H3C SecPath F100系列防火墙配置教程

H3C SecPath F100系列防火墙配置教程 初始化配置 〈H3C〉system-view 开启防火墙功能 [H3C]firewall packet-filter enable [H3C]firewall packet-filter default permit 分配端口区域 [H3C] firewall zone untrust [H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/1 工作模式 firewall mode transparent 透明传输 firewall mode route 路由模式 http 服务器 使能HTTP 服务器 undo ip http shutdown 关闭HTTP 服务器 ip http shutdown 添加WEB用户 [H3C] local-user admin [H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3 开启防范功能 firewall defend all 打开所有防范 切换为中文模式 language-mode chinese 设置防火墙的名称 sysname sysname 配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 时间 clock datetime time date 设置所在的时区 clock timezone time-zone-name { add | minus } time 取消时区设置 undo clock timezone 配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password 取消配置的口令 undo super password [ level user-level ] 缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。 切换用户级别 super [ level ] 直接重新启动防火墙 reboot 开启信息中心 info-center enable 关闭信息中心 undo info-center enable ftp server enable 显示下次启动时加载的配置文件 display saved-configuration [ by-linenum ] 显示系统本次启动及下次启动使用 的配置文件 display startup 显示当前视图的配置 display this 显示防火墙的当前的运行配置 display current-configuration[ interface interface-type [ interface-number ] | configuration[ isp | zone | interzone | radius-template | system |user-interface ] ] linenum ] [ | { begin | include |exclude } string ] [ by- 保存当前配置 save [ file-name | safely ] 删除Flash 中保存的下次启动时加载的配置文件 reset saved-configuration 配置防火墙工作在透明模式 firewall mode transparent H3C SecPath 系列安全产品 操作手册(安全) 第8 章 透明防火墙操作命令 配置防火墙工作在路由模式 firewall mode route undo firewall mode 恢复防火墙的工作模式为缺省模式 缺省情况下，防火墙工作在路由模式(route)下。 启动ARP 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 项自动学习功能 firewall arp-learning enable 禁止ARP 表项自动学习功能 undo firewall arp-learning enable 缺省情况下，当防火墙工作在透明模式下时，防火墙启动ARP 表项自动学习功能。 配置VLAN ID 透传操作命令 使能接口的VLAN ID 透传功能 bridge vlanid-transparent-transmit enable 禁止接口的VLAN ID 透传功能 undo bridge vlanid-transparent-transmit enable 缺省情况下，禁止接口的VLAN ID 透传功能。 使能ARP Flood 攻击防范功能 firewall defend arp-flood [ max-rate rate-number ] 关闭ARP Flood 攻击防范功能 undo firewall defend arp-flood [ max-rate ] 缺省为关闭ARP Flood 攻击防范功能。ARP 报文的最大连接速率范围为1, 1,000,000，缺省为100。 SecPath 系列安全产品支持以HTTP 方式登录到系统中，并通过Web 管理界面对系 统进行配置和管理。在使用Web 界面登录到系统前，必须先使能HTTP 服务器功能。 请在系统视图下进行下列配置。 H3C SecPath 系列安全产品 操作手册(基础配置) 第4 章 系统维护管理 开启/关闭HTTP 服务器 开启HTTP 服务器 undo ip http shutdown 关闭HTTP 服务器 ip http shutdown 缺省情况下，系统开启HTTP 服务器。 仅当登录用户具有Telnet 的服务类型时(service-type telnet)，才允许登录HTTP 服务器，且不同等级的用户在Web 界面中的可配置项也会不同。 配置HTTP 服务器的访问限制 可以配置HTTP 服务器，使仅具有特定IP 地址的用户才可以登录HTTP 服务器，对 设备进行配置和管理。 请在系统视图下进行下列配置。 