h3c防火墙u200-A 配置实例

合集下载

h3cfirewall配置实例

防火墙作为出口网关，联通光纤、电信光纤、电信ADSL出口，防火墙接H3C二层交换机，H3C二层交换机接内网服务器和下面的二层交换机（内网用户都接这里）。

由于客户是静态设置地址，所以这里是没有DHCP配置的。

一、上网设置：#域配置zone name Management id 0priority 100import interface GigabitEthernet0/0zone name Local id 1priority 100zone name Trust id 2priority 85import interface GigabitEthernet0/2zone name DMZ id 3priority 50zone name Untrust id 4priority 5import interface Dialer1import interface GigabitEthernet0/3 import interface GigabitEthernet0/4 import interface GigabitEthernet0/5 #内网网关interface GigabitEthernet0/2ip addressport link-mode routenat outbound 3090#电信出口interface GigabitEthernet0/3port link-mode routeip address xxnat outbound 2000 address-group 1 #联通出口interface GigabitEthernet0/4port link-mode routeip addressnat outbound 2000 address-group 2 #PPPOE电信ADSLinterface GigabitEthernet0/5port link-mode routepppoe-client dial-bundle-number 1 #设定拨号访问组的拨号控制列表dialer-rule 1 ip permit#PPPOE配置interface Dialer1nat outbound 2000link-protocol pppppp chap userppp chap password cipher$c$3$cft8cT2sYcO4XYUDKRgfw0R0HOSTSDh69HbN ppp pap local-user password cipher$c$3$mXUOjqFP3BKfa52muz92y7JBlMMsjjNzxGVL ppp ipcp dns requestip address ppp-negotiatedialer user pppoeclientdialer-group 1dialer bundle 1#DNS服务器dns resolvedns proxy enabledns serverdns server#NAT动态地址池nat address-group 1 xx level 1nat address-group 2 level 1#NAT使用的ACLacl number 2000rule 0 permit source#出口路由ip route-static Dialer1ip route-staticip route-static preference 100二、策略路由#策略路由使用的ACLacl number 3088 //匹配内部服务器地址rule 0 permit ip source 0rule 1 permit ip source 0rule 2 permit ip source 0rule 3 permit ip source 0rule 4 permit ip source 0rule 101 deny ipacl number 3089 //匹配内网用户地址段rule 0 permit ip sourcerule 101 deny ip#新建策略路由policy-based-route wan permit node 10if-match acl 3088apply ip-address next-hop //服务器走电信出口policy-based-route wan permit node 11if-match acl 3089apply ip-address next-hop //内网用户走联通出口#策略路由的应用interface GigabitEthernet0/2ip policy-based-route wan三、外网访问内部服务器NATinterface GigabitEthernet0/3nat server protocol tcp global xx 5872 inside 5872nat server protocol tcp global xx 81 inside 81nat server protocol tcp global xx 89 inside 89nat server protocol tcp global xx 5366 inside 5366nat server 1 protocol tcp global current-interface 8081 inside 8081nat server protocol tcp global xx 8088 inside 8088ip address xx#interface GigabitEthernet0/4nat server protocol tcp global 8088 inside 8088nat server protocol tcp global 81 inside 81nat server protocol tcp global 5872 inside 5872nat server 1 protocol tcp global current-interface 89 inside 89 nat server 2 protocol tcp global current-interface 5366 inside 5366nat server 3 protocol tcp global current-interface 8081 inside 8081#允许Untrust区域访问内网服务器地址组地址interzone source Untrust destination Trustrule 0 permitsource-ip any_addressdestination-ip server_groupservice any_servicerule enable四、内网用户通过公网地址访问内部服务器NAT#公网地址访问内网服务器NAT使用的ACLacl number 3090rule 0 permit ip source destination 0 rule 1 permit ip source destination 0 rule 2 permit ip source destination 0 rule 3 permit ip source destination 0 rule 4 permit ip source destination 0 acl number 3091rule 0 permit ip source destination 0 rule 1 permit ip source destination 0 rule 2 permit ip source destination 0 rule 3 permit ip source destination 0 rule 4 permit ip source destination 0 rule 5 permit ip source 0 destination rule 6 permit ip source 0 destinationrule 7 permit ip source 0 destinationrule 8 permit ip source 0 destinationrule 9 permit ip source 0 destinationinterface GigabitEthernet0/2nat outbound 3090nat server protocol tcp global xx 8088 inside 8088nat server protocol tcp global 8088 inside 8088nat server protocol tcp global 81 inside 81nat server protocol tcp global xx 81 inside 81#匹配源地址为内网服务器目的地址为内网用户地址的数据包不作下一跳修改policy-based-route wan deny node 9if-match acl 3091五、IPSec VPN#IPSec匹配流量acl number 3501rule 0 permit ip source destination acl number 3502rule 0 permit ip source destination #IKE本端名称ike local-name f100#健康检测ike dpd to_fg100_dpdtime-out 3#第一阶段ike提议ike proposal 1encryption-algorithm 3des-cbcdh group2authentication-algorithm md5#ike proposal 2encryption-algorithm 3des-cbcdh group2#第一阶段 IKE对等体预共享密钥野蛮模式ike peer to_fg100_peerexchange-mode aggressivepre-shared-key cipher$c$3$UqO8Is+AdX579TINNmJkYll+lArkiRBOjfzzAg== id-type nameremote-name fg100nat traversaldpd to_fg100_dpd#第二阶段IPSec安全提议ipsec transform-set to_fg100_propencapsulation-mode tunneltransform espesp authentication-algorithm md5esp encryption-algorithm 3des#第二阶段IPSec模板ipsec policy-template to_fg100_temp 1security acl 3502ike-peer to_fg100_peertransform-set to_fg100_propsa duration traffic-based 1843200sa duration time-based 3600#创建一个policyipsec policy to_fg100_poli 1 isakmp template to_fg100_temp #把policy挂在G0/3上interface GigabitEthernet0/3ipsec policy to_fg100_poli 六、SSL VPN#SSL使用的PKI证书pki entity sslcommon-name ssl#pki domain defaultcrl check disable#pki domain domainca identifier domain certificate request from ra crl check disable#SSL VPN配置ssl server-policy defaultpki-domain defaultssl server-policy access-policypki-domain domainssl server-policy h3cpki-domain h3cssl server-policy sslvpnpki-domain domain#开启SSL VPNssl-vpn server-policy access-policy ssl-vpn enable七、其他设置#管理口interface GigabitEthernet0/0port link-mode routeip address#开启telnettelnet server enable#web管理页面超时web idle-timeout 50#时间表time-range office 07:00 to 19:00 daily#配置TFTP客户端的源地址（从PC导入ssl vpn证书）tftp client source interface GigabitEthernet0/0八、默认设置version , Release 5140#sysname H3C#ftp server enable#undo voice vlan mac-address 00e0-bb00-0000#vd Root id 1##本地用户local-user adminpassword cipher $c$3$oGb5I9jYxOTH14goQ9eyldWLEVvfRG8M authorization-attribute level 3service-type telnetservice-type web#允许来宾用户管理员在Web页面上创建的来宾用户加入该用户组user-group systemgroup-attribute allow-guest#interface NULL0#vlan 1#qos policy 11qos policy 1#取消指定协议的ALG功能undo alg dnsundo alg rtspundo alg h323undo alg sipundo alg sqlnetundo alg pptpundo alg ilsundo alg nbtundo alg msnundo alg qqundo alg tftpundo alg sccpundo alg gtp#命令用来使能会话双机热备功能session synchronization enable #使能密码恢复功能（默认使能）password-recovery enable#控制vty接口的登陆认证方式user-interface con 0user-interface vty 0 4 authentication-mode scheme##默认的Radius配置domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#interface GigabitEthernet0/1 port link-mode route#默认域开启，名称是“system”；domain default enable system#load xml-configuration#load tr069-configuration。

