防火墙WEB配置.doc

防火墙Web界面配置1. 路由模式下的防火墙配置(1) 为使防火墙可以与其它网络设备互通，必须先将相应接口加入到某一安全区域中，且将缺省的过滤行为设置为允许，并为接口（以GigabitEthernet0/0为例）配置IP地址。H3C firewall zone trustH3C-zone-trust add interface GigabitEthernet0/0H3C-zone-trust quitH3C firewall packet-filter default permitH3C interface GigabitEthernet0/0H3C-GigabitEthernet0/0 ip address (2) 为PC配置IP地址。假设PC的IP地址为。(3) 使用Ping命令验证网络连接性。 ping PING : 56 data bytes, press CTRL_C to breakReply from : bytes=56 Sequence=1 ttl=128 time=30 msReply from : bytes=56 Sequence=2 ttl=128 time=10 msReply from : bytes=56 Sequence=3 ttl=128 time=10 msReply from : bytes=56 Sequence=4 ttl=128 time=10 msReply from : bytes=56 Sequence=5 ttl=128 time=10 ms- ping statistics -5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 10/14/30 ms登录防火墙Ping命令成功！2. 透明模式下的防火墙配置当防火墙工作在透明模式下时，其所有接口都将工作在第二层，即不能为接口配置IP地址。这样，用户若要对防火墙进行Web管理，需在透明模式下为防火墙配置一个系统IP地址（System IP）。用户可以通过此地址对防火墙进行Web管理。(1) 配置防火墙工作在透明模式。H3C firewall mode transparent (2) 为防火墙配置系统IP地址。H3C firewall system-ip Set system ip address successfully.说明：当防火墙切换到透明模式时，系统为防火墙分配了一个缺省系统IP地址/8，可以使用上述命令更改系统IP地址。(3) 将连接PC的接口加入到安全区域中，且将缺省的过滤行为设置为允许。假设防火墙连接PC的接口为GigabitEthernet0/0。H3C firewall zone trustH3C-zone-trust add interface GigabitEthernet0/0H3C-zone-trust quitH3C firewall packet-filter default permit(4) 为PC配置IP地址。假设PC的IP地址为。(5) 使用Ping命令验证网络连接性。 ping PING : 56 data bytes, press CTRL_C to breakReply from : bytes=56 Sequence=1 ttl=128 time=30 msReply from : bytes=56 Sequence=2 ttl=128 time=10 msReply from : bytes=56 Sequence=3 ttl=128 time=10 msround-trip min/avg/max = 10/14/30 msPing命令成功！2.1.3 添加登录用户为使用户可以通过Web登录，并且有权限对防火墙进行管理，必须为管理员添加登录帐户并且赋予其权限。例如：建立一个用户名和密码都为admin，帐户类型为telnet，权限等级为3的管理员用户。H3C local-user adminH3C-luser-admin password simple adminH3C-luser-admin service-type telnetH3C-luser-admin level 32.2 登录防火墙在PC上启动浏览器（至少使用IE6.0或更高版本），在地址栏中输入IP地址“”，回车后，即可进入防火墙Web登录页面，使用admin帐户登录防火墙，单击按钮即可登录。SecPath系列安全产品支持以HTTP方式登录到系统中，并通过Web管理界面对系统进行配置和管理。在使用Web界面登录到系统前，必须先使能HTTP服务器功能。请在系统视图下进行下列配置。使能/关闭HTTP服务器使能HTTP服务器undo ip http shutdown关闭HTTP服务器ip http shutdown缺省情况下，系统使能HTTP服务器。仅当登录用户具有Telnet的服务类型时（service-type telnet），才允许登录HTTP服务器，且不同等级的用户在Web界面中的可配置项也会不同。4.3.2配置HTTP服务器的访问限制可以配置HTTP服务器，使仅具有特定IP地址的用户才可以登录HTTP服务器，对设备进行配置和管理。请