下载

1下载券

加入VIP
  • 专属下载特权
  • 现金文档折扣购买
  • VIP免费专区
  • 千万文档免费下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 H3C防火墙IE界面

H3C防火墙IE界面.doc

H3C防火墙IE界面

手机1096865430
2012-07-03 0人阅读 举报 0 0 暂无简介

简介:本文档为《H3C防火墙IE界面doc》,可适用于IT/计算机领域

在console口上配置web登录:<hc>systemviewhcfirewallpacketfilterdefaultpermithcfirewallzonetrusthczonetrustaddinterfaceEthernetHCzonetrustquithcinterfaceethetnethcethernetipaddresshcethetnetundoshutdownhcethernetquithclocaluserlishankehcluserlishankepasswordsimple{password}hcluserllishankeservicetypetelnethcluserlishankelevel打开IE在地址栏中输入:回车输入用户名和密码:打开hc的web配置界面如下图所示:配置ipsec匹配的流量。注意:对于即要上互联网和访问远程ipsec站点的网络一定要使用能识别源和目的地址的acl比如下例:ipsec流量是从到目的地址为的流量:点击acl选项之后打开如下界面:点击”ACL配置信息”>输入acl标号(这里我们用)>点击”创建”按钮如下图所示:选中acl点击”配置”按钮如下图所示:填写必须的信息之后点击”应用”按钮:ipsec配置:二实测拓扑结构以及设备初始化:  为了更好的测试F的自身性能笔者将其放置到一所中学进行实地测试该中学规模中等学校内部按照部门分为多个区域包括网络管理区服务器群教师办公室计算机区学生机房计算机区。在区域划分上比较符合防火墙多区域管理的特点。笔者将F放置到学校网络中心机房负责连接各个区域以及外网出口。由于该学校网络出口通过光猫连接光纤访问internet所以笔者选择LAN这个接口作为外网接口通过RJ线缆连接光猫同时其他几个LAN接口依次连接网络管理区服务器群教师办公计算机区学生机房计算机区。由于学校服务器需要对外发布WWW站点以及CMIS管理信息系统所以在配置时将服务器群连接的接口添加到DMZ区。(如图)         小提示:  F有五个LAN接口他们依次编号为LANLANLANLANLAN。在实际测试时笔者选择最后一个接口LAN连接外网。  规划好网络拓扑以及防火墙的位置后我们就要针对F进行初始化设置了首先使用随机CONSOLE线连接F的CONSOLE接口以及计算机的COM口然后设置超级终端相关连接完毕后开启F电源启动防火墙在超级终端中应该可以看到防火墙的启动界面以及自检信息。出现“pressentertogetstarted”后我们回车即可进入命令行设置界面。(如图)       进入命令行设置界面后我们执行的操作和HC其他相关路由器交换机产品是一致的通过Discur我们可以看出各个接口对应的是ethernet到ethernet。同时默认情况下防火墙针对访问权限划分了四个区域分别是LOCALTrustUntrust以及DMZ区对应的优先级也各不相同。(如图)(如图)   三更加人性用WEB方式配置防火墙:  和之前的路由器交换机不同的是HC在SecPathFCEI防火墙设备中增加了更加人性的WEB方式配置界面用户可以通过WEB方式来访问防火墙管理界面并通过图形化方式来配置各种网络参数这点改进大大降低了防火墙设置的门槛让用户可以更快的上手进行安全操作。下面我们就来看看如何通过WEB方式来配置SecPathFCEI防火墙当然默认情况下WEB方式是关闭的我们需要执行以下几条命令开启他。  第一步:进入命令行设置界面将容许访问WEB界面的那个接口IP地址进行设置例如笔者将Ethernet的IP地址设置为。(如图)       第二步:接下来将该接口添加到信任区中只有信任区的接口才能够通过WEB方式来管理同时配置防火墙的默认策略为容许数据通过。(如图)          第三步:在防火墙中建立相应的帐户信息以及密码同时给予该帐户telnet权限默认权限设置为最大的级别。因为在SecPathFCEI防火墙中WEB访问权限是与telnet权限一致的两者共同存在。当然不同的权限级别会对应不同的设置权限在我们通过WEB访问管理时也能够看到差别。(如图)          第四步:接下来我们将计算机的IP地址设置到与Ethernet在一个网段然后通过浏览器访问http:即可看到SecPathFCEI防火墙的WEB管理登录界面。