H3CSecPathF100系列防火墻配置教程

H3CSecPathF100系列防火墻配置教程初始化配置H3C〉system-view開啟防火墻功能[H3C]firewallpacket-filterenable[H3C]firewallpacket-filterdefaultpermit分配端口區(qū)域[H3C]firewallzoneuntrust[H3C-zone-trust]addinterfaceGigabitEthernet0/0[H3C]firewallzonetrust[H3C-zone-trust]addinterfaceGigabitEthernet0/1工作模式firewallmodetransparent

透明傳輸firewallmoderoute

路由模式http 服務(wù)器使能HTTP服務(wù)器undoiphttpshutdown關(guān)閉HTTP服務(wù)器iphttpshutdown添加WEB用戶[H3C]local-useradmin[H3C-luser-admin]passwordsimpleadmin[H3C-luser-admin]service-typetelnet[H3C-luser-admin]level3開啟防范功能firewalldefendall 打開所有防范切換為中文模式 language-modechinese設(shè)置防火墻的名稱 sysnamesysname配置防火墻系統(tǒng) IP地址firewallsystem-ipsystem-ip-address[address-mask]設(shè)置標準時間 clockdatetimetimedate設(shè)置所在的時區(qū) clocktimezonetime-zone-name{add|minus}time取消時區(qū)設(shè)置 undoclocktimezone配置切換用戶級別的口令 superpassword[leveluser-level]{simple|cipher}password取消配置的口令 undosuperpassword[leveluser-level]缺缺省情況下，若不指定級別，則設(shè)置的為切換到

3級的密碼。切換用戶級別

super[level]直接重新啟動防火墻

reboot開啟信息中心

info-centerenable關(guān)閉信息中心 undoinfo-centerenableftpserverenable顯示下次啟動時加載的配置文件 displaysaved-configuration[by-linenum]顯示系統(tǒng)本次啟動及下次啟動使用的配置文件 displaystartup顯示當(dāng)前視圖的配置 displaythis顯示防火墻的當(dāng)前的運行配置displaycurrent-configuration[interfaceinterface-type[interface-number]|configuration[isp|zone|interzone|radius-template|system|user-interface]][by-linenum][|{begin|include|exclude}string]保存當(dāng)前配置save[file-name|safely]刪除

Flash

中保存的下次啟動時加載的配置文件

resetsaved-configuration配置防火墻工作在透明模式

firewallmodetransparentH3CSecPath

系列安全產(chǎn)品

操作手冊（安全）

第

8

章透明防火墻操作命令配置防火墻工作在路由模式

firewallmoderoute恢復(fù)防火墻的工作模式為缺省模式

undofirewallmode缺省情況下，防火墻工作在路由模式（

route

）下。啟動

ARP表項自動學(xué)習(xí)功能

firewallarp-learningenable禁止ARP表項自動學(xué)習(xí)功能 undofirewallarp-learningenable缺省情況下，當(dāng)防火墻工作在透明模式下時，防火墻啟動 ARP表項自動學(xué)習(xí)功能。配置VLANID透傳操作命令使能接口的 VLANID透傳功能bridgevlanid-transparent-transmitenable禁止接口的 VLANID透傳功能undobridgevlanid-transparent-transmitenable缺省情況下，禁止接口的 VLANID透傳功能。使能ARPFlood攻擊防范功能firewalldefendarp-flood[max-raterate-number]關(guān)閉ARPFlood攻擊防范功能undofirewalldefendarp-flood[max-rate]缺省為關(guān)閉ARPFlood攻擊防范功能。ARP報文的最大連接速率范圍為1～1,000,000，缺省為100。SecPath系列安全產(chǎn)品支持以 HTTP方式登錄到系統(tǒng)中，并通過 Web管理界面對系統(tǒng)進行配置和管理。在使用 Web界面登錄到系統(tǒng)前，必須先使能 HTTP服務(wù)器功能。請在系統(tǒng)視圖下進行下列配置。H3CSecPath系列安全產(chǎn)品 操作手冊（基礎(chǔ)配置） 第4章系統(tǒng)維護管理開啟/關(guān)閉

HTTP服務(wù)器開啟HTTP服務(wù)器undoiphttpshutdown關(guān)閉HTTP服務(wù)器iphttpshutdown缺省情況下，系統(tǒng)開啟 HTTP服務(wù)器。僅當(dāng)?shù)卿浻脩艟哂?Telnet 的服務(wù)類型時（ service-typetelnet服務(wù)器，且不同等級的用戶在 Web界面中的可配置項也會不同。配置HTTP服務(wù)器的訪問限制可以配置 HTTP服務(wù)器，使僅具有特定 IP地址的用戶才可以登錄設(shè)備進行配置和管理。請在系統(tǒng)視圖下進行下列配置。

