H3C SecPath F100系列防火墙配置教程
初始化配置
〈H3C〉system-view
开启防火墙功能
[H3C]firewall packet-filter enable [H3C]firewall packet-filter default permit 分配端口区域
[H3C] firewall zone untrust
[H3C-zone-trust] add interface GigabitEthernet0/0
[H3C] firewall zone trust
[H3C-zone-trust] add interface GigabitEthernet0/1
工作模式
firewall mode transparent 透明传输
firewall mode route 路由模式
http 服务器
使能HTTP 服务器 undo ip http shutdown
关闭HTTP 服务器 ip http shutdown
添加WEB用户
[H3C] local-user admin
[H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3
开启防范功能
firewall defend all 打开所有防范
切换为中文模式 language-mode chinese
设置防火墙的名称 sysname sysname
配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]
设置
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
时间 clock datetime time date
设置所在的时区 clock timezone time-zone-name { add | minus } time
取消时区设置 undo clock timezone
配置切换用户级别的口令 super password [ level user-level ] { simple | cipher }
password
取消配置的口令 undo super password [ level user-level ] 缺缺省情况下,若不指定级别,则设置的为切换到3 级的密码。
切换用户级别 super [ level ]
直接重新启动防火墙 reboot
开启信息中心 info-center enable
关闭信息中心 undo info-center enable
ftp server enable
显示下次启动时加载的配置文件 display saved-configuration [ by-linenum ] 显示系统本次启动及下次启动使用
的配置文件 display startup
显示当前视图的配置 display this
显示防火墙的当前的运行配置
display current-configuration[ interface interface-type [ interface-number ] |
configuration[ isp | zone | interzone | radius-template | system |user-interface ] ]
linenum ] [ | { begin | include |exclude } string ] [ by-
保存当前配置 save [ file-name | safely ]
删除Flash 中保存的下次启动时加载的配置文件 reset saved-configuration 配置防火墙工作在透明模式 firewall mode transparent
H3C SecPath 系列安全产品 操作手册(安全) 第8 章 透明防火墙操作命令
配置防火墙工作在路由模式 firewall mode route
undo firewall mode 恢复防火墙的工作模式为缺省模式
缺省情况下,防火墙工作在路由模式(route)下。
启动ARP
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
项自动学习功能 firewall arp-learning enable
禁止ARP 表项自动学习功能 undo firewall arp-learning enable 缺省情况下,当防火墙工作在透明模式下时,防火墙启动ARP 表项自动学习功能。
配置VLAN ID 透传操作命令
使能接口的VLAN ID 透传功能 bridge vlanid-transparent-transmit enable 禁止接口的VLAN ID 透传功能 undo bridge vlanid-transparent-transmit enable 缺省情况下,禁止接口的VLAN ID 透传功能。
使能ARP Flood 攻击防范功能 firewall defend arp-flood [ max-rate
rate-number ]
关闭ARP Flood 攻击防范功能 undo firewall defend arp-flood [ max-rate ]
缺省为关闭ARP Flood 攻击防范功能。ARP 报文的最大连接速率范围为1, 1,000,000,缺省为100。
SecPath 系列安全产品支持以HTTP 方式登录到系统中,并通过Web 管理界面对系 统进行配置和管理。在使用Web 界面登录到系统前,必须先使能HTTP 服务器功能。 请在系统视图下进行下列配置。
H3C SecPath 系列安全产品 操作手册(基础配置) 第4 章 系统维护管理
开启/关闭HTTP 服务器
开启HTTP 服务器 undo ip http shutdown 关闭HTTP 服务器 ip http shutdown
缺省情况下,系统开启HTTP 服务器。
仅当登录用户具有Telnet 的服务类型时(service-type telnet),才允许登录HTTP 服务器,且不同等级的用户在Web 界面中的可配置项也会不同。
配置HTTP 服务器的访问限制
可以配置HTTP 服务器,使仅具有特定IP 地址的用户才可以登录HTTP 服务器,对 设备进行配置和管理。
请在系统视图下进行下列配置。
表4-18 配置HTTP 服务器的访问限制
操作 命令
配置HTTP 服务器的访问限制 ip http acl acl-number 取消对HTTP 服务器的访问限制 undo ip http acl 缺省情况下,未配置HTTP 服务器的访问限制。
仅ACL 中允许的IP 地址才可以访问HTTP 服务器。