h3c路由器防火墙怎么样设置

h3c路由器防火墙怎么样设置h3c路由器防火墙设置一：打开ie浏览器，在ie地址栏中输入192.168.0.1(不同品牌路由器可能登录的网关地址会有不同比如有的是192.168.1.1的网关，路由器底面的贴条上一般都注明，包括用户名和密码)。

，然后回车，出来一个用户名密码的登录小页面，初始用户名和密码默认都是admin，输入之后，点”确定“进入路由器设置界面。

在路由器设置界面左面菜单栏里有一项“快速设置”选项，点击该项，然后出来一个页面让选择上网方式(若联通或者电信，给的是账号密码就选择pppoe方式，若给的是一组ip地址，选择静态ip方式，静态ip方式下，填写上网宽带信息的时候，记得填上当地的dns)。

然后点击下一步，填写无线网账号和密码，点击保存，在路由器菜单栏最下面“系统工具”中有“重启路由器”选项，点击重启后就可以上网了。

h3c路由器防火墙设置二：内部电脑，是通过防火墙的端口进行nat转换上网的。

端口是可以全堵上，但是，你会发现好多东西用不了了。

上网行为我知道的有百络网警，但是用硬件比较好。

管理也方便。

如果人数多。

最好是架设一台专门的服务器，用域控来管理，再装上isa 的代理防火墙。

控制效果好。

硬件上网行为管理有多。

h3c路由器防火墙设置三：初始化配置〈h3c〉system-view开启防火墙功能，并默认允许所有数据包通过[h3c]firewall packet-filter enable[h3c]firewall packet-filter default permit分配端口区域(untrust外网，trust内网;端口号请参照实际情况)[h3c] firewall zone untrust[h3c-zone-untrust] add interface ethernet0/0[h3c] firewall zone trust[h3c-zone-trust] add interface ethernet0/1工作模式，默认为路由模式[h3c] firewall mode route开启所有防范功能[h3c] firewall defend all配置内网lan口ip(内网ip地址请参考实际情况)[h3c] interface ethernet0/1[h3c-interface] ip address 192.168.1.1 255.255.255.0 配置外网ip(也就是电信给你们的ip和子网掩码)[h3c] interface ethernet0/0[h3c-interface] ip address x.x.x.x x.x.x.x.x配置nat地址池(填写电信给你们的ip地址，填写两次)[h3c]nat address-group 1 x.x.x.x x.x.x.x.x配置默认路由(出外网的路由,字母代表的是电信分配你们的外网网关地址，不知道就问电信)[h3c]ip route-static 0.0.0.0 0.0.0.0 y.y.y.y preference 60配置访问控制列表(上网必须配置)[h3c]acl number 2001[h3c-acl]rule 1 permit source 192.168.1.0 0.0.0.255 应用访问控制列表到端口，并开启nat上网功能[h3c]interface ethernet1/0[h3c-interface]nat outbound 2001 address-group 1配置dhcp[h3c] dhcp enable[h3c-dhcp] dhcp server ip-pool 0[h3c-dhcp] network 192.1681.0 mask 255.255.255.0[h3c-dhcp] gateway-list 192.168.1.1[h3c-dhcp] dns-list x.x.x.x(配置你们这里的dns服务器地址)其它配置：允许网页配置[h3c] undo ip http shutdown添加web用户[h3c] local-user admin[h3c-luser-admin] password simple admin[h3c-luser-admin] service-type telnet[h3c-luser-admin] level 3配置telnet远程登录[h3c-vty] user-interface vty 0 4[h3c-vty] authentication-mode schem/password[h3c-vty] user privilage 3完成某项配置之后要回到[h3c] 提示符下面请按q再回车看了“h3c路由器防火墙怎么样设置”文章的。

H3C防火墙典型配置举例

SecBlade防火墙插卡配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对SecBlade防火墙插卡进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (3)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (4)4.5 验证结果 (6)4.5.1 配置保存 (6)4.5.2 配置备份 (7)4.5.3 配置恢复 (7)4.5.4 恢复出厂配置 (7)4.5.5 软件升级 (7)4.5.6 设备重启 (7)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是Secblade II防火墙插卡。

本典型配置举例同样适合Secblade LB插卡。

图1配置管理组网图4.2 配置思路GE0/1所在的局域网（内网）接口配置地址为192.168.252.98/22，加入ManageMent域，使GE0/1成为管理口。

h3c web防火墙怎么样设置

h3c web防火墙怎么样设置h3c web防火墙一：还要开启aspf，并应用于出接口，具体操作如下：防火墙管理----aspf----创建一个aspf策略1，勾选http，如下图，应用：进’接口策略”，按下图配置：再访问禁了的网站就打不开了。

h3c web防火墙二：商务最低：u200-a 自带6个千兆电口，两个扩展插槽;再配一个2光口的插槽，完全满足标书要求。

由于业界所有厂商的防火墙在官网都没有软件参数，所以如果不是自己运作的项目，要去冲标的话像吞吐量和并发连接数之类的东西可以不用考虑，所有的网安产品只需要考虑接口数就ok 了h3c web防火墙设置三：如果全都上不网。

那你就要看这个规则默认是不是deny，如果是允许，再看规则的范围，和规则本身，最后在看哈应用的端口。

如果检查没有什么问题，那最好重新来。

先确认网络正常，再用防火墙，测试网络通了，再设规则。

相关阅读：防火墙主要类型网络层防火墙网络层防火墙可视为一种 ip 封包过滤器，运作在底层的tcp/ip协议堆栈上。

我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙(病毒除外，防火墙不能防止病毒侵入)。

这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。

我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。

操作系统及网络设备大多已内置防火墙功能。

较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 ip地址、来源端口号、目的 ip 地址或端口号、服务类型(如http 或是 ftp)。

