H3C Firewall 配置实例

h3c防火墙web配备实例教程h3c防火墙web配备实例教程H3C的防火墙有必要把接口加到域里边去#配备接口Ethernet0/0/0参与防火墙Trust域。

[H3C]firewallzonetrust[H3C-zone-trust]addinterfaceEthernet0/0/0H3C防火墙的域（zone）区域（zone）是防火墙商品所引进的一个安全概念，是防火墙商品差异于路由器的首要特征。

一个安全区域包含一个或多个接口的组合，具有一个安全等级。

在设备内部，安全等级经过0～十0的数字来标明，数字越大标明安全等级越高。

V3路径：安全域不存在两个具有相同安全等级的区域。

中低端防火墙缺省有Trust、Untrust、DMZ、local4个安全域，一同还能够自界说12个区域。

V5路径：安全域能够容许两个相同安全等级的区域，缺省有Trust、Untrust、DMZ、local和Management5个安全域，一同能够自界说256个区域，而且只能在Web页面进行配备。

通常来讲，安全区域与各网络的有关遵从下面的准则：内部网络应安排在安全等级较高的区域、外部网络应安排在安全等级最低的区域。

详细来说，Trust所属接口用于联接用户要维护的网络；Untrust所属接口联接外部网络；DMZ区所属接口联接用户向外部供应效能的有些网络；从防火墙设备本身主张的联接便是从Local区域主张的联接。

相应的悉数对防火墙设备本身的拜访都归于向Local区域主张拜访联接。

防火墙作通常坐被捕络的间隔，其首要责任，是维护客户网络的机密性，确保客户网络的可用性。

一同，作为网络处理员，在确保了网络的安全和可用之余，还需求思考维护的便当性。

在往常网络运维中，网络处理员对防火墙操作最多的，莫过于安全战略，分外是运营商的网络。

防火墙后边触及的网络路径类型很多、战略杂乱，一同，跟着每个类型的效能路径的不断晋级及事务拓宽，需求一再的批改安全战略，这就对网络处理员提出了难题。

SecBlade防火墙插卡配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对SecBlade防火墙插卡进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (3)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (4)4.5 验证结果 (6)4.5.1 配置保存 (6)4.5.2 配置备份 (7)4.5.3 配置恢复 (7)4.5.4 恢复出厂配置 (7)4.5.5 软件升级 (7)4.5.6 设备重启 (7)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是Secblade II防火墙插卡。

本典型配置举例同样适合Secblade LB插卡。

图1配置管理组网图4.2 配置思路GE0/1所在的局域网（内网）接口配置地址为192.168.252.98/22，加入ManageMent域，使GE0/1成为管理口。

防火墙作为出口网关，联通光纤、电信光纤、电信ADSL出口，防火墙接H3C二层交换机，H3C二层交换机接内网服务器和下面的二层交换机（内网用户都接这里）。

由于客户是静态设置地址，所以这里是没有DHCP配置的。

一、上网设置：#域配置zone name Management id 0priority 100zone name Local id 1priority 100zone name Trust id 2priority 85zone name DMZ id 3priority 50zone name Untrust id 4priority 5import interface Dialer1#内网网关ip address 192.168.100.254 255.255.0.0port link-mode routenat outbound 3090#电信出口port link-mode routeip address 219.137.182.2xx 255.255.255.248nat outbound 2000 address-group 1#联通出口port link-mode routeip address 218.107.10.xx 255.255.255.248nat outbound 2000 address-group 2#PPPOE电信ADSLport link-mode routepppoe-client dial-bundle-number 1#设定拨号访问组的拨号控制列表dialer-rule 1 ip permit#PPPOE配置interface Dialer1nat outbound 2000link-protocol pppppp chap userppp chap password cipher$c$3$cft8cT2sYcO4XYUDKRgfw0R0HOSTSDh69HbN KCf9IdG。

