H3C SecPath防火墻系列產(chǎn)品混合模式的典型配置_第1頁
H3C SecPath防火墻系列產(chǎn)品混合模式的典型配置_第2頁
H3C SecPath防火墻系列產(chǎn)品混合模式的典型配置_第3頁
H3C SecPath防火墻系列產(chǎn)品混合模式的典型配置_第4頁
H3C SecPath防火墻系列產(chǎn)品混合模式的典型配置_第5頁
已閱讀5頁,還剩1頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、H3C SecPath防火墻系列產(chǎn)品混合模式的典型配置一、 組網(wǎng)需求:組網(wǎng)圖中需要三臺PC, PC1和PC4在Trust區(qū)域;PC2處于DMZ區(qū)域,其IP地址與PC1和PC4在同一網(wǎng)段,PC3位于Untrust區(qū)域,為外部網(wǎng)絡(luò)。G0/0接口和G1/0接口屬于同一個橋組Bridge1。對于訪問控制有如下要求: 在防火墻G0/1接口上配置NAT,使Trust區(qū)域與DMZ區(qū)域通過地址轉(zhuǎn)換才能訪問Untrust區(qū)域; 通過NAT Server使DMZ區(qū)域?qū)ntrust區(qū)域提供WWW服務(wù); 在G1/0接口綁定ASPF策略并配合包過濾,使得Trust區(qū)域用戶可以訪問DMZ區(qū)域設(shè)備;但DMZ區(qū)域不能訪問T

2、rust區(qū)域; 在G0/0接口上綁定基于MAC地址的訪問控制列表禁止PC4訪問其他任何區(qū)域。二、 組網(wǎng)圖:支持混合模式的產(chǎn)品型號有:Secpath F1000-A/F1000-S/F100-E/F100-A;版本要求Comware software, Version 3.40, ESS 1622及以后。三、 配置步驟:當(dāng)前視圖配置命令注釋H3Cfirewall packet-filter default permit防火墻包過濾默認(rèn)改為允許H3Cbridge enable使能橋組功能H3Cbridge 1 enable創(chuàng)建橋組1H3Caspf-policy 1 創(chuàng)建一個ASPF策略H3C-as

3、pf-policy-1detect http為應(yīng)用層協(xié)議配置ASPF檢測H3C-aspf-policy-1quit退出ASPF策略視圖H3Cacl number 2000創(chuàng)建一個基本訪問控制列表H3C -acl-basic-2000rule permit在基本訪問控制列表視圖下,配置ACL規(guī)則H3C -acl-basic-2000quit退出基本訪問控制列表視圖H3Cacl number 3000創(chuàng)建訪問控制列表并進(jìn)入ACL視圖H3C-acl-adv-3000rule deny 拒絕所有數(shù)據(jù)包H3C-acl-adv-3000quit退出訪問控制列表視圖H3Cacl number 4000創(chuàng)建訪

4、問控制列表并進(jìn)入ACL視圖H3C-acl-ethernetframe-4000rule 0 deny source-mac 0015-e944-b235 ffff-ffff-ffff拒絕以PC4的MAC地址為源的數(shù)據(jù)包H3C-acl-ethernetframe-4000quit退出訪問控制列表視圖H3Cinterface GigabitEthernet 0/0進(jìn)入連接g0/0的接口視圖H3C-GigabitEthernet0/0bridge-set 1將接口g0/0加入到橋組1H3C-GigabitEthernet0/0firewall ethernet-frame-filter 4000 i

5、nbound 配置防火墻g0/0接口入方向上應(yīng)用基于MAC地址的訪問控制列表H3C-GigabitEthernet0/0interface GigabitEthernet 1/0進(jìn)入連接g1/0的接口視圖H3C-GigabitEthernet1/0bridge-set 1將接口g1/0加入到橋組1H3C-GigabitEthernet1/0firewall aspf 1 oubound在接口上應(yīng)用ASPF策略H3C-GigabitEthernet1/0firewall packet-filter 3000 inbound指定接口上過濾接收報(bào)文的規(guī)則H3C-GigabitEthernet1/0q

6、uit退回系統(tǒng)視圖H3Cinterface bridge-template 1創(chuàng)建橋組1的虛接口H3C-Bridge-Template1配置IP地址H3C-Bridge-Template1quit退回系統(tǒng)視圖H3Cinterface GigabitEthernet 0/1進(jìn)入連接g0/1的接口視圖H3C-GigabitEthernet0/1配置接口地址H3C-GigabitEthernet0/1nat outbound 2000配置訪問控制列表和接口地址關(guān)聯(lián)H3C-GigabitEthernet0/1nat server protocol tcp global 00 www

7、 inside 00 www配置內(nèi)部服務(wù)器www服務(wù)映射表H3C-GigabitEthernet0/1quit退回系統(tǒng)視圖H3Cfirewall zone trust進(jìn)入trust區(qū)域視圖H3C-zone-trustadd interface bridge-template 1將接口BVI1加入到trust區(qū)域H3C-zone-trustadd interface GigabitEthernet0/0將接口GigabitEthernet0/0加入到trust區(qū)域H3C-zone-trustquit退回系統(tǒng)視圖H3Cfirewall zone untrust進(jìn)入untrust區(qū)域視圖H3C-zone-untrustadd interface GigabitEthernet 0/1將接口GigabitEthernet0/1加入到untrust區(qū)域H3C-zone-untrustquit退回系統(tǒng)視圖H3Cfirewall zone dmz進(jìn)入DMZ區(qū)域視圖H3C-zone-dmzadd interface GigabitEthernet 1/0將接口GigabitEthernet1/0加入到untrust區(qū)域H3C-zone-dmzquit退回系統(tǒng)視圖四、 配置關(guān)鍵點(diǎn):1、每一個橋組都是獨(dú)立的,報(bào)文不可能在分屬不同橋組

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論