也能经由通信协议、ttl 值、来源的网域名称或网段...等属性来进行过滤。

应用层防火墙应用层防火墙是在 tcp/ip 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 ftp 时的数据流都是属于这一层。

应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。

H3C 防火墙设备专线上网配置(U200-S V5)

V5防火墙设备上网配置一组网需求防火墙内网电脑可以经过防火墙去上网二组网拓扑内网电脑------（G0/2）防火墙（G0/1）-----光猫—运营商三组网配置第一步:防火墙开启了WEB服务， PC通过网线连接到防火墙的GE0口，将电脑的IP 地址修改为192.168.0.10 掩码为255.255.255.0打开一个浏览器（建议使用IE浏览器）在地址栏输入192.168.0.1会显示如下页面：用户名和密码默认为：admin输入用户名密码和验证码后，点击登录即可登陆到设备的WEB管理页面。

第二步：登陆设备后，将1口设置为WAN口连接外网，2口设置为LAN口，连接内网，配置上网操作步骤如下：1.将接口添加到安全域：1.1将1号口加入untrust域1.2 将2号口加入trust域：2.配置公网接口IP地址及指网关2.1.1配置运营商分配的公网地址2.1.2 配置默认路由指向公网网关3.配置内网口地址1. 配置DNS地址信息4.1.1开启设备DNS代理和DNS动态域名解析功能4.1.2 配置运营商DNS地址（如果您是固定IP地址方式上网，运营商会给您相应的DNS地址，如果是拨号方式上网，那只需开启DNS代理功能即可，动态域名解析功能可以不用开启，也不需要设置DNS服务器IP地址）4.1.3配置nat动态地址转换：配置acl 2001匹配内网的源ip地址网段，然后做nat动态地址转换，如果是静态公网ip，或者是动态获取的ip地址，请选择宽带连接的物理接口；如果是拨号上网，请选择dialer口，转换方式选择easy ip。

第三步：经过上面两步的配置，您的电脑连接在2号端口，将电脑的地址配置为192.168.1.0网段的地址（192.168.1.1除外），掩码：255.255.255.0 网关：192.168.1.1 DNS地址192.168.1.1之后，您的电脑就可以成功访问网络。

5.选择性配置：如果您的内网电脑非手工指定IP地址上网，而是需要通过自动获取IP地址的方式来上网，需要在防火墙上开启DHCP功能，配置如下：第一步：在“网络管理”--“DHCP”---“DHCP服务器”中，点击DHCP服务的“启动”，然后选中地址池中的“动态”，点击“新建”。

H3C防火墙配置说明

OSPF路由器建立邻居关系时，在发送的报文中会携带配置好的口令，接收报文时进行密码验证，只有通过验证的报文才能接收，否则将不会接收报文，不能正常建立邻居。

要配置OSPF报文验证，同一个区域的所有路由器上都需要配置区域验证模式，且配置的验证模式必须相同，同一个网段内的路由器需要配置相同的接口验证模式和口令。

表1-29 配置OSPF验证提高IS-IS网络的安全性在安全性要求较高的网络中，可以通过配置IS-IS验证来提高IS-IS网络的安全性。

IS-IS验证特性分为邻居关系的验证和区域或路由域的验证。

配置准备在配置IS-IS验证功能之前，需完成以下任务：∙配置接口的网络层地址，使相邻节点网络层可达∙使能IS-IS功能配置邻居关系验证配置邻居关系验证后，验证密码将会按照设定的方式封装到Hello报文中，并对接收到的Hello报文进行验证密码的检查，通过检查才会形成邻居关系，否则将不会形成邻居关系，用以确认邻居的正确性和有效性，防止与无法信任的路由器形成邻居。

