F5包过滤(三层防火墙)功能

案例一:设置F5管理白名单

  对设备业务口22、443(根据实际需要添加,个别设备更改Web管理端口例如:1200)端口建立白名单,允许IP:192.168.8.0/24访问F5的22和443端口进行管理。设备接口IP:192.168.5.233

F5包过滤(三层防火墙)功能

 

 

1.创建白名单,允许192.168.8.0/24网段访问192.168.5.233的22和443端口进行管理。

Network ›› Packet Filters:Rules ,create新建rule

F5包过滤(三层防火墙)功能

 

 

2.拒绝其他IP访问192.168.5.233

F5包过滤(三层防火墙)功能

 

 

3.因为防火墙策略默认拒绝,如果需要虚拟服务正常接收流量,需要最后添加一条continue的rules(重要),允许防火墙策略匹配完成后,进行其他策略的匹配(虚拟服务等策略)。

F5包过滤(三层防火墙)功能

 

 

配置完成后列表:

F5包过滤(三层防火墙)功能

 

 

4.开启防火墙,使防火墙的所有策略生效,不匹配的所有请求deny。

F5包过滤(三层防火墙)功能

 

 

案例二:限制所有端口开启的虚拟服务访问

  部分业务的负载均衡使用端口较多,可以开启所有端口进行负载均衡,然而在业务负载使用的端口之外,其他端口的开放可能会对服务器造成安全隐患,可以通过防火墙策略进行防护。某业务开放所有端口的负载均衡,然而实际业务只是用80、443、8080、8081、8443、9090、9091端口,其他端口可通过防火墙策略禁用。

  设备虚拟服务IP:192.168.5.224

F5包过滤(三层防火墙)功能

 

 

1.开放端口,允许访问虚拟服务的80、443、8080、8081、8443、9090、9091端口。

F5包过滤(三层防火墙)功能

 

 

2.拒绝访问虚拟服务的其他端口。

F5包过滤(三层防火墙)功能

 

 

3.因为防火墙策略默认拒绝,如果需要虚拟服务正常接收流量,需要最后添加一条rules,允许防火墙策略匹配完成后,进行其他策略的匹配(虚拟服务等策略)。

F5包过滤(三层防火墙)功能

 

 

配置完成后列表:

F5包过滤(三层防火墙)功能

 

 4.开启防火墙

F5包过滤(三层防火墙)功能

 

上一篇:nginx反向代理443端口


下一篇:解决git push时出现Failed to connect to github.com port 443: Timed out