表3-10 显示系统状态信息
操作 命令
显示系统版本信息 display version
显示详细的软件版本信息 vrbd
显示系统时钟 display clock
显示终端用户 display users [ all ]
显示起始配置信息 display saved-configuration
显示当前配置信息 display current-configuration 显示调试开关状态 display debugging [ interface interface-type interface-number ] [ module-name ]
显示当前视图的运行配置 display this
显示技术支持信息 display diagnostic-information 显示剪贴板的内容 display clipboard
H3C SecPath 系列安全产品 操作手册(基础配置) 第3 章 Comware 的基本配置
操作 命令
显示当前系统内存使用情况 display memory [ limit ]
显示CPU 占用率的统计信息 display cpu-usage [ configuration | number[ offset ]
[ verbose ] [ from-device ] ]
设置CPU 占用率统计的周期 cpu-usage cycle { 5sec | 1min | 5min | 72min }
以图形方式显示CPU 占用率统计历史
信息 display cpu-usage history [ task task-id ]
对插槽中的插卡进行拔出预处理 remove slot slot-id
取消拔出预处理操作 undo remove slot slot-id
显示设备和插卡的信息(任意视图) display device [ slot-id ] 配置防火墙网页登陆
1. 配置防火墙缺省允许报文通过。
system-view
[H3C] firewall packet-filter default permit
2. 为防火墙的以太网接口(以GigabitEthernet0/0为例)配置IP地址,并将接口加入到安全区域。
[H3C] interface GigabitEthernet0/0
[H3C-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0
[H3C-GigabitEthernet0/0] quit
[H3C] firewall zone trust
[H3C-zone-trust] add interface GigabitEthernet0/0
3. 为PC配置IP地址。
假设PC的IP地址为192.168.0.2。
4. 使用Ping命令验证网络连接性。
ping 192.168.0.2
Ping命令成功~
添加登录用户 5.
为使用户可以通过Web登录,并且有权限对防火墙进行管理,必须为用户添加登录帐户并且赋予其权限。例如:建立一个帐户名和密码都为admin,帐户类型为telnet,权限等级为3的管理员用户。
[H3C] local-user admin
[H3C-luser-admin] password simple admin
luser-admin] service-type telnet [H3C-
[H3C-luser-admin] level 3
在 PC上启动浏览器(建议使用IE5.0及以上版本),在地址栏中输入IP地址“192.168.0.1”后回车,即可进入防火墙Web登录页面,使用之前创建的 admin帐户登录防火墙,单击按钮即可登录。用户可以通过“Language”下拉框选择界面语言
内部主机通过域名区分并访问对应的内部服务器组网应用
1)配置easy ip(不用配地址池,直接通过接口地址做转换)
nat outbound acl-number
2)DNS MAP
nat dns-map domain-name global-addr global-port [ tcp | udp ]
实例:
# 在Ethernet0/0/0 接口上配置FTP 及WWW内部服务器。
[H3C] interface ethernet0/0/0
[H3C-Ethernet0/0/0] ip address 1.1.1.1 255.0.0.0 [H3C-Ethernet0/0/0] nat outbound 2000
[H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 www inside 10.0.0.2
www
[H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.3
ftp
[H3C-Ethernet0/0/0] quit
# 配置访问控制列表,允许10.0.0.0/8 网段访问Internet。
[H3C] acl number 2000
[H3C-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255 [H3C-acl-basic-2000] rule 1 deny
# 配置ethernet1/0/0。
[H3C] interface ethernet1/0/0
Ethernet1/0/0] ip address 10.0.0.1 255.0.0.0 [H3C-
加上如下配置后,内部主机也可以通过域名[url]www.zc.com[/url] 和ftp.zc.com 访问其
对应
的内部服务器。
# 配置域名与外部地址、端口号、
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
类型之间的映射。
[H3C] nat dns-map [url]www.zc.com[/url] 1.1.1.1 80 tcp [H3C] nat dns-map ftp.zc.com 1.1.1.1 21 tcp
此时外部主机可以通过域名[url]www.zc.com[/url] 和ftp.zc.com 访问其对应的内
部服务器
H3C SecPath“F”系列防火墙基本配置
SECPATH“F”系列基本出外网典型配置:
内网------------(e0/0)-Secpath100F-(e1/0)------------internet
192.168.1.1/24 202.10.1.194/24
sys
System View: return to User View with Ctrl+Z.
