H3C-SecPath-F100系列防火墻配置教程

H3C-SecPath-F100系列防火墻配置教程H3CSecPathF100系列防火墻配置教程初始化配置〈H3C〉system-view

開啟防火墻功效

[H3C]firewallpacket-filterenable

[H3C]firewallpacket-filterdefaultpermit

分配端口區(qū)域

[H3C]firewallzoneuntrust

[H3C-zone-trust]addinterfaceGigabitEthernet0/0

[H3C]firewallzonetrust

[H3C-zone-trust]addinterfaceGigabitEthernet0/1

工作模式

firewallmodetransparent透明傳輸

firewallmoderoute路由模式

http服務(wù)器

使能HTTP服務(wù)器undoiphttpshutdown

關(guān)閉HTTP服務(wù)器iphttpshutdown

添加WEB用戶

[H3C]local-useradmin

[H3C-luser-admin]passwordsimpleadmin

[H3C-luser-admin]service-typetelnet

[H3C-luser-admin]level3

開啟防范功效

firewalldefendall打開全部防范切換為漢字模式language-modechinese

設(shè)置防火墻名稱sysnamesysname

配置防火墻系統(tǒng)IP地址firewallsystem-ipsystem-ip-address[address-mask]

設(shè)置標(biāo)按時間clockdatetimetimedate

設(shè)置所在時區(qū)clocktimezonetime-zone-name{add|minus}time

取消時區(qū)設(shè)置undoclocktimezone

配置切換用戶級別口令superpassword[leveluser-level]{simple|cipher}

password

取消配置口令undosuperpassword[leveluser-level]

缺缺省情況下，若不指定級別，則設(shè)置為切換到3級密碼。

切換用戶級別super[level]

直接重新開啟防火墻reboot

開啟信息中心info-centerenable

關(guān)閉信息中心undoinfo-centerenable

ftpserverenable

顯示下次開啟時加載配置文件displaysaved-configuration[by-linenum]

顯示系統(tǒng)此次開啟及下次開啟使用

配置文件displaystartup

顯示當(dāng)前視圖配置displaythis

顯示防火墻當(dāng)前運行配置

displaycurrent-configuration[interfaceinterface-type[interface-number]|configuration[isp|zone|interzone|radius-template|system|user-interface]][by-linenum][|{begin|include|exclude}string]

保留當(dāng)前配置save[file-name|safely]

刪除Flash中保留下次開啟時加載配置文件resetsaved-configuration

配置防火墻工作在透明模式firewallmodetransparent

H3CSecPath系列安全產(chǎn)品操作手冊（安全）第8章透明防火墻操作命令

配置防火墻工作在路由模式firewallmoderoute

恢復(fù)防火墻工作模式為缺省模式undofirewallmode

缺省情況下，防火墻工作在路由模式（route）下。

開啟ARP表項自動學(xué)習(xí)功效firewallarp-learningenable

禁止ARP表項自動學(xué)習(xí)功效undofirewallarp-learningenable

缺省情況下，當(dāng)防火墻工作在透明模式下時，防火墻開啟ARP表項自動學(xué)習(xí)功效。

配置VLANID透傳操作命令

使能接口VLANID透傳功效bridgevlanid-transparent-transmitenable

禁止接口VLANID透傳功效undobridgevlanid-transparent-transmitenable

缺省情況下，禁止接口VLANID透傳功效。使能ARPFlood攻擊防范功效firewalldefendarp-flood[max-rate

rate-number]

關(guān)閉ARPFlood攻擊防范功效undofirewalldefendarp-flood[max-rate]