），才允許登錄 HTTPHTTP服務(wù)器，對表4-18配置HTTP服務(wù)器的訪問限制操作命令配置HTTP服務(wù)器的訪問限制 iphttpaclacl-number取消對HTTP服務(wù)器的訪問限制 undoiphttpacl缺省情況下，未配置 HTTP服務(wù)器的訪問限制。僅ACL中允許的 IP地址才可以訪問 HTTP服務(wù)器。表3-10 顯示系統(tǒng)狀態(tài)信息操作 命令顯示系統(tǒng)版本信息 displayversion顯示詳細的軟件版本信息 vrbd顯示系統(tǒng)時鐘 displayclock顯示終端用戶 displayusers[all]顯示起始配置信息 displaysaved-configuration顯示當(dāng)前配置信息 displaycurrent-configuration顯示調(diào)試開關(guān)狀態(tài)displaydebugging[interfaceinterface-typeinterface-number][module-name]顯示當(dāng)前視圖的運行配置

displaythis顯示技術(shù)支持信息

displaydiagnostic-information顯示剪貼板的內(nèi)容

displayclipboardH3CSecPath

系列安全產(chǎn)品

操作手冊（基礎(chǔ)配置）

第

3

章

Comware

的基本配置操作 命令顯示當(dāng)前系統(tǒng)內(nèi)存使用情況

displaymemory[limit]顯示

CPU占用率的統(tǒng)計信息

displaycpu-usage[configuration|number[offset][verbose][from-device]]設(shè)置

CPU占用率統(tǒng)計的周期

cpu-usagecycle{5sec|1min|5min|72min}以圖形方式顯示 CPU占用率統(tǒng)計歷史信息displaycpu-usagehistory[tasktask-id]對插槽中的插卡進行拔出預(yù)處理

removeslotslot-id取消拔出預(yù)處理操作

undoremoveslotslot-id顯示設(shè)備和插卡的信息（任意視圖）

displaydevice[slot-id]配置防火墻網(wǎng)頁登陸配置防火墻缺省允許報文通過。<H3C>system-view[H3C]firewallpacket-filterdefaultpermit2. 為防火墻的以太網(wǎng)接口（以 GigabitEthernet0/0 為例）配置 IP地址，并將接口加入到安全區(qū)域。[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]quit[H3C]firewallzonetrust[H3C-zone-trust]addinterfaceGigabitEthernet0/0為PC配置IP地址。假設(shè)PC的IP地址為 。使用Ping命令驗證網(wǎng)絡(luò)連接性。Ping命令成功！添加登錄用戶為使用戶可以通過Web登錄，并且有權(quán)限對防火墻進行管理，必須為用戶添加登錄帳戶并且賦予其權(quán)限。例如：建立一個帳戶名和密碼都為admin，帳戶類型為telnet，權(quán)限等級為

3的管理員用戶。[H3C]local-useradmin[H3C-luser-admin]passwordsimpleadmin[H3C-luser-admin]service-typetelnet[H3C-luser-admin]level3在PC上啟動瀏覽器（建議使用

IE5.0

及以上版本），在地址欄中輸入

IP

地址“防火墻，單擊

”后回車，即可進入防火墻Web登錄頁面，使用之前創(chuàng)建的admin<Login>按鈕即可登錄。用戶可以通過“Language”下拉框選擇界面語言

帳戶登錄內(nèi)部主機通過域名區(qū)分并訪問對應(yīng)的內(nèi)部服務(wù)器組網(wǎng)應(yīng)用配置easyip（不用配地址池，直接通過接口地址做轉(zhuǎn)換）natoutboundacl-number2)DNSMAPnatdns-mapdomain-nameglobal-addrglobal-port[tcp|udp]實例：#在Ethernet0/0/0 接口上配置 FTP及WWW內(nèi)部服務(wù)器。[H3C]interfaceethernet0/0/0[H3C-Ethernet0/0/0]natoutbound2000wwwftp[H3C-Ethernet0/0/0]quit#配置訪問控制列表，允許 網(wǎng)段訪問 Internet 。[H3C]aclnumber2000[H3C-acl-basic-2000]rule1deny#配置ethernet1/0/0 。[H3C]interfaceethernet1/0/0加上如下配置后，內(nèi)部主機也可以通過域名 和 訪問其對應(yīng)的內(nèi)部服務(wù)器。配置域名與外部地址、端口號、協(xié)議類型之間的映射。此時外部主機可以通過域名 和 訪問其對應(yīng)的內(nèi)部服務(wù)器H3CSecPath“F”系列防火墻基本配置SECPATH“F”系列基本出外網(wǎng)典型配置：內(nèi)網(wǎng)------------(e0/0)-Secpath100F-(e1/0)------------internetsysSystemView:returntoUserViewwithCtrl+Z.[Quidway]inte0/0[Quidway-Ethernet0/0]inte1/0[Quidway]firezoneuntrust[Quidway-zone-untrust]addinte1/0[Quidway-zone-untrust]firezonetrust[Quidway-zone-trust]addinte0/0[Quidway-zone-trust]quit[Quidway]aclnum2000[Quidway-acl-basic-2000]ruledeny[Quidway]inte1/0[Quidway-Ethernet1/0]natoutbound2000內(nèi)網(wǎng)------------(g0/0)-Secpath1000F-(g0/1)------------internetsysSystemView:returntoUserViewwithCtrl+Z.[Quidway]intg0/0[Quidway-GigabitEthernet0/0]intg0/1[Quidway]firezoneuntrust[Quidway-zone-untrust]addintg0/1[Quidway-zone-untrust]firezonetrust[Quidway-zone-trust]addintg0/0[Quidway-zone-trust]quit[Quidway]aclnum2000[Quidway-acl-basic-2000]ruledeny[Quidway]intg0/1[Quidway-GigabitEthernet0/1]natoutbound2000內(nèi)網(wǎng)------------(e0/0)-Secpath100F-(e0/1)-----ADSLMODEM-------internetsysS