H3C-SecPath-F100系列防火墙配置教程

H3C-SecPath-F100系列防火墙配置教程H3CSecPathF100系列防火墙配置教程初始化配置〈H3C〉system-view

开启防火墙功效

[H3C]firewallpacket-filterenable

[H3C]firewallpacket-filterdefaultpermit

分配端口区域

[H3C]firewallzoneuntrust

[H3C-zone-trust]addinterfaceGigabitEthernet0/0

[H3C]firewallzonetrust

[H3C-zone-trust]addinterfaceGigabitEthernet0/1

工作模式

firewallmodetransparent透明传输

firewallmoderoute路由模式

http服务器

使能HTTP服务器undoiphttpshutdown

关闭HTTP服务器iphttpshutdown

添加WEB用户

[H3C]local-useradmin

[H3C-luser-admin]passwordsimpleadmin

[H3C-luser-admin]service-typetelnet

[H3C-luser-admin]level3

开启防范功效

firewalldefendall打开全部防范切换为汉字模式language-modechinese

设置防火墙名称sysnamesysname

配置防火墙系统IP地址firewallsystem-ipsystem-ip-address[address-mask]

设置标按时间clockdatetimetimedate

设置所在时区clocktimezonetime-zone-name{add|minus}time

取消时区设置undoclocktimezone

配置切换用户级别口令superpassword[leveluser-level]{simple|cipher}

password

取消配置口令undosuperpassword[leveluser-level]

缺缺省情况下，若不指定级别，则设置为切换到3级密码。

切换用户级别super[level]

直接重新开启防火墙reboot

开启信息中心info-centerenable

关闭信息中心undoinfo-centerenable

ftpserverenable

显示下次开启时加载配置文件displaysaved-configuration[by-linenum]

显示系统此次开启及下次开启使用

配置文件displaystartup

显示当前视图配置displaythis

显示防火墙当前运行配置

displaycurrent-configuration[interfaceinterface-type[interface-number]|configuration[isp|zone|interzone|radius-template|system|user-interface]][by-linenum][|{begin|include|exclude}string]

保留当前配置save[file-name|safely]

删除Flash中保留下次开启时加载配置文件resetsaved-configuration

配置防火墙工作在透明模式firewallmodetransparent

H3CSecPath系列安全产品操作手册（安全）第8章透明防火墙操作命令

配置防火墙工作在路由模式firewallmoderoute

恢复防火墙工作模式为缺省模式undofirewallmode

缺省情况下，防火墙工作在路由模式（route）下。

开启ARP表项自动学习功效firewallarp-learningenable

禁止ARP表项自动学习功效undofirewallarp-learningenable

缺省情况下，当防火墙工作在透明模式下时，防火墙开启ARP表项自动学习功效。

配置VLANID透传操作命令

使能接口VLANID透传功效bridgevlanid-transparent-transmitenable

禁止接口VLANID透传功效undobridgevlanid-transparent-transmitenable

缺省情况下，禁止接口VLANID透传功效。使能ARPFlood攻击防范功效firewalldefendarp-flood[max-rate

rate-number]

关闭ARPFlood攻击防范功效undofirewalldefendarp-flood[max-rate]

缺省为关闭ARPFlood攻击防范功效。ARP报文最大连接速率范围为1～

1,000,000，缺省为100。

SecPath系列安全产品支持以HTTP方式登录到系统中，并经过Web管理界面对系

统进行配置和管理。在使用Web界面登录到系统前，必须先使能HTTP服务器功效。

请在系统视图下进行以下配置。

H3CSecPath系列安全产品操作手册（基础配置）第4章系统维护管理开启/关闭HTTP服务器

开启HTTP服务器undoiphttpshutdown

关闭HTTP服务器iphttpshutdown

缺省情况下，系统开启HTTP服务器。

仅当登录用户具备Telnet服务类型时（service-typetelnet），才允许登录HTTP

服务器，且不一样等级用户在Web界面中可配置项也会不一样。

配置HTTP服务器访问限制

能够配置HTTP服务器，使仅具备特定IP地址用户才能够登录HTTP服务器，对

设备进行配置和管理。

请在系统视图下进行以下配置。

表4-18配置HTTP服务器访问限制

操作命令

配置HTTP服务器访问限制iphttpaclacl-number

取消对HTTP服务器访问限制undoiphttpacl

缺省情况下，未配置HTTP服务器访问限制。

仅ACL中允许IP地址才能够访问HTTP服务器。表3-10显示系统状态信息

操作命令

显示系统版本信息displayversion

显示详细软件版本信息vrbd

显示系统时钟displayclock

显示终端用户displayusers[all]

显示起始配置信息displaysaved-configuration

显示当前配置信息displaycurrent-configuration

显示调试开关状态displaydebugging[interfaceinterface-type

interface-number][module-name]

显示当前视图运行配置displaythis

显示技术支持信息displaydiagnostic-information

显示剪贴板内容displayclipboard

H3CSecPath系列安全产品操作手册（基础配置）第3章Comware基本配置

操作命令

显示当前系统内存使用情况displaymemory[limit]

显示CPU占用率统计信息displaycpu-usage[configuration|number[offset][verbose][from-device]]

