H3CSecPathF100系列防火墙配置教程

H3CSecPathF100系列防火墙配置教程初始化配置〈H3C>system-view开启防火墙功能[H3C]firewallpacket-filterenable[H3C]firewallpacket-filterdefaultpermit分配端口区域[H3C]firewallzoneuntrust[H3C-zone-trust]addinterfaceGigabitEthernetO/O[H3C]firewallzonetrust[H3C-zone-trust]addinterfaceGigabitEthernet0/1工作模式firewallmodetransparent 透明传输firewallmoderoute路由模式http服务器使能HTTP服务器undoiphttpshutdown关闭HTTP服务器iphttpshutdown添加WEB用户[H3C]local-useradmin[H3C-luser-admin]passwordsimpleadmin[H3C-luser-admin]service-typetelnet[H3C-luser-admin]level3开启防范功能firewalldefendall 打开所有防范切换为中文模式 Ianguage-modechinese设置防火墙的名称 sysnamesysname配己置防火墙系统IP地址firewallsystem-ipsystem-ip-address[address-mask]设置标准时间 clockdatetimetimedate设置所在的时区 clocktimezonetime-zone-name{add|minus}time取消时区设置 undoclocktimezone配置切换用户级别的口令 superpassword[leveluser-level]{simple|cipher}password取消配置的口令 undosuperpassword[leveluser-level]缺缺省情况下，若不指定级别，则设置的为切换到 3级的密码。切换用户级别super[level]直接重新启动防火墙 reboot开启信息中心 info-centerenable关闭信息中心 undoinfo-centerenableftpserverenable显示下次启动时加载的配置文件 displaysaved-configuration[by-linenum]显示系统本次启动及下次启动使用的配置文件displaystartup显示当前视图的配置 displaythis显示防火墙的当前的运行配置displaycurrent-configuration[interfaceinterface-type[interface-number]|configuration[isp|zone|interzone|radius-template|system|user-interface]][by-linenum][|{begin|include|exclude}string]保存当前配置save[file-name|safely]删除Flash中保存的下次启动时加载的配置文件 resetsaved-configuration配置防火墙工作在透明模式 firewallmodetransparentH3CSecPath系列安全产品 操作手册（安全） 第8章透明防火墙操作命令配置防火墙工作在路由模式 firewallmoderoute恢复防火墙的工作模式为缺省模式 undofirewallmode缺省情况下，防火墙工作在路由模式（route）下。启动ARP表项自动学习功能firewallarp-learningenable禁止ARP表项自动学习功能undofirewallarp-learningenable缺省情况下，当防火墙工作在透明模式下时，防火墙启动 ARP表项自动学习功能。配置VLANID透传操作命令使能接口的VLANID透传功能bridgevlanid-transparent-transmitenable禁止接口的VLANID透传功能undobridgevlanid-transparent-transmitenable缺省情况下，禁止接口的 VLANID透传功能。使能ARPFlood攻击防范功能firewalldefendarp-flood[max-raterate-numbe门关闭ARPFlood攻击防范功能undofirewalldefendarp-flood[max-rate]缺省为关闭ARPFlood攻击防范功能。ARP报文的最大连接速率范围为 11,000,000,缺省为100。SecPath系列安全产品支持以HTTP方式登录到系统中，并通过Web管理界面对系统进行配置和管理。在使用 Web界面登录到系统前，必须先使能 HTTP服务器功能。请在系统视图下进行下列配置。H3CSecPath系列安全产品操作手册(基础配置) 第4章系统维护管理开启/关闭HTTP服务器开启HTTP服务器undoiphttpshutdown关闭HTTP服务器iphttpshutdown缺省情况下，系统开启 HTTP服务器。仅当登录用户具有Telnet的服务类型时(service-typetelnet)，才允许登录HTTP服务器，且不同等级的用户在 Web界面中的可配置项也会不同。配置HTTP服务器的访问限制可以配置HTTP服务器，使仅具有特定 IP地址的用户才可以登录 HTTP服务器，对设备进行配置和管理。请在系统视图下进行下列配置。表4-18配置HTTP服务器的访问限制操作命令配置HTTP服务器的访问限制 iphttpaclacl-number取消对HTTP服务器的访问限制 undoiphttpacl缺省情况下，未配置HTTP服务器的访问限制。仅ACL中允许的IP地址才可以访问HTTP服务器。表3-10显示系统状态信息操作命令显示系统版本信息 displayversion显示详细的软件版本信息 vrbd显示系统时钟 displayclock显示终端用户 displayusers[all]显示起始配置信息displaysaved-configuration显示当前配置信息displaycurrent-configuration显示调试开关状态displaydebugging[interfaceinterface-typeinterface-numbej[module-name]显示当前视图的运行配置 displaythis显示技术支持信息displaydiagnostic-information显示剪贴板的内容displayclipboardH3CSecPath系列安全产品操作手册（基础配置） 第3章Comware的基本配置操作命令显示当前系统内存使用情况 displaymemory[limit]显示CPU占用率的统计信息 displaycpu-usage[configuration|number[offset][verbose][from-device]]设置CPU占用率统计的周期 cpu-usagecycle{5sec|1min|5min|72min}以图形方式显示CPU占用率统计历史信息displaycpu-usagehistory[tasktask-id]对插槽中的插卡进行拔出预处理 removeslotslot-id取消拔出预处理操作 undoremoveslotslot-id显示设备和插卡的信息（任意视图） displaydevice[slot-id]配置防火墙网页登陆配置防火墙缺省允许报文通过。