表4-18 配置HTTP 服务器的访问限制 操作 命令 配置HTTP 服务器的访问限制 ip http acl acl-number 取消对HTTP 服务器的访问限制 undo ip http acl 缺省情况下，未配置HTTP 服务器的访问限制。 仅ACL 中允许的IP 地址才可以访问HTTP 服务器。 表3-10 显示系统状态信息 操作 命令 显示系统版本信息 display version 显示详细的软件版本信息 vrbd 显示系统时钟 display clock 显示终端用户 display users [ all ] 显示起始配置信息 display saved-configuration 显示当前配置信息 display current-configuration 显示调试开关状态 display debugging [ interface interface-type interface-number ] [ module-name ] 显示当前视图的运行配置 display this 显示技术支持信息 display diagnostic-information 显示剪贴板的内容 display clipboard H3C SecPath 系列安全产品 操作手册(基础配置) 第3 章 Comware 的基本配置 操作 命令 显示当前系统内存使用情况 display memory [ limit ] 显示CPU 占用率的统计信息 display cpu-usage [ configuration | number[ offset ] [ verbose ] [ from-device ] ] 设置CPU 占用率统计的周期 cpu-usage cycle { 5sec | 1min | 5min | 72min } 以图形方式显示CPU 占用率统计历史 信息 display cpu-usage history [ task task-id ] 对插槽中的插卡进行拔出预处理 remove slot slot-id 取消拔出预处理操作 undo remove slot slot-id 显示设备和插卡的信息(任意视图) display device [ slot-id ] 配置防火墙网页登陆 1. 配置防火墙缺省允许报文通过。 system-view [H3C] firewall packet-filter default permit 2. 为防火墙的以太网接口(以GigabitEthernet0/0为例)配置IP地址，并将接口加入到安全区域。 [H3C] interface GigabitEthernet0/0 [H3C-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0 [H3C-GigabitEthernet0/0] quit [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/0 3. 为PC配置IP地址。 假设PC的IP地址为192.168.0.2。 4. 使用Ping命令验证网络连接性。 ping 192.168.0.2 Ping命令成功～ 添加登录用户 5. 为使用户可以通过Web登录，并且有权限对防火墙进行管理，必须为用户添加登录帐户并且赋予其权限。例如:建立一个帐户名和密码都为admin，帐户类型为telnet，权限等级为3的管理员用户。 [H3C] local-user admin [H3C-luser-admin] password simple admin luser-admin] service-type telnet [H3C- [H3C-luser-admin] level 3 在 PC上启动浏览器(建议使用IE5.0及以上版本)，在地址栏中输入IP地址“192.168.0.1”后回车，即可进入防火墙Web登录页面，使用之前创建的 admin帐户登录防火墙，单击按钮即可登录。用户可以通过“Language”下拉框选择界面语言 内部主机通过域名区分并访问对应的内部服务器组网应用 1)配置easy ip(不用配地址池，直接通过接口地址做转换) nat outbound acl-number 2)DNS MAP nat dns-map domain-name global-addr global-port [ tcp | udp ] 实例: # 在Ethernet0/0/0 接口上配置FTP 及WWW内部服务器。 [H3C] interface ethernet0/0/0 [H3C-Ethernet0/0/0] ip address 1.1.1.1 255.0.0.0 [H3C-Ethernet0/0/0] nat outbound 2000 [H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 www inside 10.0.0.2 www [H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.3 ftp [H3C-Ethernet0/0/0] quit # 配置访问控制列表，允许10.0.0.0/8 网段访问Internet。 [H3C] acl number 2000 [H3C-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255 [H3C-acl-basic-2000] rule 1 deny # 配置ethernet1/0/0。 [H3C] interface ethernet1/0/0 Ethernet1/0/0] ip address 10.0.0.1 255.0.0.0 [H3C- 加上如下配置后，内部主机也可以通过域名[url]www.zc.com[/url] 和ftp.zc.com 访问其 对应 的内部服务器。 # 配置域名与外部地址、端口号、 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 类型之间的映射。 [H3C] nat dns-map [url]www.zc.com[/url] 1.1.1.1 80 tcp [H3C] nat dns-map ftp.zc.com 1.1.1.1 21 tcp 此时外部主机可以通过域名[url]www.zc.com[/url] 和ftp.zc.com 访问其对应的内 部服务器 H3C SecPath“F”系列防火墙基本配置 SECPATH“F”系列基本出外网典型配置: 内网------------(e0/0)-Secpath100F-(e1/0)------------internet 192.168.1.1/24 202.10.1.194/24 sys System View: return to User View with Ctrl+Z. [Quidway]int e0/0 [Quidway-Ethernet0/0]ip add 192.168.1.1 255.255.255.0 [Quidway-Ethernet0/0]int e1/0 [Quidway-Ethernet1/0]ip add 202.10.1.194 255.255.255.0 [Quidway]fire zone untrust [Quidway-zone-untrust]add int e1/0 [Quidway-zone-untrust]fire zone trust [Quidway-zone-trust]add int e0/0 [Quidway-zone-trust]quit [Quidway]acl num 2000 [Quidway-acl-basic-2000]rule per source 192.168.1.0 0.0.0.255 [Quidway-acl-basic-2000]rule deny [Quidway]int e1/0 [Quidway-Ethernet1/0]nat outbound 2000 [Quidway]ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 preference 60 内网------------(g0/0)-Secpath1000F-(g0/1)------------internet 192.168.1.1/24 202.10.1.194/24 sys System View: return to User View with Ctrl+Z. [Quidway]int g0/0 [Quidway-GigabitEthernet0/0]ip add 192.168.1.1 255.255.255.0 [Quidway-GigabitEthernet0/0]int g0/1 [Quidway-GigabitEthernet0/1]ip add 202.10.1.194 255.255.255.0 [Quidway]fire zone untrust [Quidway-zone-untrust]add int g0/1 [Quidway-zone-untrust]fire zone trust [Quidway-zone-trust]add int g0/0 [Quidway-zone-trust]quit [Quidway]acl num 2000 [Quidway-acl-basic-2000]rule per source 192.168.1.0 0.0.0.255 [Quidway-acl-basic-2000]rule deny [Quidway]int g0/1 [Quidway-GigabitEthernet0/1]nat outbound 2000 [Quidway]ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 preference 60 内网------------(e0/0)-Secpath100F-(e0/1)-----ADSLMODEM-------internet 192.168.1.1/24 sys System View: return to User View with Ctrl+Z. [Quidway]int e0/0 [Quidway-Ethernet0/0]ip add 192.168.1.1 255.255.255.0 [Quidway-Ethernet0/0]quit [Quidway]fire zone untrust [Quidway-zone-untrust]add int e0/1 [Quidway-zone-untrust]fire zone trust [Quidway-zone-trust]add int e0/0 [Quidway-zone-trust]quit [Quidway]acl num 2000 [Quidway-acl-basic-2000]rule per source 192.168.1.0 0.0.0.255 [Quidway-acl-basic-2000]rule deny [Quidway]int e0/1 [Quidway-Ethernet0/1]nat outbound 2000 # 配置Dialer接口 [Quidway] dialer-rule 1 ip permit [Quidway] interface dialer 1 [Quidway-Dialer1] dialer-group 1 [Quidway-Dialer1] dialer bundle 1 [Quidway-Dialer1] ip address ppp-negotiate [Quidway-Dialer1] ppp pap local-user huawei password cipher 123456 (这里的用户名和密码就是从运营商提供的) [Quidway-Dialer1]nat outbound 2000 # 配置PPPoE会话 [Quidway] interface ethernet 0/1 [Quidway-Ethernet0/1] pppoe-client dial-bundle-number 1 [Quidway]ip route-static 0.0.0.0 0.0.0.0 dialer 1 preference 60