两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。

表1-37 配置邻居关系验证必须先使用isis enable命令使能该接口才能进行参数level-1和level-2的配置。

如果没有指定level-1或level-2参数，将同时为level-1和level-2的Hello报文配置验证方式及验证密码。

如果没有指定ip或osi参数，将检查Hello报文中OSI的相应字段的配置内容。

配置区域验证通过配置区域验证，可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB中。

配置区域验证后，验证密码将会按照设定的方式封装到Level-1报文（LSP、CSNP、PSNP）中，并对收到的Level-1报文进行验证密码的检查。

h3c防火墙的基本配置

h3c防火墙的基本配置h3c防火墙的基本配置[F100-A]dis current-configuration#sysname F100-A#undo firewall packet-filter enablefirewall packet-filter default permit#undo insulate#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user egb--aqpassword cipher ]#R=WG;'I/ZGL^3L[[\\1-A!!service-type telnetlevel 3#aspf-policy 1detect httpdetect smtpdetect ftpdetect tcpdetect udp#acl number 2000rule 0 permit source 192.168.0.0 0.0.0.255 rule 1 deny#interface Virtual-T emplate1#interface Aux0async mode flow#interface Ethernet0/0ip address 192.168.0.1 255.255.255.0#interface Ethernet1/0ip address 211.99.231.130 255.255.255.224ip address 211.99.231.132 255.255.255.224 sub ip address 211.99.231.133 255.255.255.224 sub ip address 211.99.231.134 255.255.255.224 sub ip address 211.99.231.135 255.255.255.224 sub ip address 211.99.231.136 255.255.255.224 sub ip address 211.99.231.137 255.255.255.224 sub ip address 211.99.231.138 255.255.255.224 sub ip address 211.99.231.139 255.255.255.224 sub ip address 211.99.231.131 255.255.255.224 subnat outbound 2000nat server protocol tcp global 211.99.231.136 3000 inside 192.168.0.6 3000nat server protocol tcp global 211.99.231.136 6000 inside 192.168.0.6 6000nat server protocol tcp global 211.99.231.132 ftp inside 192.168.0.3 ftpnat server protocol tcp global 211.99.231.132 5631 inside 192.168.0.3 5631nat server protocol tcp global 211.99.231.132 43958 inside 192.168.0.3 43958nat server protocol tcp global 211.99.231.134 ftp inside 192.168.0.4 ftpnat server protocol tcp global 211.99.231.134 www inside 192.168.0.4 wwwnat server protocol tcp global 211.99.231.134 5631 inside 192.168.0.4 5631nat server protocol tcp global 211.99.231.134 43958 inside 192.168.0.4 43958nat server protocol tcp global 211.99.231.135 ftp inside 192.168.0.5 ftpnat server protocol tcp global 211.99.231.135 58169 inside 192.168.0.5 58169nat server protocol tcp global 211.99.231.135 www inside 192.168.0.5 wwwnat server protocol tcp global 211.99.231.135 43958 inside 192.168.0.5 43958nat server protocol tcp global 211.99.231.136 ftp inside 192.168.0.6 ftpnat server protocol tcp global 211.99.231.136 smtp inside192.168.0.6 smtpnat server protocol tcp global 211.99.231.136 www inside 192.168.0.6 wwwnat server protocol tcp global 211.99.231.136 81 inside 192.168.0.6 81nat server protocol tcp global 211.99.231.136 82 inside 192.168.0.6 82nat server protocol tcp global 211.99.231.136 83 inside 192.168.0.6 83nat server protocol tcp global 211.99.231.136 84 inside 192.168.0.6 84nat server protocol tcp global 211.99.231.136 pop3 inside 192.168.0.6 pop3nat server protocol tcp global 211.99.231.136 1433 inside 192.168.0.6 1433nat server protocol tcp global 211.99.231.136 5150 inside 192.168.0.6 5150nat server protocol tcp global 211.99.231.136 5631 inside 192.168.0.6 5631nat server protocol tcp global 211.99.231.136 58169 inside 192.168.0.6 58169nat server protocol tcp global 211.99.231.136 8080 inside 192.168.0.6 8080nat server protocol tcp global 211.99.231.136 43958 inside 192.168.0.6 43958nat server protocol tcp global 211.99.231.138 smtp inside 192.168.0.8 smtpnat server protocol tcp global 211.99.231.138 www inside 192.168.0.8 www192.168.0.8 pop3nat server protocol tcp global 211.99.231.138 5631 inside 192.168.0.8 5631nat server protocol tcp global 211.99.231.138 58169 inside 192.168.0.8 58169nat server protocol tcp global 211.99.231.137 ftp inside 192.168.0.9 ftpnat server protocol tcp global 211.99.231.137 www inside 192.168.0.9 wwwnat server protocol tcp global 211.99.231.132 www inside 192.168.0.3 wwwnat server protocol tcp global 211.99.231.137 81 inside 192.168.0.9 81nat server protocol tcp global 211.99.231.137 82 inside 192.168.0.9 82nat server protocol tcp global 211.99.231.137 83 inside 192.168.0.9 83nat server protocol tcp global 211.99.231.137 1433 inside 192.168.0.9 1433nat server protocol tcp global 211.99.231.137 5631 inside 192.168.0.9 5631nat server protocol tcp global 211.99.231.137 43958 inside 192.168.0.9 43958nat server protocol tcp global 211.99.231.137 58169 inside 192.168.0.9 58169nat server protocol tcp global 211.99.231.136 88 inside 192.168.0.6 88nat server protocol tcp global 211.99.231.137 84 inside 192.168.0.9 84192.168.0.9 85nat server protocol tcp global 211.99.231.137 86 inside 192.168.0.9 86nat server protocol tcp global 211.99.231.137 87 inside 192.168.0.9 87nat server protocol tcp global 211.99.231.137 88 inside 192.168.0.9 88nat server protocol tcp global 211.99.231.137 smtp inside 192.168.0.9 smtpnat server protocol tcp global 211.99.231.137 8080 inside 192.168.0.9 8080nat server protocol tcp global 211.99.231.137 5080 inside 192.168.0.9 5080nat server protocol tcp global 211.99.231.137 1935 inside 192.168.0.9 1935nat server protocol udp global 211.99.231.137 5555 inside 192.168.0.9 5555nat server protocol tcp global 211.99.231.132 58169 inside 192.168.0.3 58169nat server protocol tcp global 211.99.231.134 58169 inside 192.168.0.4 58169nat server protocol tcp global 211.99.231.135 5631 inside 192.168.0.5 5631nat server protocol tcp global 211.99.231.136 6100 inside 192.168.0.6 6100nat server protocol tcp global 211.99.231.139 www inside 192.168.0.12 wwwnat server protocol tcp global 211.99.231.139 58169 inside 192.168.0.12 58169192.168.0.12 58189nat server protocol tcp global 211.99.231.139 5631 inside 192.168.0.12 5631nat serverprotocol tcp global 211.99.231.137 89 inside 192.168.0.9 89 nat server protocol tcp global 211.99.231.134 58269 inside 192.168.0.4 58269nat server protocol udp global 211.99.231.134 58269 inside 192.168.0.4 58269nat server protocol tcp global 211.99.231.133 www inside 192.168.0.13 wwwnat server protocol tcp global 211.99.231.135 1935 inside 192.168.0.5 1935nat server protocol tcp global 211.99.231.135 5080 inside 192.168.0.5 5080nat server protocol tcp global 211.99.231.132 1755 inside 192.168.0.3 1755nat server protocol tcp global 211.99.231.137 1755 inside 192.168.0.9 1755nat server protocol tcp global 211.99.231.137 554 inside 192.168.0.9 554nat server protocol tcp global 211.99.231.135 5551 inside 192.168.0.5 5551nat server protocol tcp global 211.99.231.131 www inside 192.168.0.204 wwwnat server protocol tcp global 211.99.231.134 81 inside 192.168.0.4 81nat server protocol tcp global 211.99.231.136 1935 inside 192.168.0.6 1935192.168.0.10 wwwnat server protocol udp global 211.99.231.137 dns inside 192.168.0.9 dnsnat server protocol tcp global 211.99.231.135 58189 inside 192.168.0.5 58189nat server protocol tcp global 211.99.231.141 www inside 192.168.0.11 www#interface Ethernet1/1#interface Ethernet1/2#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/0set priority 85statistic enable ip inzonestatistic enable ip outzone#firewall zone untrustadd interface Ethernet1/0add interface Ethernet1/1add interface Ethernet1/2set priority 5statistic enable ip inzonestatistic enable ip outzone#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#undo info-center enable#FTP server enable#ip route-static 0.0.0.0 0.0.0.0 211.99.231.129 preference 1 #firewall defend ip-spoofingfirewall defend landfirewall defend smurffirewall defend fragglefirewall defend winnukefirewall defend icmp-redirectfirewall defend icmp-unreachablefirewall defend source-routefirewall defend route-recordfirewall defend tracertfirewall defend ping-of-deathfirewall defend tcp-flagfirewall defend ip-fragmentfirewall defend large-icmpfirewall defend teardropfirewall defend ip-sweepfirewall defend port-scanfirewall defend arp-spoofingfirewall defend arp-reverse-queryfirewall defend arp-floodfirewall defend frag-floodfirewall defend syn-flood enablefirewall defend udp-flood enablefirewall defend icmp-flood enablefirewall defend syn-flood zone trustfirewall defend udp-flood zone trustfirewall defend syn-flood zone untrustfirewall defend udp-flood zone untrust#user-interface con 0authentication-mode passwordset authentication password cipher XB-'KG=+=J^UJ;&DL'U46Q!!user-interface aux 0user-interface vty 0 4authentication-mode scheme。