[Quidway]int e0/0
[Quidway-Ethernet0/0]ip add 192.168.1.1 255.255.255.0
[Quidway-Ethernet0/0]int e1/0
[Quidway-Ethernet1/0]ip add 202.10.1.194 255.255.255.0
[Quidway]fire zone untrust
[Quidway-zone-untrust]add int e1/0
[Quidway-zone-untrust]fire zone trust
[Quidway-zone-trust]add int e0/0
[Quidway-zone-trust]quit
[Quidway]acl num 2000
[Quidway-acl-basic-2000]rule per source 192.168.1.0 0.0.0.255
[Quidway-acl-basic-2000]rule deny
[Quidway]int e1/0
[Quidway-Ethernet1/0]nat outbound 2000
[Quidway]ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 preference 60
内网------------(g0/0)-Secpath1000F-(g0/1)------------internet
192.168.1.1/24 202.10.1.194/24
sys
System View: return to User View with Ctrl+Z.
[Quidway]int g0/0
[Quidway-GigabitEthernet0/0]ip add 192.168.1.1 255.255.255.0
[Quidway-GigabitEthernet0/0]int g0/1
[Quidway-GigabitEthernet0/1]ip add 202.10.1.194 255.255.255.0
[Quidway]fire zone untrust
[Quidway-zone-untrust]add int g0/1
[Quidway-zone-untrust]fire zone trust
[Quidway-zone-trust]add int g0/0
[Quidway-zone-trust]quit
[Quidway]acl num 2000
[Quidway-acl-basic-2000]rule per source 192.168.1.0 0.0.0.255
[Quidway-acl-basic-2000]rule deny
[Quidway]int g0/1
[Quidway-GigabitEthernet0/1]nat outbound 2000
[Quidway]ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 preference 60
内网------------(e0/0)-Secpath100F-(e0/1)-----ADSLMODEM-------internet
192.168.1.1/24
sys
System View: return to User View with Ctrl+Z.
[Quidway]int e0/0
[Quidway-Ethernet0/0]ip add 192.168.1.1 255.255.255.0
[Quidway-Ethernet0/0]quit
[Quidway]fire zone untrust
[Quidway-zone-untrust]add int e0/1
[Quidway-zone-untrust]fire zone trust
[Quidway-zone-trust]add int e0/0
[Quidway-zone-trust]quit
[Quidway]acl num 2000
[Quidway-acl-basic-2000]rule per source 192.168.1.0 0.0.0.255
[Quidway-acl-basic-2000]rule deny
[Quidway]int e0/1
[Quidway-Ethernet0/1]nat outbound 2000
# 配置Dialer接口
[Quidway] dialer-rule 1 ip permit
[Quidway] interface dialer 1
[Quidway-Dialer1] dialer-group 1
[Quidway-Dialer1] dialer bundle 1
[Quidway-Dialer1] ip address ppp-negotiate
[Quidway-Dialer1] ppp pap local-user huawei password cipher 123456
(这里的用户名和密码就是从运营商提供的)
[Quidway-Dialer1]nat outbound 2000
# 配置PPPoE会话
[Quidway] interface ethernet 0/1
[Quidway-Ethernet0/1] pppoe-client dial-bundle-number 1
[Quidway]ip route-static 0.0.0.0 0.0.0.0 dialer 1 preference 60