【中文标题】AWS - 防火墙管理器 - WAF 规则如何阻止来自 IP 地址的请求（无主机名）？

【英文标题】：AWS - Firewall Manager - WAF Rules How to block requests from IP address (No Host name)?

【发布时间】：2021-11-08 14:51:10

【问题描述】：

我正在为我的网站使用 AWS 防火墙管理器，并使用 Web-ACL 来拒绝 DOS 攻击和黑客请求。

但是，我仍然收到来自防火墙配置的以下请求（缺少我的 waf 规则）在下面的示例中，假设 3.6.8.8 是我的网络服务器 IP 地址。

3.6.8.8/ecp/Current/exporttool/microsoft.exchange.ediscovery.exporttool.application
3.6.8.8/actuator/health
3.6.8.8/remote/fgt_lang?lang=/../../../..//////////dev/cmdb/ssl***_websession

在真正合法的情况下，我所有可接受的请求都不应该通过像 3.6.8.8 这样的直接 IP 调用，例如，我所有的网站请求都如下所示

https://*.example.com/*

我想知道如何使用 WAF 规则阻止上述假装来自我的 IP 地址 3.6.8.8 的请求？

【问题讨论】：

老实说，我没有得到您的问题，但如果它是关于阻止 WAF 中的特定 IP，那么您可以在 WAF 中使用 IP 3.6.8.8 创建一个 IP 集。然后在您的网络 acl 中创建一个 IP 规则。选择创建的 IP 集并将操作设置为阻止，以便阻止来自该 IP 的任何请求。如果您正在寻找其他东西，请告诉我。

@node_saini 这不像将 ip 添加到阻止列表那样简单，它关于阻止基于 IP 的请求被切断，所有请求都应该来自正确的主机名而不是 IP 地址。

主机名对我们来说只是一个用户友好的名称。它是完成所有工作的 IP。您不能按名称阻止域。你想阻止某些路径吗？此外，没有人可以假装来自您的 IP，因为 IP 是独一无二的。可能是我无法理解您的问题。你能更清楚地说明你的要求吗？可以尝试编辑您的问题以使其更简单。

如果您希望请求来自正确的主机名而不是 IP 地址，那么您需要为此购买一个域。您可以在 AWS 中使用 Route53，或者任何第三方也可以使用。

【参考方案1】：

您可以在 WAF Web ACL 中配置规则语句以Inspect Header 并将您的 Header 字段名称 设置为 Host 最后指定一个 Match Type 到正则表达式模式。

使用此配置，您可以创建一个检查主机是否为 IP 地址的正则表达式。如果是，则阻止请求。

希望这有帮助！

【讨论】：

这不起作用，因为某些请求没有设置主机标头，我正在寻找是否检测其 IP 地址

http 请求需要有主机头。没有一个，您如何发送请求？主机定义了 URI 的端点。例如：如果主机：3.6.8.8 则 URI：3.6.8.8，如果主机：example.com 则 URI：example.com。

请求没有主机名，直接生成 HTTP/2 请求的客户端应该使用 ":authority" 伪头字段而不是 Host 头字段。如果请求中不存在主机头字段，则将 HTTP/2 请求转换为 HTTP/1.1 的中介必须通过复制“:authority”伪头字段的值来创建主机头字段

您是否尝试过使用伪标头 ":authority" 来验证主机名？