h3c防火墙配置教程H3C防火墙是一种常见的网络安全设备，用于保护企业网络免受恶意攻击和未经授权的访问。

通过配置H3C防火墙，可以实现对网络流量进行监控和管理，提高网络的安全性和稳定性。

下面将为您介绍H3C防火墙的配置教程。

首先，我们需要连接到H3C防火墙的管理界面。

可以通过网线将计算机连接到防火墙的管理口上。

然后，打开浏览器，输入防火墙的管理IP地址，登录到防火墙的管理界面。

登录成功后，我们可以开始配置防火墙的策略。

首先，配置入方向和出方向的安全策略。

点击“策略”选项卡，然后选择“安全策略”。

接下来，我们需要配置访问规则。

点击“访问规则”选项卡，然后选择“新增规则”。

在规则配置页面，我们可以设置源地址、目的地址、服务类型等规则条件。

除了访问规则，我们还可以配置NAT规则。

点击“NAT规则”选项卡，然后选择“新增规则”。

在规则配置页面，我们可以设置源地址、目的地址、服务类型等规则条件，并设置相应的转换规则。

配置完访问规则和NAT规则后，我们还可以进行其他配置，如VPN配置、远程管理配置等。

点击对应的选项卡，然后根据实际需求进行配置。

配置完成后，我们需要保存配置并生效。

点击界面上的“保存”按钮，然后点击“应用”按钮。

防火墙将会重新加载配置，并生效。

最后，我们需要进行测试，确保防火墙的配置可以实现预期的效果。

可以通过给防火墙配置规则的源地址发送网络流量进行测试，然后查看防火墙是否根据配置对流量进行了相应的处理。

总结起来，配置H3C防火墙需要连接到防火墙的管理界面，配置安全策略、访问规则、NAT规则等，保存配置并生效，最后进行测试。

通过这些步骤，可以配置H3C防火墙以提高网络的安全性和稳定性。

希望以上的H3C防火墙配置教程对您有所帮助。

如果还有其他问题，可以随时向我提问。

1.路由器防火墙配置指导防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问，另一方面可以作为一个访问因特网的权限控制关口，控制内部网络用户对因特网进行Web访问或收发E-mail等。

通过合理的配置防火墙可以大大提高网络的安全性和稳定性。

防火墙配置指导防火墙的基本配置顺序如下：首先使能防火墙：1.ipv4：系统视图下输入firewall enableipv6：系统视图下输入firewall ipv6 enable然后配置acl2.acl number 2000rule 0 permit ip source 192.168.1.0 0.0.0.255rule 1 deny ip3.然后在接口上根据需要应用防火墙interface Ethernet0/1port link-mode routefirewall packet-filter2000 inboundip address 5.0.0.2 255.255.255.0基础配置举例：如前所说，在使能了防火墙后，就要按需求配置acl并应用在接口上，下面给出几个常见的需求的配置方法：1.禁止内网访问外网的某些地址用途：限制上网。

比如禁止访问100.0.0.1地址acl配置：[H3C]acl n 3000[H3C-acl-adv-3000]rule deny ip destination 100.0.0.1 0.0.0.0[H3C-acl-adv-3000]rule permit ip destination 200.0.0.0 0.0.0.255[H3C-acl-adv-3000]rule permit ip允许其它ip端口配置，在内网口入方向配置防火墙[H3C]int et0/1[H3C-Ethernet0/1]firewall packet-filter 3000 inbound备注：1）如果要禁止某个网段，则选择配置适当的掩码就可以了2）如果内网口不止一个，可以在每一个需要的内网口都配上，或者在外网口的出方向配置防火墙2.禁止外网某些地址访问内网用途：放置非法访问。

