H3C SecPath F100系列防火墻配置教程參考模板_第1頁
H3C SecPath F100系列防火墻配置教程參考模板_第2頁
H3C SecPath F100系列防火墻配置教程參考模板_第3頁
H3C SecPath F100系列防火墻配置教程參考模板_第4頁
H3C SecPath F100系列防火墻配置教程參考模板_第5頁
已閱讀5頁,還剩8頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、H3C SecPath F100系列防火墻配置教程初始化配置H3Csystem-view開啟防火墻功能H3Cfirewall packet-filter enableH3Cfirewall packet-filter default permit分配端口區(qū)域H3C firewall zone untrustH3C-zone-trust add interface GigabitEthernet0/0H3C firewall zone trustH3C-zone-trust add interface GigabitEthernet0/1工作模式firewall mode transparent

2、 透明傳輸firewall mode route 路由模式http 服務(wù)器使能HTTP 服務(wù)器 undo ip http shutdown關(guān)閉HTTP 服務(wù)器 ip http shutdown添加WEB用戶H3C local-user adminH3C-luser-admin password simple adminH3C-luser-admin service-type telnetH3C-luser-admin level 3開啟防范功能firewall defend all 打開所有防范切換為中文模式 language-mode chinese設(shè)置防火墻的名稱 sysname sysn

3、ame配置防火墻系統(tǒng)IP 地址 firewall system-ip system-ip-address address-mask 設(shè)置標準時間 clock datetime time date設(shè)置所在的時區(qū) clock timezone time-zone-name add | minus time取消時區(qū)設(shè)置 undo clock timezone配置切換用戶級別的口令 super password level user-level simple | cipher password取消配置的口令 undo super password level user-level 缺缺省情況下,若不指

4、定級別,則設(shè)置的為切換到3 級的密碼。切換用戶級別 super level 直接重新啟動防火墻 reboot開啟信息中心 info-center enable關(guān)閉信息中心 undo info-center enableftp server enable顯示下次啟動時加載的配置文件 display saved-configuration by-linenum 顯示系統(tǒng)本次啟動及下次啟動使用的配置文件 display startup顯示當前視圖的配置 display this顯示防火墻的當前的運行配置display current-configuration interface interface

5、-type interface-number | configuration isp | zone | interzone | radius-template | system |user-interface by-linenum | begin | include |exclude string 保存當前配置 save file-name | safely 刪除Flash 中保存的下次啟動時加載的配置文件 reset saved-configuration配置防火墻工作在透明模式 firewall mode transparentH3C SecPath 系列安全產(chǎn)品 操作手冊(安全) 第8

6、章 透明防火墻操作命令配置防火墻工作在路由模式 firewall mode route恢復(fù)防火墻的工作模式為缺省模式 undo firewall mode缺省情況下,防火墻工作在路由模式(route)下。啟動ARP 表項自動學(xué)習功能 firewall arp-learning enable禁止ARP 表項自動學(xué)習功能 undo firewall arp-learning enable缺省情況下,當防火墻工作在透明模式下時,防火墻啟動ARP 表項自動學(xué)習功能。配置VLAN ID 透傳操作命令使能接口的VLAN ID 透傳功能 bridge vlanid-transparent-transmit

7、enable禁止接口的VLAN ID 透傳功能 undo bridge vlanid-transparent-transmit enable缺省情況下,禁止接口的VLAN ID 透傳功能。2 / 13使能ARP Flood 攻擊防范功能 firewall defend arp-flood max-raterate-number 關(guān)閉ARP Flood 攻擊防范功能 undo firewall defend arp-flood max-rate 缺省為關(guān)閉ARP Flood 攻擊防范功能。ARP 報文的最大連接速率范圍為11,000,000,缺省為100。SecPath 系列安全產(chǎn)品支持以HTT