(如图)         第五步:输入刚刚设置的具备LEVEL的帐户信息后顺利近入管理界面在这里我们可以通过图形化方式来配置SecPathFCEI防火墙的各个网络参数所配置的信息实时生效。(如图)          支持基于WEB方式的管理是SecPathFCEI防火墙的最大特色这一相比传统的HC路由交换设备来说图形化管理界面可以更加方便用户设置毕竟中小企业的网管人员自身技术水平有限通过图形化可以让安全设置信息更加直观更有利于企业网络的安全。四F特色功能简介:  俗话说系统集成设备配置从图形化界面开始而故障排查深入应用才到命令行下去寻找答案所以笔者也将从图形化界面入手来为各位介绍F的各个特色功能。通过“系统管理”>“设备概览”>“文件系统”我们可以看到默认情况下F的FLASH中存储有三个文件其中的HTTPZIP是WEB管理平台程序。(如图)          ()系统资源占用浏览更直观:  以往笔者在配置路由交换设备当网络通讯速度缓慢时一般都要首先查看设备的CPU及内存占用情况在命令行下通过discpu等命令监控不过F的图形化界面为我们简化了此步骤在“系统管理”>“设备概览”>“系统资源”下我们可以直接看到设备自身的CPU占用率以及内存占用情况必要时可以通过“详细信息”按钮查看每个进程每个连接对CPU与内存的占用。(如图)        ()域名服务节约DNSserver:  在企业和学校内部都会有专门的DNS服务器来完成域名解析工作特别是当自己网络中存在域时更需要建立域名到IP地址的映射关系以往都是通过专门的DNS服务器来完成不过在F中的“系统管理”>“域名服务”中我们可以手工添加这种映射简化了操作节约了DNS服务器的配置。(如图)          ()路由管理不含糊:  在WEB管理界面下的“网络配置”>“路由管理”中我们可以根据网络实际情况添加静态路由和缺省路由信息从而更加灵活的转发数据包。不过遗憾的是虽然SecPathFCEI防火墙支持RIP和OSPF动态路由协议但是我们无法在WEB管理界面中进行配置如果要开启动态路由协议的话只能到命令行界面中却配置。同时SecPathFCEI防火墙还支持PPPOE拨号以及SNMP网络管理协议如果企业有RADIUS验证服务器的话也可以通过F的AAA实现远程验证的功能。(如图)          ()对象管理更灵活:  以往在设置网络设备时都要反复设置时间规则地址规则服务规则等信息而在F中我们可以通过图形化界面轻松设置这些信息。在“对象管理”下有包括“地址服务时间段对象以及流对象”等多个信息供我们选择。这里设置的对象在后面的策略管理防火墙策略等应用中可以直接调用避免的反复输入的麻烦也为批量更改提供了便利条件。(如图)       小提示:  流对象实际上就是我们平时说的访问控制列表通过流对象可以定义一条数据包丢弃和转发规则。不过在这里设置不能随意所有信息都通过下拉菜单选择下拉菜单中的信息恰恰是之前设置的地址对象服务对象以及时间对象等信息(如图)          ()策略管理让数据管理事半功倍:  在策略管理中我们可以针对流过滤策略的应用接口进行设置这点类似于命令行下的packetfilterinbound|outbound我们只需要选择要应用的接口流过滤策略名称以及策略应用方向即可。当然在策略管理下我们还可以针对NAT地址转换策略进行设置。F支持EASYIP这种多对一的NAT转换形式。(如图)          ()中规中矩的区域安全设置:  区域安全设置是防火墙区别于路由交换以及VPN产品的最大特色之一F中也特别添加了区域安全设置功能我们可以针对不同区域设置其自身安全优先级同时可以设置不同接口属于不同安全区域。(如图)       ()强大的攻击防范功能:  最后笔者再说说F强大的防火墙管理功能在“防火墙管理”下有多个特色功能包括攻击防范邮件过滤网页过滤黑名单IPMAC地址绑定防火墙会话ASPFTCP代理等等每个选项都对应非常不错的功能。特别是“攻击防范”在这里F为我们提供了预防各个扫描攻击定向攻击的功能一共种之多建议用户在实施时将他们全部选中。同时为了避免被Ddos攻击F提供了三种防范策略分别是预防synflood攻击预防udpflood攻击以及预防ICMPflood攻击。要知道这些预防配置在命令行下根本无从下手而图形化界面却为我们大大简化了此操作。(如图)          ()页面过滤以及SQL注入防范功能:  在F中我们可以针对访问目的地址内容等方面进行过滤我们只需要在“防火墙管理”>“网页过滤”中进行添加即可学校通过关键字对黄赌毒等不良信息进行封锁。而在该功能下的SQL注入攻击则更有特色要知道由于SQL语句的原因很多使用PHP或ASP制作的站点都容易被SQL注入攻击而篡改网页。而通过F的SQL注入攻击过滤参数配置功能可以提前将SQL查询语句以及对应的关键字信息进行过滤从而阻止非法入侵者针对SQL语句和表名字段信息的查询彻底避免外网的SQL注入攻击。