防火墙作为出口网关,联通光纤、电信光纤、电信ADSL出口,防火墙接H3C二层交换机,H3C二层交换机接内网服务器与下面的二层交换机(内网用户都接这里)。

由于客户就是静态设置地址,所以这里就是没有DHCP配置的。

一、上网设置:#域配置zone name Management id 0priority 100import interface GigabitEthernet0/0zone name Local id 1priority 100zone name Trust id 2priority 85import interface GigabitEthernet0/2zone name DMZ id 3priority 50zone name Untrust id 4priority 5import interface Dialer1import interface GigabitEthernet0/3import interface GigabitEthernet0/4import interface GigabitEthernet0/5#内网网关interface GigabitEthernet0/2ip address 192、168、100、254 255、255、0、0 port link-mode routenat outbound 3090#电信出口interface GigabitEthernet0/3port link-mode routeip address 219、137、182、2xx 255、255、255、248nat outbound 2000 address-group 1#联通出口interface GigabitEthernet0/4port link-mode routeip address 218、107、10、xx 255、255、255、248 nat outbound 2000 address-group 2#PPPOE电信ADSLinterface GigabitEthernet0/5port link-mode routepppoe-client dial-bundle-number 1#设定拨号访问组的拨号控制列表dialer-rule 1 ip permit#PPPOE配置interface Dialer1nat outbound 2000link-protocol pppppp chap user gzDSLxxxxxxxx@163、gdppp chap password cipher$c$3$cft8cT2sYcO4XYUDKRgfw0R0HOSTSDh69HbNppp pap local-user gzDSLxxxxxxxx@163、gd password cipher $c$3$mXUOjqFP3BKfa52muz92y7JBlMMsjjNzxGVLppp ipcp dns requestip address ppp-negotiatedialer user pppoeclientdialer-group 1dialer bundle 1#DNS服务器dns resolvedns proxy enabledns server 202、96、128、166dns server 8、8、8、8#NAT动态地址池nat address-group 1 219、137、182、2xx 219、137、182、206 level 1nat address-group 2 218、107、10、xx 218、107、10、xy level 1 #NAT使用的ACLacl number 2000rule 0 permit source 192、168、0、0 0、0、255、255#出口路由ip route-static 0、0、0、0 0、0、0、0 Dialer1ip route-static 0、0、0、0 0、0、0、0 219、137、182、201ip route-static 0、0、0、0 0、0、0、0 218、107、10、41 preference 100二、策略路由#策略路由使用的ACLacl number 3088 //匹配内部服务器地址rule 0 permit ip source 192、168、16、39 0rule 1 permit ip source 192、168、100、1 0rule 2 permit ip source 192、168、100、161 0rule 3 permit ip source 192、168、100、162 0rule 4 permit ip source 192、168、100、164 0rule 101 deny ipacl number 3089 //匹配内网用户地址段rule 0 permit ip source 192、168、0、0 0、0、255、255rule 101 deny ip#新建策略路由policy-based-route wan permit node 10if-match acl 3088apply ip-address next-hop 219、137、182、201 //服务器走电信出口policy-based-route wan permit node 11if-match acl 3089apply ip-address next-hop 218、107、10、41 //内网用户走联通出口#策略路由的应用interface GigabitEthernet0/2ip policy-based-route wan三、外网访问内部服务器NATinterface GigabitEthernet0/3nat server protocol tcp global 219、137、182、2xx 5872 inside 192、168、100、164 5872nat server protocol tcp global 219、137、182、2xx 81 inside 192、168、100、164 81nat server protocol tcp global 219、137、182、2xx 89 inside 192、168、100、1 89nat server protocol tcp global 219、137、182、2xx 5366 inside 192、168、100、162 5366nat server 1 protocol tcp global current-interface 8081 inside 192、168、100、162 8081nat server protocol tcp global 219、137、182、2xx 8088 inside 192、168、100、1 8088ip address 219、137、182、2xx 255、255、255、248#interface GigabitEthernet0/4nat server protocol tcp global 218、107、10、xx 8088 inside 192、168、100、1 8088nat server protocol tcp global 218、107、10、xx 81 inside 192、168、100、164 81nat server protocol tcp global 218、107、10、xx 5872 inside 192、168、100、164 5872nat server 1 protocol tcp global current-interface 89 inside 192、168、100、1 89nat server 2 protocol tcp global current-interface 5366 inside 192、168、100、162 5366nat server 3 protocol tcp global current-interface 8081 inside 192、168、100、162 8081#允许Untrust区域访问内网服务器地址组地址interzone source Untrust destination Trustrule 0 permitsource-ip any_addressdestination-ip server_groupservice any_servicerule enable四、内网用户通过公网地址访问内部服务器NAT#公网地址访问内网服务器NAT使用的ACLacl number 3090rule 0 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、16、39 0rule 1 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、1 0rule 2 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、161 0rule 3 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、162 