h3c防火墙如何配置

h3c防火墙如何配置h3c防火墙配置好不好会影响到我们机器的使用，那么h3c防火墙该怎么样配置呢?下面由店铺给你做出详细的h3c防火墙配置介绍!希望对你有帮助!h3c防火墙配置一：ACL number ACL规则2000-2999 普通ACL规则 3000-3999 高级ACL规则所以你写2000也可以写2001也可以这个是你自己定义的普通不带端口定义高级可以既3000-3999规则可以带端口定义rule(策略)permit(准许)source (源地址)IP 反掩码NAT outbound 就是NAT方向为出方向应用的ACL规则是2001 整个意思就在接口下做NAT，方向是出。

准许的网段是192.168.2.0/24h3c防火墙配置二：int e3/0/0 接口界面下配置 ip addess 地址掩码 ;int e4/0/0 接口界面下配置 ip addess 192.168.2.254 24系统视图下配置ip route-static 0.0.0.0 0.0.0.0 下一跳地址(公网网关地址)ACL number 2001rule permit source 192.168.2.0 0.0.0.255返回接口E4/0/0下nat outbound 2001h3c防火墙配置三：这组网很简单。

1，首先。

你将防火墙作为出口设备，配置好外网。

接着下挂一个三层交换机，把业务网关(每个县pc的网关)放在这个三层交换机上，作为数据转发。

三层交换机上连防火墙，配置好路由就可以。

这个方案就是说把数据交换的核心放在交换机上，减少防火墙数据压力(防火墙背板带宽不如交换机大)。

2，防火墙下挂的交换机可以用二层或者三层，业务网关放在防火墙上，前提是你下面数据交换少相关阅读：h3c无线简介随着移动互联网趋势加快以及智能终端的快速普及，WLAN应用需求在全球保持高速增长态势。

华三通信作为业界领先的一体化移动网络解决方案提供商，自产品推出以来，稳步增长。

h3c防火墙u200-A配置实例

批注本地保存成功开通会员云端永久保存去开通
h3c防火墙 u200-A配置ห้องสมุดไป่ตู้例
# version 5.20, Release 5116P17 # sysname H3C # undo voice vlan mac-address 00e0-bb00-0000 # domain default enable system # acl number 2000 match-order auto rule 1 permit source 192.168.10.0 0.0.0.255 rule 2 permit source 192.168.11.0 0.0.0.255 rule 3 permit source 192.168.12.0 0.0.0.255 rule 4 permit source 192.168.13.0 0.0.0.255 rule 5 permit source 192.168.14.0 0.0.0.255 rule 7 permit source 192.168.0.0 0.0.0.255 rule 6 deny # vlan 1 # domain system access-limit disable state active ---- More ----[16D [16D idle-cut disable self-service-url disable # pki domain default crl check disable # dhcp server ip-pool vlan10 network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.1 dns-list 218.30.19.40 # dhcp server ip-pool vlan11 network 192.168.11.0 mask 255.255.255.0 gateway-list 192.168.11.1 dns-list 218.30.19.40 # dhcp server ip-pool vlan12 network 192.168.12.0 mask 255.255.255.0 gateway-list 192.168.12.1 dns-list 218.30.19.40 # dhcp server ip-pool vlan13 network 192.168.13.0 mask 255.255.255.0 ---- More ----[16D [16D gateway-list 192.168.13.1 dns-list 218.30.19.40 # dhcp server ip-pool vlan14 network 192.168.14.0 mask 255.255.255.0 gateway-list 192.168.14.1 dns-list 218.30.19.40 # dhcp server ip-pool vlan100 network 192.168.0.0 mask 255.255.255.0 gateway-list 192.168.0.2 dns-list 218.30.19.40

H3C SecPath+U200典型配置指导

SecPath U200典型配置指导1 介绍H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM （United Threat Management，统一威胁管理)设备，采用高性能的多核、多线程安全平台，保障在全部安全功能开启时性能不降低；在防火墙、VPN功能基础上，集成了IPS、防病毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能，产品具有极高的性价比。

H3C公司的SecPath U200-S能够全面有效的保证用户网络的安全，同时还可以使用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。

2 组网需求2.1 组网图2.2 三层模式2.2.1 接口与安全域配置G0/1 三层接口，Trust域，192.168.1.1/24Eth0/0 Trust域，10.254.254.1/24G0/2 三层接口，Untrust域，202.0.0.1/242.2.2 ACL配置用于内网访问Internet时作NAT用于iware访问内网、Internet时作NAT用于深度安全策略2.2.3 NAT配置nat server配置nat outbound配置2.3 二层模式2.3.1 接口与安全域配置G0/1 二层access口，PVID 10，Trust域G0/2 二层access口，PVID为10，UntrustEth0/0 三层接口，Trust域，10.254.254.1/24vlan-interface 10 Trust域，192.168.1.1/242.3.2 ACL配置用于iware访问内网时作NAT用于深度安全策略2.3.3 NAT配置NAT Server配置NAT outbound配置3 U200典型配置举例3.1 IPS/AV特征库升级3.1.1 特征库自动升级（1）功能简述验证U200自动升级IPS/AV特征库（2）测试步骤防火墙Web管理界面，策略管理> 深度安全策略。