8、P 方式登錄到系統(tǒng)中,并通過Web 管理界面對系統(tǒng)進行配置和管理。在使用Web 界面登錄到系統(tǒng)前,必須先使能HTTP 服務(wù)器功能。請在系統(tǒng)視圖下進行下列配置。H3C SecPath 系列安全產(chǎn)品 操作手冊(基礎(chǔ)配置) 第4 章 系統(tǒng)維護管理開啟/關(guān)閉HTTP 服務(wù)器開啟HTTP 服務(wù)器 undo ip http shutdown關(guān)閉HTTP 服務(wù)器 ip http shutdown缺省情況下,系統(tǒng)開啟HTTP 服務(wù)器。僅當?shù)卿浻脩艟哂蠺elnet 的服務(wù)類型時(service-type telnet),才允許登錄HTTP服務(wù)器,且不同等級的用戶在Web 界面中的可配置項也會不同。配置HTTP

9、服務(wù)器的訪問限制可以配置HTTP 服務(wù)器,使僅具有特定IP 地址的用戶才可以登錄HTTP 服務(wù)器,對設(shè)備進行配置和管理。請在系統(tǒng)視圖下進行下列配置。表4-18 配置HTTP 服務(wù)器的訪問限制操作 命令配置HTTP 服務(wù)器的訪問限制 ip http acl acl-number取消對HTTP 服務(wù)器的訪問限制 undo ip http acl缺省情況下,未配置HTTP 服務(wù)器的訪問限制。僅ACL 中允許的IP 地址才可以訪問HTTP 服務(wù)器。表3-10 顯示系統(tǒng)狀態(tài)信息操作 命令顯示系統(tǒng)版本信息 display version顯示詳細的軟件版本信息 vrbd顯示系統(tǒng)時鐘 display cloc

10、k顯示終端用戶 display users all 顯示起始配置信息 display saved-configuration顯示當前配置信息 display current-configuration顯示調(diào)試開關(guān)狀態(tài) display debugging interface interface-typeinterface-number module-name 顯示當前視圖的運行配置 display this顯示技術(shù)支持信息 display diagnostic-information顯示剪貼板的內(nèi)容 display clipboardH3C SecPath 系列安全產(chǎn)品 操作手冊(基礎(chǔ)配置) 第

11、3 章 Comware 的基本配置操作 命令顯示當前系統(tǒng)內(nèi)存使用情況 display memory limit 顯示CPU 占用率的統(tǒng)計信息 display cpu-usage configuration | number offset verbose from-device 設(shè)置CPU 占用率統(tǒng)計的周期 cpu-usage cycle 5sec | 1min | 5min | 72min 以圖形方式顯示CPU 占用率統(tǒng)計歷史信息 display cpu-usage history task task-id 對插槽中的插卡進行拔出預(yù)處理 remove slot slot-id取消拔出預(yù)處理操作

12、 undo remove slot slot-id顯示設(shè)備和插卡的信息(任意視圖) display device slot-id 配置防火墻網(wǎng)頁登陸1. 配置防火墻缺省允許報文通過。<H3C> system-viewH3C firewall packet-filter default permit 2. 為防火墻的以太網(wǎng)接口(以GigabitEthernet0/0為例)配置IP地址,并將接口加入到安全區(qū)域。H3C interface GigabitEthernet0/0H3C-GigabitEthernet0/0 ip address 255.255.255

13、.0H3C-GigabitEthernet0/0 quitH3C firewall zone trustH3C-zone-trust add interface GigabitEthernet0/03. 為PC配置IP地址。假設(shè)PC的IP地址為。4. 使用Ping命令驗證網(wǎng)絡(luò)連接性。<H3C> ping Ping命令成功!5.添加登錄用戶為使用戶可以通過Web登錄,并且有權(quán)限對防火墻進行管理,必須為用戶添加登錄帳戶并且賦予其權(quán)限。例如:建立一個帳戶名和密碼都為admin,帳戶類型為telnet,權(quán)限等級為3的管理員用戶。H3C local