缺省為關(guān)閉ARPFlood攻擊防范功效。ARP報文最大連接速率范圍為1～

1,000,000，缺省為100。

SecPath系列安全產(chǎn)品支持以HTTP方式登錄到系統(tǒng)中，并經(jīng)過Web管理界面對系

統(tǒng)進行配置和管理。在使用Web界面登錄到系統(tǒng)前，必須先使能HTTP服務(wù)器功效。

請在系統(tǒng)視圖下進行以下配置。

H3CSecPath系列安全產(chǎn)品操作手冊（基礎(chǔ)配置）第4章系統(tǒng)維護管理開啟/關(guān)閉HTTP服務(wù)器

開啟HTTP服務(wù)器undoiphttpshutdown

關(guān)閉HTTP服務(wù)器iphttpshutdown

缺省情況下，系統(tǒng)開啟HTTP服務(wù)器。

僅當(dāng)?shù)卿浻脩艟邆銽elnet服務(wù)類型時（service-typetelnet），才允許登錄HTTP

服務(wù)器，且不一樣等級用戶在Web界面中可配置項也會不一樣。

配置HTTP服務(wù)器訪問限制

能夠配置HTTP服務(wù)器，使僅具備特定IP地址用戶才能夠登錄HTTP服務(wù)器，對

設(shè)備進行配置和管理。

請在系統(tǒng)視圖下進行以下配置。

表4-18配置HTTP服務(wù)器訪問限制

操作命令

配置HTTP服務(wù)器訪問限制iphttpaclacl-number

取消對HTTP服務(wù)器訪問限制undoiphttpacl

缺省情況下，未配置HTTP服務(wù)器訪問限制。

僅ACL中允許IP地址才能夠訪問HTTP服務(wù)器。表3-10顯示系統(tǒng)狀態(tài)信息

操作命令

顯示系統(tǒng)版本信息displayversion

顯示詳細軟件版本信息vrbd

顯示系統(tǒng)時鐘displayclock

顯示終端用戶displayusers[all]

顯示起始配置信息displaysaved-configuration

顯示當(dāng)前配置信息displaycurrent-configuration

顯示調(diào)試開關(guān)狀態(tài)displaydebugging[interfaceinterface-type

interface-number][module-name]

顯示當(dāng)前視圖運行配置displaythis

顯示技術(shù)支持信息displaydiagnostic-information

顯示剪貼板內(nèi)容displayclipboard

H3CSecPath系列安全產(chǎn)品操作手冊（基礎(chǔ)配置）第3章Comware基本配置

操作命令

顯示當(dāng)前系統(tǒng)內(nèi)存使用情況displaymemory[limit]

顯示CPU占用率統(tǒng)計信息displaycpu-usage[configuration|number[offset][verbose][from-device]]

設(shè)置CPU占用率統(tǒng)計周期cpu-usagecycle{5sec|1min|5min|72min}

以圖形方式顯示CPU占用率統(tǒng)計歷史

信息displaycpu-usagehistory[tasktask-id]對插槽中插卡進行拔出預(yù)處理removeslotslot-id

取消拔出預(yù)處理操作undoremoveslotslot-id

顯示設(shè)備和插卡信息（任意視圖）displaydevice[slot-id]配置防火墻網(wǎng)頁登陸

1.配置防火墻缺省允許報文經(jīng)過。

<H3C>system-view

[H3C]firewallpacket-filterdefaultpermit2.為防火墻以太網(wǎng)接口（以GigabitEthernet0/0為例）配置IP地址，并將接口加入到安全區(qū)域。

[H3C]interfaceGigabitEthernet0/0

[H3C-GigabitEthernet0/0]ipaddress

[H3C-GigabitEthernet0/0]quit

[H3C]firewallzonetrust

[H3C-zone-trust]addinterfaceGigabitEthernet0/0

3.為PC配置IP地址。

假設(shè)PCIP地址為。

4.使用Ping命令驗證網(wǎng)絡(luò)連接性。

<H3C>ping

Ping命令成功！5.添加登錄用戶

為使用戶能夠經(jīng)過Web登錄，而且有權(quán)限對防火墻進行管理，必須為用戶添加登錄帳戶而且賦予其權(quán)限。比如：建立一個帳戶名和密碼都為admin，帳戶類型為telnet，權(quán)限等級為3管理員用戶。

[H3C]local-useradmin

[H3C-luser-admin]passwordsimpleadmin

[H3C-luser-admin]service-typetelnet

[H3C-luser-admin]level3在PC上開啟瀏覽器（提議使用IE5.0及以上版本），在地址欄中輸入IP地址“”后回車，即可進入防火墻Web登錄頁面，使用之前創(chuàng)建admin帳戶登錄防火墻，單擊<Login>按鈕即可登錄。用戶能夠經(jīng)過“Language”下拉框選擇界面語言