设置CPU占用率统计周期cpu-usagecycle{5sec|1min|5min|72min}

以图形方式显示CPU占用率统计历史

信息displaycpu-usagehistory[tasktask-id]对插槽中插卡进行拔出预处理removeslotslot-id

取消拔出预处理操作undoremoveslotslot-id

显示设备和插卡信息（任意视图）displaydevice[slot-id]配置防火墙网页登陆

1.配置防火墙缺省允许报文经过。

<H3C>system-view

[H3C]firewallpacket-filterdefaultpermit2.为防火墙以太网接口（以GigabitEthernet0/0为例）配置IP地址，并将接口加入到安全区域。

[H3C]interfaceGigabitEthernet0/0

[H3C-GigabitEthernet0/0]ipaddress

[H3C-GigabitEthernet0/0]quit

[H3C]firewallzonetrust

[H3C-zone-trust]addinterfaceGigabitEthernet0/0

3.为PC配置IP地址。

假设PCIP地址为。

4.使用Ping命令验证网络连接性。

<H3C>ping

Ping命令成功！5.添加登录用户

为使用户能够经过Web登录，而且有权限对防火墙进行管理，必须为用户添加登录帐户而且赋予其权限。比如：建立一个帐户名和密码都为admin，帐户类型为telnet，权限等级为3管理员用户。

[H3C]local-useradmin

[H3C-luser-admin]passwordsimpleadmin

[H3C-luser-admin]service-typetelnet

[H3C-luser-admin]level3在PC上开启浏览器（提议使用IE5.0及以上版本），在地址栏中输入IP地址“”后回车，即可进入防火墙Web登录页面，使用之前创建admin帐户登录防火墙，单击<Login>按钮即可登录。用户能够经过“Language”下拉框选择界面语言

内部主机经过域名区分并访问对应内部服务器组网应用

1)配置easyip（不用配地址池，直接经过接口地址做转换）

natoutboundacl-number

2)DNSMAP

natdns-mapdomain-nameglobal-addr

global-port[tcp|udp]实例：#在Ethernet0/0/0接口上配置FTP及WWW内部服务器。

[H3C]interfaceethernet0/0/0

[H3C-Ethernet0/0/0]ipaddress

[H3C-Ethernet0/0/0]natoutbound

[H3C-Ethernet0/0/0]natserverprotocoltcpglobalwwwinside

www

[H3C-Ethernet0/0/0]natserverprotocoltcpglobalftpinside

ftp

[H3C-Ethernet0/0/0]quit#配置访问控制列表，允许/8网段访问Internet。

[H3C]aclnumber

[H3C-acl-basic-]rule0permitsource55

[H3C-acl-basic-]rule1deny

#配置ethernet1/0/0。

[H3C]interfaceethernet1/0/0

[H3C-Ethernet1/0/0]ipaddress

加上以下配置后，内部主机也能够经过域名[url].com[/url]和访问其对应

内部服务器。

#配置域名与外部地址、端口号、协议类型之间映射。

[H3C]natdns-map[url].com[/url]80tcp

[H3C]natdns-map21tcp此时外部主机能够经过域名[url].com[/url]和访问其对应内部服务器

H3CSecPath“F”系列防火墙基本配置SECPATH“F”系列基本出外网经典配置：

内网------------(e0/0)-Secpath100F-(e1/0)------------internet

/2494/24

sys

SystemView:returntoUserViewwithCtrl+Z.

[Quidway]inte0/0

[Quidway-Ethernet0/0]ipadd

[Quidway-Ethernet0/0]inte1/0

[Quidway-Ethernet1/0]ipadd94

[Quidway]firezoneuntrust

[Quidway-zone-untrust]addinte1/0

[Quidway-zone-untrust]firezonetrust

[Quidway-zone-trust]addinte0/0

[Quidway-zone-trust]quit

[Quidway]aclnum

[Quidway-acl-basic-]rulepersource55

[Quidway-acl-basic-]ruledeny

[Quidway]inte1/0

[Quidway-Ethernet1/0]natoutbound

[Quidway]iproute-static93preference60

内网------------(g0/0)-Secpath1000F-(g0/1)------------internet

/2494/24

sys

SystemView:returntoUserViewwithCtrl+Z.

[Quidway]intg0/0

[Quidway-GigabitEthernet0/0]ipadd

[Quidway-GigabitEthernet0/0]intg0/1

[Quidway-GigabitEthernet0/1]ipadd94

[Quidway]firezoneuntrust

[Quidway-zone-untrust]addintg0/1

[Quidway-zone-untrust]firezonetrust

[Quidway-zone-trust]addintg0/0

[Quidway-zone-trust]quit

[Quidway]aclnum

[Quidway-acl-basic-]rulepersource55

[Quidway-acl-basic-]ruledeny

[Quidway]intg0/1

[Quidway-GigabitEthernet0/1]natoutbound

[Quidway]iproute-static93preference60

内网------------(e0/0)-Secpath100F-(e0/1)-----ADSLMODEM-------internet

/24

sys

SystemView:returntoUserViewwithCtrl+Z.

[Quidway]inte0/0

[Quidway-Ethernet0/0]ipadd

[Quidway-Ethernet0/0]quit

[Quidway]firezoneuntrust

[Quidway-zone-untrust]addinte0/1

[Quidway-zone-untrus