USG防火墙：安全防护：黑名单（ip地址虽然被加入到了黑名单，但是还可以抓到流量的）

USG防火墙：安全防护：黑名单

USG2110-F: USG2110 V300R001C00SPCa00
firewall blacklist enable
firewall blacklist item x.x.x.x


firewall blacklist enable
firewall blacklist item source-ip x.x.x.x
 firewall blacklist item destination-ip x.x.x.x

简介
黑名单是一种安全防护措施，系统丢弃命中黑名单的报文。与通过安全策略进行报文过滤相比，黑名单匹配的方式相对简单，可以用来对特定用户或IP的报文进行快速过滤。
黑名单类型
FW支持把用户、源地址或目的地址加入黑名单，这三种类型的黑名单的详细说明如表所示。

创建与删除
黑名单表项可以手工进行创建，也可以由系统动态生成，其详细说明如表所示。

通过不同创建方式创建的黑名单，其加入原因也不同，如手工创建的加入原因为“手工加入”，动态生成的加入原因有“IP地址扫描”、“端口扫描”等。如果动态生成的黑名单被手动编辑后，加入原因会自动切换为“手工加入”。
多次创建同一黑名单表项时，后创建的黑名单表项会覆盖原有的黑名单表项。
黑名单表项可以被动态地进行删除，也可以手工进行删除：
手工创建和动态创建的黑名单表项都可以指定超时时间，当超时时间结束后黑名单表项将被自动删除，从而对相应报文的过滤功能也随之消失。对于手工创建的黑名单，还可以指定超时时间为无期限，该黑名单表项将永久生效。
除了通过超时时间动态地进行黑名单的删除，您可以手工进行黑名单的删除。

黑名单使用限制和注意事项

License支持
黑名单功能不受License控制。
使用限制
在CPU上创建黑名单时，支持创建IPv4和IPv6类型；在硬件芯片上创建黑名单时，仅支持创建IPv4类型。
通过Web只能创建和查看CPU类型的黑名单，无法创建和查看硬件芯片类型的黑名单。
硬件芯片上的黑名单仅对业务口流量生效，对管理口流量不生效。
设备重启后配置恢复过程中，硬件芯片上的黑名单表项不会立即恢复，在表项恢复前，可能会出现匹配黑名单的流量无法被阻断。
对于USG6110E, USG6307E/6311E/6311E-POE, USG6510E/6510E-POE/6510E-DK, USG6331E/6530E, USG6306E/6308E/6312E/6322E/6332E/6350E/6360E/6380E, USG6515E/6550E/6560E/6580E, USG6000E-E03/6000E-E07, USG6106E, USG6301E-C/6302E-C/6303E-C/6305E/6306E-B/6308E-B/6309E/6315E/6318E-B/6325E/6335E/6338E-B/6355E/6358E-B/6365E/6378E-B/6385E/6388E-B/6398E-B, USG6501E-C/6502E-C/6503E-C/6520E-K/6525E/6555E/6560E-K/6565E/6575E-B/6585E/6590E-K, USG6605E-B，当同时创建硬件芯片黑名单和静态白名单时，流量优先匹配硬件芯片黑名单，如果流量命中了硬件芯片黑名单会被丢弃，不会再匹配白名单。

执行命令firewall blacklist enable，开启黑名单功能，黑名单表项生效。
黑名单表项需要使用该命令开启黑名单功能后才会生效。没有开启黑名单功能的情况下，用户依然可以手工创建黑名单表项。

FW的黑名单功能不支持区分VLAN。

在CPU上创建黑名单表项
当流量到达CPU时，如果命中了黑名单，则被直接丢弃。

执行命令firewall blacklist item user user-name [ timeout minutes ]，创建用户类型的黑名单表项。
将特定的用户加入黑名单后，设备将丢弃来自或去往该用户的报文。

执行命令firewall blacklist item source-ip { source-IPv4-address | source-IPv6-address } [ source-port source-port ] [ protocol { tcp | udp | icmp | protocol-num } ] [ timeout minutes ]，创建源地址类型的黑名单表项。
将特定的源IP加入黑名单后，设备将丢弃来自该源IP的报文。创建源地址类型的黑名单时，还可以指定该源IP对应的协议类型/源端口号。系统将只丢弃来自该源IP指定的协议类型/源端口的报文，来自该源IP对应的其它协议类型/端口号的报文不受黑名单控制。

执行命令firewall blacklist item destination-ip { destination-IPv4-address | destination-IPv6-address } [ destination-port destination-port ] [ protocol { tcp | udp | icmp | protocol-num } ] [ timeout minutes ]，创建目的地址类型的黑名单表项。
将特定的目的IP加入黑名单后，设备将丢弃去往该目的IP的报文。创建目的地址类型的黑名单时，还可以指定该目的IP对应的协议类型或目的端口号。系统将只丢弃去往该目的IP指定的协议类型/目的端口的报文，去往该目的IP对应的其它协议类型/端口号的报文不受黑名单控制。

其中超时时间timeout minutes是指黑名单表项的生效时长，单位为分钟。超时时间结束后，该黑名单表项将被系统自动删除。如不指定超时时间，该黑名单表项将永久生效。

在硬件芯片上创建黑名单表项
通过在硬件芯片上创建黑名单，流量到达硬件芯片时，如果命中了黑名单，则被直接丢弃，不会上送到CPU，从而降低CPU的使用率。

执行命令firewall blacklist hardware item source-ip source-IPv4-address [ source-port source-port ] [ protocol { tcp | udp | icmp | protocol-num } ]，创建源地址类型的黑名单表项。

执行命令firewall blacklist hardware item destination-ip destination-IPv4-address [ destination-port destination-port ] [ protocol { tcp | udp | icmp | protocol-num } ]，创建目的地址类型的黑名单表项。

可选：执行命令firewall dynamic-resource used-up alarm blacklist enable [ threshold threshold ]，开启黑名单表使用率达到阈值时发送日志和告警功能。

查看命令

指定超时时间的黑名单表项永久有效，会被写入配置文件。带有超时时间的黑名单表项不会被写入配置文件，因为这些表项在超时时间结束后就会被自动删除，所以只能暂时保留在内存中。如果重启设备，带有超时时间的黑名单表项将会丢失。
CPU上的黑名单表项可以通过display firewall blacklist item命令查看。

在本例中，从屏显信息可以看出，当前CPU上一共存在一个黑名单表项，其中Age Time字段为Permanent的1.1.1.1是永久黑名单。

如果需要清除命中黑名单统计次数，请在系统视图下执行命令reset firewall blacklist statistics。
硬件芯片上的黑名单表项可以通过display firewall blacklist hardware item命令查看。

在本例中，从屏显信息可以看出，当前设备硬件芯片上一共存在一个源地址类型的黑名单表项。

ip地址虽然被加入到了黑名单，但是还可以抓到流量的：

报文示踪诊断