H3C Firewall 配置实例

防火墙作为出口网关,联通光纤、电信光纤、电信ADSL出口,防火墙接H3C二层交换机,H3C二层交换机接内网服务器与下面的二层交换机(内网用户都接这里)。

由于客户就是静态设置地址,所以这里就是没有DHCP配置的。

一、上网设置:#域配置zone name Management id 0priority 100import interface GigabitEthernet0/0zone name Local id 1priority 100zone name Trust id 2priority 85import interface GigabitEthernet0/2zone name DMZ id 3priority 50zone name Untrust id 4priority 5import interface Dialer1import interface GigabitEthernet0/3import interface GigabitEthernet0/4import interface GigabitEthernet0/5#内网网关interface GigabitEthernet0/2ip address 192、168、100、254 255、255、0、0 port link-mode routenat outbound 3090#电信出口interface GigabitEthernet0/3port link-mode routeip address 219、137、182、2xx 255、255、255、248nat outbound 2000 address-group 1#联通出口interface GigabitEthernet0/4port link-mode routeip address 218、107、10、xx 255、255、255、248 nat outbound 2000 address-group 2#PPPOE电信ADSLinterface GigabitEthernet0/5port link-mode routepppoe-client dial-bundle-number 1#设定拨号访问组的拨号控制列表dialer-rule 1 ip permit#PPPOE配置interface Dialer1nat outbound 2000link-protocol pppppp chap user gzDSLxxxxxxxx@163、gdppp chap password cipher$c$3$cft8cT2sYcO4XYUDKRgfw0R0HOSTSDh69HbNppp pap local-user gzDSLxxxxxxxx@163、gd password cipher $c$3$mXUOjqFP3BKfa52muz92y7JBlMMsjjNzxGVLppp ipcp dns requestip address ppp-negotiatedialer user pppoeclientdialer-group 1dialer bundle 1#DNS服务器dns resolvedns proxy enabledns server 202、96、128、166dns server 8、8、8、8#NAT动态地址池nat address-group 1 219、137、182、2xx 219、137、182、206 level 1nat address-group 2 218、107、10、xx 218、107、10、xy level 1 #NAT使用的ACLacl number 2000rule 0 permit source 192、168、0、0 0、0、255、255#出口路由ip route-static 0、0、0、0 0、0、0、0 Dialer1ip route-static 0、0、0、0 0、0、0、0 219、137、182、201ip route-static 0、0、0、0 0、0、0、0 218、107、10、41 preference 100二、策略路由#策略路由使用的ACLacl number 3088 //匹配内部服务器地址rule 0 permit ip source 192、168、16、39 0rule 1 permit ip source 192、168、100、1 0rule 2 permit ip source 192、168、100、161 0rule 3 permit ip source 192、168、100、162 0rule 4 permit ip source 192、168、100、164 0rule 101 deny ipacl number 3089 //匹配内网用户地址段rule 0 permit ip source 192、168、0、0 0、0、255、255rule 101 deny ip#新建策略路由policy-based-route wan permit node 10if-match acl 3088apply ip-address next-hop 219、137、182、201 //服务器走电信出口policy-based-route wan permit node 11if-match acl 3089apply ip-address next-hop 218、107、10、41 //内网用户走联通出口#策略路由的应用interface GigabitEthernet0/2ip policy-based-route wan三、外网访问内部服务器NATinterface GigabitEthernet0/3nat server protocol tcp global 219、137、182、2xx 5872 inside 192、168、100、164 5872nat server protocol tcp global 219、137、182、2xx 81 inside 192、168、100、164 81nat server protocol tcp global 219、137、182、2xx 89 inside 192、168、100、1 89nat server protocol tcp global 219、137、182、2xx 5366 inside 192、168、100、162 5366nat server 1 protocol tcp global current-interface 8081 inside 192、168、100、162 8081nat server protocol tcp global 219、137、182、2xx 8088 inside 192、168、100、1 8088ip address 219、137、182、2xx 255、255、255、248#interface GigabitEthernet0/4nat server protocol tcp global 218、107、10、xx 8088 inside 192、168、100、1 8088nat server protocol tcp global 218、107、10、xx 81 inside 192、168、100、164 81nat server protocol tcp global 218、107、10、xx 5872 inside 192、168、100、164 5872nat server 1 protocol tcp global current-interface 89 inside 192、168、100、1 89nat server 2 protocol tcp global current-interface 5366 inside 192、168、100、162 5366nat server 3 protocol tcp global current-interface 8081 inside 192、168、100、162 8081#允许Untrust区域访问内网服务器地址组地址interzone source Untrust destination Trustrule 0 permitsource-ip any_addressdestination-ip server_groupservice any_servicerule enable四、内网用户通过公网地址访问内部服务器NAT#公网地址访问内网服务器NAT使用的ACLacl number 3090rule 0 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、16、39 0rule 1 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、1 0rule 2 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、161 0rule 3 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、162 0rule 4 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、164 0acl number 3091rule 0 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、16、39 0rule 1 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、1 0rule 2 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、161 0rule 3 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、162 0rule 4 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、164 0rule 5 permit ip source 192、168、16、39 0 destination 192、168、0、0 0、0、255、255rule 6 permit ip source 192、168、100、1 0 destination 192、168、0、0 0、0、255、255rule 7 permit ip source 192、168、100、161 0 destination 192、168、0、0 0、0、255、255rule 8 permit ip source 192、168、100、162 0 destination 192、168、0、0 0、0、255、255rule 9 permit ip source 192、168、100、164 0 destination 192、168、0、0 0、0、255、255interface GigabitEthernet0/2nat outbound 3090nat server protocol tcp global 219、137、182、2xx 8088 inside 192、168、100、1 8088nat server protocol tcp global 218、107、10、xx 8088 inside 192、168、100、1 8088nat server protocol tcp global 218、107、10、xx 81 inside 192、168、100、164 81nat server protocol tcp global 219、137、182、2xx 81 inside 192、168、100、164 81#匹配源地址为内网服务器目的地址为内网用户地址的数据包不作下一跳修改policy-based-route wan deny node 9if-match acl 3091五、IPSec VPN#IPSec匹配流量acl number 3501rule 0 permit ip source 192、168、0、0 0、0、255、255 destination 192、160、10、0 0、0、0、255acl number 3502rule 0 permit ip source 192、168、0、0 0、0、255、255 destination 192、160、55、0 0、0、0、255#IKE本端名称ike local-name f100#健康检测ike dpd to_fg100_dpdtime-out 3#第一阶段ike提议ike proposal 1encryption-algorithm 3des-cbc dh group2authentication-algorithm md5 #ike proposal 2encryption-algorithm 3des-cbc dh group2#第一阶段 IKE对等体预共享密钥野蛮模式ike peer to_fg100_peerexchange-mode aggressivepre-shared-key cipher$c$3$UqO8Is+AdX579TINNmJkYll+lArkiRBOjfzzAg== id-type nameremote-name fg100nat traversaldpd to_fg100_dpd#第二阶段IPSec安全提议ipsec transform-set to_fg100_prop encapsulation-mode tunneltransform espesp authentication-algorithm md5esp encryption-algorithm 3des#第二阶段IPSec模板ipsec policy-template to_fg100_temp 1security acl 3502ike-peer to_fg100_peertransform-set to_fg100_propsa duration traffic-based 1843200sa duration time-based 3600#创建一个policyipsec policy to_fg100_poli 1 isakmp template to_fg100_temp #把policy挂在G0/3上interface GigabitEthernet0/3ipsec policy to_fg100_poli六、SSL VPN#SSL使用的PKI证书pki entity sslcommon-name ssl#pki domain defaultcrl check disable#pki domain domainca identifier domaincertificate request from racrl check disable#SSL VPN配置ssl server-policy defaultpki-domain defaultssl server-policy access-policy pki-domain domainssl server-policy h3cpki-domain h3cssl server-policy sslvpnpki-domain domain#开启SSL VPNssl-vpn server-policy access-policyssl-vpn enable七、其她设置#管理口interface GigabitEthernet0/0port link-mode routeip address 192、168、0、1 255、255、255、0 #开启telnettelnet server enable#web管理页面超时web idle-timeout 50#时间表time-range office 07:00 to 19:00 daily#配置TFTP客户端的源地址(从PC导入ssl vpn证书) t source interface GigabitEthernet0/0八、默认设置version 5、20, Release 5140#sysname H3C#enable#undo voice vlan mac-address 00e0-bb00-0000#vd Root id 1##本地用户local-user adminpassword cipher $c$3$oGb5I9jYxOTH14goQ9eyldWLEVvfRG8M authorization-attribute level 3service-type telnetservice-type web#允许来宾用户管理员在Web页面上创建的来宾用户加入该用户组user-group systemgroup-attribute allow-guest#interface NULL0#vlan 1#qos policy 11qos policy 1#取消指定协议的ALG功能undo alg dnsundo alg rtspundo alg h323undo alg sipundo alg sqlnetundo alg pptpundo alg ilsundo alg nbtundo alg msnundo alg qqundo alg t alg sccpundo alg gtp#命令用来使能会话双机热备功能session synchronization enable #使能密码恢复功能(默认使能)password-recovery enable#控制vty接口的登陆认证方式user-interface con 0user-interface vty 0 4 authentication-mode scheme ##默认的Radius配置domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#interface GigabitEthernet0/1 port link-mode route#默认域开启,名称就是“system”; domain default enable system#load xml-configuration#load tr069-configuration。