0rule 4 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、164 0acl number 3091rule 0 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、16、39 0rule 1 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、1 0rule 2 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、161 0rule 3 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、162 0rule 4 permit ip source 192、168、0、0 0、0、255、255 destination 192、168、100、164 0rule 5 permit ip source 192、168、16、39 0 destination 192、168、0、0 0、0、255、255rule 6 permit ip source 192、168、100、1 0 destination 192、168、0、0 0、0、255、255rule 7 permit ip source 192、168、100、161 0 destination 192、168、0、0 0、0、255、255rule 8 permit ip source 192、168、100、162 0 destination 192、168、0、0 0、0、255、255rule 9 permit ip source 192、168、100、164 0 destination 192、168、0、0 0、0、255、255interface GigabitEthernet0/2nat outbound 3090nat server protocol tcp global 219、137、182、2xx 8088 inside 192、168、100、1 8088nat server protocol tcp global 218、107、10、xx 8088 inside 192、168、100、1 8088nat server protocol tcp global 218、107、10、xx 81 inside 192、168、100、164 81nat server protocol tcp global 219、137、182、2xx 81 inside 192、168、100、164 81#匹配源地址为内网服务器目的地址为内网用户地址的数据包不作下一跳修改policy-based-route wan deny node 9if-match acl 3091五、IPSec VPN#IPSec匹配流量acl number 3501rule 0 permit ip source 192、168、0、0 0、0、255、255 destination 192、160、10、0 0、0、0、255acl number 3502rule 0 permit ip source 192、168、0、0 0、0、255、255 destination 192、160、55、0 0、0、0、255#IKE本端名称ike local-name f100#健康检测ike dpd to_fg100_dpdtime-out 3#第一阶段ike提议ike proposal 1encryption-algorithm 3des-cbc dh group2authentication-algorithm md5 #ike proposal 2encryption-algorithm 3des-cbc dh group2#第一阶段 IKE对等体预共享密钥野蛮模式ike peer to_fg100_peerexchange-mode aggressivepre-shared-key cipher$c$3$UqO8Is+AdX579TINNmJkYll+lArkiRBOjfzzAg== id-type nameremote-name fg100nat traversaldpd to_fg100_dpd#第二阶段IPSec安全提议ipsec transform-set to_fg100_prop encapsulation-mode tunneltransform espesp authentication-algorithm md5esp encryption-algorithm 3des#第二阶段IPSec模板ipsec policy-template to_fg100_temp 1security acl 3502ike-peer to_fg100_peertransform-set to_fg100_propsa duration traffic-based 1843200sa duration time-based 3600#创建一个policyipsec policy to_fg100_poli 1 isakmp template to_fg100_temp #把policy挂在G0/3上interface GigabitEthernet0/3ipsec policy to_fg100_poli六、SSL VPN#SSL使用的PKI证书pki entity sslcommon-name ssl#pki domain defaultcrl check disable#pki domain domainca identifier domaincertificate request from racrl check disable#SSL VPN配置ssl server-policy defaultpki-domain defaultssl server-policy access-policy pki-domain domainssl server-policy h3cpki-domain h3cssl server-policy sslvpnpki-domain domain#开启SSL VPNssl-vpn server-policy access-policyssl-vpn enable七、其她设置#管理口interface GigabitEthernet0/0port link-mode routeip address 192、168、0、1 255、255、255、0 #开启telnettelnet server enable#web管理页面超时web idle-timeout 50#时间表time-range office 07:00 to 19:00 daily#配置TFTP客户端的源地址(从PC导入ssl vpn证书) t source interface GigabitEthernet0/0八、默认设置version 5、20, Release 5140#sysname H3C#enable#undo voice vlan mac-address 00e0-bb00-0000#vd Root id 1##本地用户local-user adminpassword cipher $c$3$oGb5I9jYxOTH14goQ9eyldWLEVvfRG8M authorization-attribute level 3service-type telnetservice-type web#允许来宾用户管理员在Web页面上创建的来宾用户加入该用户组user-group systemgroup-attribute allow-guest#interface NULL0#vlan 1#qos policy 11qos policy 1#取消指定协议的ALG功能undo alg dnsundo alg rtspundo alg h323undo alg sipundo alg sqlnetundo alg pptpundo alg ilsundo alg nbtundo alg msnundo alg qqundo alg t alg sccpundo alg gtp#命令用来使能会话双机热备功能session synchronization enable #使能密码恢复功能(默认使能)password-recovery enable#控制vty接口的登陆认证方式user-interface con 0user-interface vty 0 4 authentication-mode scheme ##默认的Radius配置domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#interface GigabitEthernet0/1 port link-mode route#默认域开启,名称就是“system”; domain default enable system#load xml-configuration#load tr069-configuration。