<H3C>system-view[H3C]firewallpacket-filterdefaultpermit为防火墙的以太网接口（以GigabitEthernetO/O为例）配置IP地址，并将接口加入到安全区域。[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]ipaddress[H3C-GigabitEthernet0/0]quit[H3C]firewallzonetrust[H3C-zone-trust]addinterfaceGigabitEthernet0/0为PC配置IP地址。假设PC的IP地址为。使用Ping命令验证网络连接性。<H3C>pingPing命令成功！添加登录用户为使用户可以通过Web登录，并且有权限对防火墙进行管理，必须为用户添加登录帐户并且赋予其权限。例如：建立一个帐户名和密码都为 admin，帐户类型为telnet，权限等级为3的管理员用户。[H3C]local-useradmin[H3C-luser-admin]passwordsimpleadmin[H3C-luser-admin]service-typetelnet[H3C-luser-admin]level3在PC上启动浏览器（建议使用IE5.0及以上版本），在地址栏中输入 IP地址“”后回车，即可进入防火墙Web登录页面，使用之前创建的 admin帐户登录防火墙，单击<Login>按钮即可登录。用户可以通过 "Language”下拉框选择界面语言内部主机通过域名区分并访问对应的内部服务器组网应用1） 配置easyip（不用配地址池，直接通过接口地址做转换）natoutboundacl-number2） DNSMAPnatdns-mapdomain-nameglobal-addrglobal-port[tcp|udp]实例：#在Ethernet0/0/0接口上配置FTP及WWW内部服务器。[H3C]interfaceethernet0/0/0[H3C-Ethernet0/0/0]ipaddress[H3C-Ethernet0/0/0]natoutbound2000[H3C-Ethernet0/0/0]natserverprotocoltcpglobal inside[H3C-Ethernet0/0/0]natserverprotocoltcpglobalftpinsideftp[H3C-Ethernet0/0/0]quit#配置访问控制列表，允许/8网段访问Internet。[H3C]aclnumber2000[H3C-acl-basic-2000]rule0permitsource55[H3C-acl-basic-2000]rule1deny#配置ethernet1/0/0。[H3C]interfaceethernet1/0/0[H3C-Ethernet1/0/0]ipaddress加上如下配置后，内部主机也可以通过域名 [url].zc.[/url]和ftp.zc.访问其对应的内部服务器。#配置域名与外部地址、端口号、协议类型之间的映射。[H3C]natdns-map[url].zc.[/url]80tcp[H3C]natdns-mapftp.zc.21tcp此时外部主机可以通过域名 [url].zc.[/url]和ftp.zc.访问其对应的内部服务器H3CSecPath“F”系列防火墙基本配置SECPATHF”系列基本出外网典型配置：内网 (e0/0)-Secpath100F-(e1/0) internet/2494/24sysSystemView:returntoUserViewwithCtrl+Z.[Quidway]inteO/O[Quidway-EthernetO/O]inte1/0[Quidway-Ethernet1/0]ipadd94[Quidway]firezoneuntrust[Quidway-zone-untrust]addinte1/0[Quidway-zone-untrust]firezonetrust[Quidway-zone-trust]addinte0/0[Quidway-zone-trust]quit[Quidway]aclnum2000[Quidway-acl-basic-2000]rulepersource55[Quidway-acl-basic-2000]ruledeny[Quidway]inte1/0[Quidway-Ethernet1/0]natoutbound2000[Quidway]iproute-static93preference60内网 (g0/0)-Secpath1000F-(g0/1) internet/2494/24sysSystemView:returntoUserViewwithCtrl+Z.[Quidway]intg0/0[Quidway-GigabitEthernet0/0]ipadd[Quidway-GigabitEthernet0/0]intg0/1[Quidway]firezoneuntrust[Quidway-zone-untrust]addintg0/1[Quidway-zone-untrust]firezonetrust[Quidway-zone-trust]addintg0/0[Quidway-zone-trust]quit[Quidway]aclnum2000[Quidway-acl-basic-2000]rulepersource55[Quidway-acl-basic-2000]ruledeny[Quidway]intg0/1[Quidway-GigabitEthernet0/1]natoutbound2000[Quidway]iproute-static93preference60内网 (e0/0)-Secpath100F-(e0/1)-----ADSLMODEM internet/24sysSystemView:returntoUserViewwithCtrl+Z.[Quidway]inte0/0[Quidway-Ethernet0/0]ipadd[Quidway-Ethernet0/0]quit[Quidway]firezoneuntrust[Quidway-zone-untrust]a