12-SecPath系列防火墙域间策略典型配置举例

SecPath系列防火墙域间策略典型配置举例关键词：域间策略摘要：域间策略在安全域之间实现流识别功能，对于特定报文根据预先设定的操作允许或禁止该报文通过并实时监控流状态变化。

缩略语：缩略语英文全名中文解释ACL Access Control List 访问控制列表目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (4)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 配置接口地址 (4)4.4.2 接口加入域 (6)4.4.3 配置时间段 (8)4.4.4 配置地址对象 (9)4.4.5 配置域间策略 (9)4.5 验证结果 (11)4.5.1 内部主机Public在上班时间访问外部网络 (11)4.5.2 其他内部主机在上班时间访问外部网络 (12)5 相关资料 (12)5.1 相关协议和标准 (12)5.2 其它相关资料 (12)1 特性简介域间策略是基于ACL（Access Control List，访问控制列表），在安全域之间实现流识别功能的。

域间策略在一对源安全域和目的安全域之间维护一个ACL，该ACL中可以配置一系列的匹配规则，以识别出特定的报文，然后根据预先设定的操作允许或禁止该报文通过。

域间策略通过引用资源管理中的地址资源和服务资源，来根据报文的源IP地址、目的IP地址、源MAC地址、目的MAC地址、IP承载的协议类型和协议的特性（例如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码）等信息制定匹配规则。

每条规则还可以通过引用资源管理中的时间段资源，来指定这条规则在该时间段定义的时间范围内有效。

2 应用场合需要进行流识别，流状态监控、安全域间设置防火墙的任何场合。

3 注意事项域间策略使用的ACL序号是系统自动分配的，当首次在两个安全域之间创建域间策略的规则时，系统自动为该域间策略创建一个ACL，并从6000开始，分配当前未使用的最小序号给该ACL；当该域间策略的规则全部被删除时，系统自动删除该ACL。

H3C防火墙配置文件

1.1.1 包过滤防火墙典型配置举例该配置举例的支持情况与设备的型号有关，请以设备的实际情况为准。

1. 组网需求●某公司通过Router 的接口Serial2/0访问Internet ，Router 与内部网通过接口Ethernet1/1连接； ● 公司内部对外提供WWW 、FTP 和Telnet 服务：公司内部子网为129.1.1.0。

其中，内部FTP 服务器地址为129.1.1.1，内部Telnet 服务器地址为129.1.1.2，内部WWW 服务器地址为129.1.1.3；公司对外地址为20.1.1.1。

在Router 上配置了地址转换，这样公司内部主机可以访问Internet ，公司外部主机可以访问公司内部的服务器；● 通过配置防火墙，希望实现以下要求：外部网络只有特定用户可以访问内部服务器；内部网络只有特定主机可以访问外部网络。

● 假定外部特定用户的IP 地址为20.3.3.3。

2. 组网图图1-1 包过滤防火墙典型配置组网图 v vWAN 129.1.1.1/32129.1.1.2/32129.1.1.3/32Internal networkSpecific internal hostRouter Eth1/1129.1.1.5/24S2/020.1.1.1/1620.3.3.3/323. 配置步骤# 在Router 上启用防火墙功能。

<Router> system-view[Router] firewall enable# 创建高级访问控制列表3001。

[Router] acl number 3001# 配置规则允许特定主机访问外部网，允许内部服务器访问外部网。

[Router-acl-adv-3001] rule permit ip source 129.1.1.1 0[Router-acl-adv-3001] rule permit ip source 129.1.1.2 0[Router-acl-adv-3001] rule permit ip source 129.1.1.3 0[Router-acl-adv-3001] rule permit ip source 129.1.1.4 0# 配置规则禁止所有IP包通过。

H3C防火墙配置实例

本文为大家介绍一个H3C防火墙的配置实例，配置内容包括：配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等，组网拓扑及需求如下。

1、网络拓扑图2、配置要求1）防火墙的E0/2接口为TRUST区域，ip地址是：192.168.254.1/29；2）防火墙的E1/2接口为UNTRUST区域，ip地址是：202.111.0.1/27；3）内网服务器对外网做一对一的地址映射，192.168.254.2、192.168.254.3分别映射为202.111.0.2、202.111.0.3；4）内网服务器访问外网不做限制，外网访问内网只放通公网地址211.101.5.49访问192.168.254.2的1433端口和192.168.254.3的80端口。