內(nèi)部主機經(jīng)過域名區(qū)分并訪問對應(yīng)內(nèi)部服務(wù)器組網(wǎng)應(yīng)用

1)配置easyip（不用配地址池，直接經(jīng)過接口地址做轉(zhuǎn)換）

natoutboundacl-number

2)DNSMAP

natdns-mapdomain-nameglobal-addr

global-port[tcp|udp]實例：#在Ethernet0/0/0接口上配置FTP及WWW內(nèi)部服務(wù)器。

[H3C]interfaceethernet0/0/0

[H3C-Ethernet0/0/0]ipaddress

[H3C-Ethernet0/0/0]natoutbound

[H3C-Ethernet0/0/0]natserverprotocoltcpglobalwwwinside

www

[H3C-Ethernet0/0/0]natserverprotocoltcpglobalftpinside

ftp

[H3C-Ethernet0/0/0]quit#配置訪問控制列表，允許/8網(wǎng)段訪問Internet。

[H3C]aclnumber

[H3C-acl-basic-]rule0permitsource55

[H3C-acl-basic-]rule1deny

#配置ethernet1/0/0。

[H3C]interfaceethernet1/0/0

[H3C-Ethernet1/0/0]ipaddress

加上以下配置后，內(nèi)部主機也能夠經(jīng)過域名[url].com[/url]和訪問其對應(yīng)

內(nèi)部服務(wù)器。

#配置域名與外部地址、端口號、協(xié)議類型之間映射。

[H3C]natdns-map[url].com[/url]80tcp

[H3C]natdns-map21tcp此時外部主機能夠經(jīng)過域名[url].com[/url]和訪問其對應(yīng)內(nèi)部服務(wù)器

H3CSecPath“F”系列防火墻基本配置SECPATH“F”系列基本出外網(wǎng)經(jīng)典配置：

內(nèi)網(wǎng)------------(e0/0)-Secpath100F-(e1/0)------------internet

/2494/24

sys

SystemView:returntoUserViewwithCtrl+Z.

[Quidway]inte0/0

[Quidway-Ethernet0/0]ipadd

[Quidway-Ethernet0/0]inte1/0

[Quidway-Ethernet1/0]ipadd94

[Quidway]firezoneuntrust

[Quidway-zone-untrust]addinte1/0

[Quidway-zone-untrust]firezonetrust

[Quidway-zone-trust]addinte0/0

[Quidway-zone-trust]quit

[Quidway]aclnum

[Quidway-acl-basic-]rulepersource55

[Quidway-acl-basic-]ruledeny

[Quidway]inte1/0

[Quidway-Ethernet1/0]natoutbound

[Quidway]iproute-static93preference60

內(nèi)網(wǎng)------------(g0/0)-Secpath1000F-(g0/1)------------internet

/2494/24

sys

SystemView:returntoUserViewwithCtrl+Z.

[Quidway]intg0/0

[Quidway-GigabitEthernet0/0]ipadd

[Quidway-GigabitEthernet0/0]intg0/1

[Quidway-GigabitEthernet0/1]ipadd94

[Quidway]firezoneuntrust

[Quidway-zone-untrust]addintg0/1

[Quidway-zone-untrust]firezonetrust

[Quidway-zone-trust]addintg0/0

[Quidway-zone-trust]quit

[Quidway]aclnum

[Quidway-acl-basic-]rulepersource55

[Quidway-acl-basic-]ruledeny

[Quidway]intg0/1

[Quidway-GigabitEthernet0/1]natoutbound

[Quidway]iproute-static93preference60

內(nèi)網(wǎng)------------(e0/0)-Secpath100F-(e0/1)-----ADSLMODEM-------internet

/24

sys

SystemView:returntoUserViewwithCtrl+Z.

[Quidway]inte0/0

[Quidway-Ethernet0/0]ipadd

[Quidway-Ethernet0/0]quit

[Quidway]firezoneuntrust

[Quidway-zone-untrust]addinte0/1

[Quidway-zone-untrus