(如图)        ()VPN设置与安全连接:  在F中也提供了VPN的接入我们可以设置LTPIPSECGREPKI等多种方式的VPN接入服务。(如图)          ()日子后查询提供更完善:  HC设备内部都有一个信息中心所有日志记录都储存在信息中心中不过在命令行下查询非常不方便也不直观。不过F为我们提供了图形化的日志查询功能我们可以实时了解每台主机每个时间段的日志信息保证故障发生后能够通过查询日志快速解决。另外结合流量统计功能我们也可以在第一时间发现内网各个终端流量的异常情况。(如图)        ()应用控制功能让网络带宽应用更合理:  在F的“应用控制”功能下提供了几个行之有效的功能他们分别是“防PP软件”“防即时通讯工具”“内网主机速率控制”“内网主机速率保证”。通过这些功能可以针对内网PP类下载软件进行封杀也可以禁止内网用户通过MSN或QQ聊天。同时还可以针对主机的速度设置最低速度以及最高速度。(如图)        当然F中提供的功能还有很多上文只是针对其特色功能进行了介绍由于篇幅关系这里就不详细说明了感兴趣的读者可以自行参考配置手册。总之F通过多个方面来加强内网管理提升内网安全同时WEB方式的管理界面也让我们的安全配置更加方便灵活以往在命令行下无法实现的功能也可以在图形化界面下轻松解决。五实际使用感受:  笔者将SecPathFCEI防火墙放置到一所中学测试了将近两周在这两周时间里F表现还是不错运行很稳定没有出现死机的情况。笔者将服务器群放到了DMZ区在外网也可以顺利访问对内部也顺利的实现了服务发布等功能。同时笔者针对教师办公计算机区以及学生机房计算机区进行了区域划分将前者放置到优先级更高的区域。由于防火墙只容许高优先对低优先的方法所以学校内部实现了教师办公计算机可以访问机房计算机而机房计算机无法访问教师办公计算机的目的这点相比VLAN划分以及访问控制列表过滤等方法来说实现起来更加简单和灵活也体现了防火墙的优势。  另外防火墙自身也提供了DHCP自动分配地址的功能从而在实际使用过程中省去了搭建DHCP服务器的麻烦总体来讲全校多台网络终端设备在F的接入下运行非常稳定网络通讯也很流畅F的表现可圈可点。六几点应用建议:  当然任何设备都不是十全十美的在两周的测试过程中笔者也着实发现了一些问题WEB方式的图形化管理界面是把双刃剑一方面为我们配置带来便利的同时也在一定程度上存在问题。例如笔者发现在WEB下显示的接口状态不太对明明LAN接口有线缆连接但是在WEB界面下却无法正确显示。(如图)          另外在图形化界面中我们配置各种对象时不能输入诸如中文或带*等字符的信息系统都会弹出“对象名包含非法字符”的错误提示。要知道中文对象名的设置可以让用户更直观的区分对象的差别另外如果企业通过诸如ADSL等PPPOE方式拨号的话如果是在北京ADSL帐户都是以“*”开头的字符串自然无法在WEB图形化界面中正确配置。不过令人欣慰的是这种问题在命令行下不存在我们可以在命令行下通过PPPOE设置指令添加带有*字符的拨号帐户等信息。(如图)(如图)          当然图形化界面设置信息的保存也存在一定的问题很容易被用户误操作造成设置信息的丢失。众所周知我们在命令行下进行配置后都需要通过save命令保存更改但是在F的图形化界面中我们修改参数后关闭浏览器并没有任何配置信息需要保存的提示也就是说在WEB界面下做的所有改动会随着F设备的重新启动而丢失。笔者发现要保存更改的配置必须到“系统管理”>“配置保存”中执行一次“确定”操作在实际配置过程中用户很容易忽视这点而忘记保存WEB下的更改。(如图)(如图)       图形化界面与命令行配置的差异也属于美中不足例如在图形化界面下无法针对DHCP服务DNS等信息进行设置无法开启动态路由协议。图形化界面下访问控制列表以及流控制必须在下拉菜单中选择地址段这也不如命令行下配置灵活。  就设备自身而言产品没有添加RESET功能键要想恢复原厂配置不得不通过resetsave命令并reboot来实现。另外该产品只拥有一个WAN接口对于中小企业需要多条线路合并提高速度以及实现电信联通双线负载均衡等功能的网络在功能上存在缺失。  七总结:  当然SecPathFCEI防火墙的定位以及价格决定了他的功能就笔者个人感觉F在中小学和中小企业网络中的表现还是相当不错的通过多个接口实现多个区域安全级别的划分在一定程度上提高了网络安全同时通过自身的安全防护策略也可以大大减少内网终端设备被外网攻击事件的发生。PAGE

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

文档小程序码

使用微信“扫一扫”扫码寻找文档

1

打开微信

2

扫描小程序码

3

发布寻找信息

4

等待寻找结果

我知道了
评分:

/23

H3C防火墙IE界面

VIP

在线
客服

免费
邮箱

爱问共享资料服务号

扫描关注领取更多福利