14、-user adminH3C-luser-admin password simple adminH3C-luser-admin service-type telnetH3C-luser-admin level 3在 PC上啟動瀏覽器(建議使用IE5.0及以上版本),在地址欄中輸入IP地址“”后回車,即可進入防火墻Web登錄頁面,使用之前創(chuàng)建的 admin帳戶登錄防火墻,單擊<Login>按鈕即可登錄。用戶可以通過“Language”下拉框選擇界面語言 內(nèi)部主機通過域名區(qū)分并訪問對應(yīng)的內(nèi)部服務(wù)器組網(wǎng)應(yīng)用1)配置easy ip(不用配地址池,直接通過接口

15、地址做轉(zhuǎn)換)nat outbound acl-number2)DNS MAPnat dns-map domain-name global-addrglobal-port tcp | udp 實例:# 在Ethernet0/0/0 接口上配置FTP 及WWW內(nèi)部服務(wù)器。H3C interface ethernet0/0/0H3C-Ethernet0/0/0 ip address H3C-Ethernet0/0/0 nat outbound 2000H3C-Ethernet0/0/0 nat server protocol tcp global w

16、ww inside wwwH3C-Ethernet0/0/0 nat server protocol tcp global ftp inside ftpH3C-Ethernet0/0/0 quit# 配置訪問控制列表,允許/8 網(wǎng)段訪問Internet。H3C acl number 2000H3C-acl-basic-2000 rule 0 permit source 55H3C-acl-basic-2000 rule 1 deny# 配置ethernet1/0/0。H3C interface et

17、hernet1/0/0H3C-Ethernet1/0/0 ip address 加上如下配置后,內(nèi)部主機也可以通過域名url/url 和 訪問其對應(yīng)的內(nèi)部服務(wù)器。# 配置域名與外部地址、端口號、協(xié)議類型之間的映射。H3C nat dns-map url/url 80 tcpH3C nat dns-map 21 tcp此時外部主機可以通過域名url/url 和 訪問其對應(yīng)的內(nèi)部服務(wù)器 H3C SecPath“F”系列防火墻基本配置SECPATH“F”系列基本出外網(wǎng)典型配置: 內(nèi)網(wǎng)-(e0/0)-Secpath100F-

18、(e1/0)-internet /24 94/24 sys System View: return to User View with Ctrl+Z. Quidwayint e0/0 Quidway-Ethernet0/0ip add Quidway-Ethernet0/0int e1/0 Quidway-Ethernet1/0ip add 94 Quidwayfire zone untrust Quidway-zone-untrustadd int e

19、1/0 Quidway-zone-untrustfire zone trust Quidway-zone-trustadd int e0/0 Quidway-zone-trustquit Quidwayacl num 2000 Quidway-acl-basic-2000rule per source 55 Quidway-acl-basic-2000rule deny Quidwayint e1/0 Quidway-Ethernet1/0nat outbound 2000 Quidwayip route-static 20

20、93 preference 60 內(nèi)網(wǎng)-(g0/0)-Secpath1000F-(g0/1)-internet /24 94/24 sys System View: return to User View with Ctrl+Z. Quidwayint g0/0 Quidway-GigabitEthernet0/0ip add Quidway-GigabitEthernet0/0int g0/1 Quidway-GigabitEthernet0/1ip add 94

21、 Quidwayfire zone untrust Quidway-zone-untrustadd int g0/1 Quidway-zone-untrustfire zone trust Quidway-zone-trustadd int g0/0 Quidway-zone-trustquit Quidwayacl num 2000 Quidway-acl-basic-2000rule per source 55 Quidway-acl-basic-2000rule deny Quidwayint g0/1 Quidway-G

22、igabitEthernet0/1nat outbound 2000 Quidwayip route-static 93 preference 60 內(nèi)網(wǎng)-(e0/0)-Secpath100F-(e0/1)-ADSLMODEM-internet /24 sys System View: return to User View with Ctrl+Z. Quidwayint e0/0 Quidway-Ethernet0/0ip add Quidway-Ethernet0/0quit Quidwayfire zone untrust Quid

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論