3、防火墙的配置脚本如下<H3CF100A>dis cur#sysname H3CF100A#super password level 3 cipher 6aQ>Q57-$.I)0;4:\(I41!!!#firewall packet-filter enablefirewall packet-filter default permit#insulate#nat static inside ip 192.168.254.2 global ip 202.111.0.2nat static inside ip 192.168.254.3 global ip 202.111.0.3#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user net1980password cipher ######service-type telnetlevel 2#aspf-policy 1detect h323detect sqlnetdetect rtspdetect httpdetect smtpdetect ftpdetect tcpdetect udp#object address 192.168.254.2/32 192.168.254.2 255.255.255.255object address 192.168.254.3/32 192.168.254.3 255.255.255.255#acl number 3001description out-insiderule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0 destination-port eq 1433rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0 destination-port eq wwwrule 1000 deny ipacl number 3002description inside-to-outsiderule 1 permit ip source 192.168.254.2 0rule 2 permit ip source 192.168.254.3 0rule 1000 deny ip#interface Aux0async mode flow#interface Ethernet0/0shutdown#interface Ethernet0/1shutdown#interface Ethernet0/2speed 100duplex fulldescription to serverip address 192.168.254.1 255.255.255.248 firewall packet-filter 3002 inbound firewall aspf 1 outbound#interface Ethernet0/3shutdown#interface Ethernet1/0shutdown#interface Ethernet1/1shutdown#interface Ethernet1/2speed 100duplex fulldescription to internetip address 202.111.0.1 255.255.255.224 firewall packet-filter 3001 inbound firewall aspf 1 outboundnat outbound static#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/2set priority 85#firewall zone untrustadd interface Ethernet1/2set priority 5#firewall zone DMZadd interface Ethernet0/3set priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#ip route-static 0.0.0.0 0.0.0.0 202.111.0.30 preference 60 #user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#return。

H3C防火墙设备专线上网配置(U200SV5)

V5防火墙设备上网配置一组网需求防火墙网电脑可以经过防火墙去上网二组网拓扑网电脑------（G0/2）防火墙（G0/1）-----光猫—运营商三组网配置第一步:防火墙开启了WEB服务， PC通过网线连接到防火墙的GE0口，将电脑的IP 地址修改为192.168.0.10 掩码为255.255.255.0打开一个浏览器（建议使用IE浏览器）在地址栏输入192.168.0.1会显示如下页面：用户名和密码默认为：admin输入用户名密码和验证码后，点击登录即可登陆到设备的WEB管理页面。

第二步：登陆设备后，将1口设置为WAN口连接外网，2口设置为LAN口，连接网，配置上网操作步骤如下：1.将接口添加到安全域：1.1将1号口加入untrust域1.2 将2号口加入trust域：2.配置公网接口IP地址及指网关2.1.1配置运营商分配的公网地址2.1.2 配置默认路由指向公网网关3.配置网口地址1. 配置DNS地址信息4.1.1开启设备DNS代理和DNS动态域名解析功能4.1.2 配置运营商DNS地址（如果您是固定IP地址方式上网，运营商会给您相应的DNS地址，如果是拨号方式上网，那只需开启DNS代理功能即可，动态域名解析功能可以不用开启，也不需要设置DNS服务器IP地址）4.1.3配置nat动态地址转换：配置acl 2001匹配网的源ip地址网段，然后做nat动态地址转换，如果是静态公网ip，或者是动态获取的ip地址，请选择宽带连接的物理接口；如果是拨号上网，请选择dialer口，转换方式选择easy ip。

5.选择性配置：如果您的网电脑非手工指定IP地址上网，而是需要通过自动获取IP地址的方式来上网，需要在防火墙上开启DHCP功能，配置如下：第一步：在“网络管理”--“DHCP”---“DHCP服务器”中，点击DHCP服务的“启动”，然后选中地址池中的“动态”，点击“新建”。

H3C 防火墙和UTM 设备IPSec 典型配置举例

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 使用版本 (1)2 特性简介 (1)3 应用场合 (1)4 注意事项 (1)5 基于证书的认证——IPSec配置举例 (1)5.1 组网需求 (1)5.2 配置思路 (2)5.3 配置步骤 (2)5.3.1 FW A的配置 (2)5.3.2 FW B的配置 (8)5.3.3 验证结果 (11)5.4 配置文件 (13)6 基于证书的认证——IPSec多实例配置举例 (15)6.1 组网需求 (15)6.2 配置思路 (15)6.3 配置步骤 (16)6.3.1 FW A的配置 (16)6.3.2 FW B的配置 (31)6.3.3 验证结果 (46)6.4 配置文件 (50)7 相关资料 (53)1 使用版本本文档基于F1000-E（版本：R3166P13）为例进行说明。

该配置适用于F1000-E的R3166P13及以上版本、F3169P07及以上版本。

该配置同样适用于F5000-A5（版本：R3206P18及以上）及U200系列产品（版本：F5123P08及以上）以及防火墙插卡的R3166P13及以上版本、F3169P07及以上版本。

本文档所有配置均在实验室环境下进行，仅供参考。

如果在线部署，请根据实际组网环境进行配置。

不同软件版本Web页面显示会有所差异，请以实际情况为准。

2 特性简介IPSec（IP Security）是IETF制定的三层隧道加密协议，它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证，是一种传统的实现三层VPN（Virtual Private Network，虚拟专用网）的安全技术。

H3C SecPath U200-CS_U200-CM_U200-CA统一威胁管理产品安装指导-5PW103-第4章 UTM设备的安装

目录4 UTM设备的安装.................................................................................................................................4-14.1 安装前的准备工作.............................................................................................................................4-14.2 UTM设备的安装流程.........................................................................................................................4-14.3 安装UTM设备到指定位置..................................................................................................................4-24.3.1 将UTM设备安装到工作台上....................................................................................................4-24.3.2 将UTM设备安装到机柜上.......................................................................................................4-24.4 安装通用模块.....................................................................................................................................4-44.5 连接保护地线.....................................................................................................................................4-44.5.1 连接保护地线的重要性...........................................................................................................4-44.5.2 连接保护地线的方法...............................................................................................................4-44.6 安装网口避雷器（可选）..................................................................................................................4-64.6.1 需要工具.................................................................................................................................4-64.6.2 安装步骤.................................................................................................................................4-64.6.3 安装注意事项..........................................................................................................................4-74.7 安装交流电源避雷器（防雷接线排）（可选）..................................................................................4-74.8 选择和安装信号避雷器（可选）........................................................................................................4-84.9 连接电源线........................................................................................................................................4-94.9.1 电源接口及保护地...................................................................................................................4-94.9.2 连接交流电源线....................................................................................................................4-104.10 连接接口电缆.................................................................................................................................4-104.10.1 连接Console口电缆............................................................................................................4-104.10.2 连接以太网电缆..................................................................................................................4-114.10.3 连接2GE模块接口电缆.......................................................................................................4-124.10.4 连接NSQ1GT2UA0模块接口电缆......................................................................................4-124.10.5 连接NSQ1GP4U0模块接口电缆........................................................................................4-124.10.6 连接NSQ1WLAN0模块接口天线........................................................................................4-134.11 安装后的检查.................................................................................................................................4-134 UTM设备的安装4.1 安装前的准备工作z请确认已经仔细阅读第3章的内容。