1.1.1 包过滤防火墙典型配置举例该配置举例的支持情况与设备的型号有关，请以设备的实际情况为准。

1. 组网需求●某公司通过Router 的接口Serial2/0访问Internet ，Router 与内部网通过接口Ethernet1/1连接； ● 公司内部对外提供WWW 、FTP 和Telnet 服务：公司内部子网为129.1.1.0。

其中，内部FTP 服务器地址为129.1.1.1，内部Telnet 服务器地址为129.1.1.2，内部WWW 服务器地址为129.1.1.3；公司对外地址为20.1.1.1。

在Router 上配置了地址转换，这样公司内部主机可以访问Internet ，公司外部主机可以访问公司内部的服务器；● 通过配置防火墙，希望实现以下要求：外部网络只有特定用户可以访问内部服务器；内部网络只有特定主机可以访问外部网络。

● 假定外部特定用户的IP 地址为20.3.3.3。

2. 组网图图1-1 包过滤防火墙典型配置组网图 v vWAN 129.1.1.1/32129.1.1.2/32129.1.1.3/32Internal networkSpecific internal hostRouter Eth1/1129.1.1.5/24S2/020.1.1.1/1620.3.3.3/323. 配置步骤# 在Router 上启用防火墙功能。

<Router> system-view[Router] firewall enable# 创建高级访问控制列表3001。

[Router] acl number 3001# 配置规则允许特定主机访问外部网，允许内部服务器访问外部网。

[Router-acl-adv-3001] rule permit ip source 129.1.1.1 0[Router-acl-adv-3001] rule permit ip source 129.1.1.2 0[Router-acl-adv-3001] rule permit ip source 129.1.1.3 0[Router-acl-adv-3001] rule permit ip source 129.1.1.4 0# 配置规则禁止所有IP包通过。

本文为大家介绍一个H3C防火墙的配置实例，配置内容包括：配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等，组网拓扑及需求如下。

1、网络拓扑图2、配置要求1）防火墙的E0/2接口为TRUST区域，ip地址是：192.168.254.1/29；2）防火墙的E1/2接口为UNTRUST区域，ip地址是：202.111.0.1/27；3）内网服务器对外网做一对一的地址映射，192.168.254.2、192.168.254.3分别映射为202.111.0.2、202.111.0.3；4）内网服务器访问外网不做限制，外网访问内网只放通公网地址211.101.5.49访问192.168.254.2的1433端口和192.168.254.3的80端口。

3、防火墙的配置脚本如下<H3CF100A>dis cur#sysname H3CF100A#super password level 3 cipher 6aQ>Q57-$.I)0;4:\(I41!!!#firewall packet-filter enablefirewall packet-filter default permit#insulate#nat static inside ip 192.168.254.2 global ip 202.111.0.2nat static inside ip 192.168.254.3 global ip 202.111.0.3#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user net1980password cipher ######service-type telnetlevel 2#aspf-policy 1detect h323detect sqlnetdetect rtspdetect httpdetect smtpdetect ftpdetect tcpdetect udp#object address 192.168.254.2/32 192.168.254.2 255.255.255.255object address 192.168.254.3/32 192.168.254.3 255.255.255.255#acl number 3001description out-insiderule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0 destination-port eq 1433rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0 destination-port eq wwwrule 1000 deny ipacl number 3002description inside-to-outsiderule 1 permit ip source 192.168.254.2 0rule 2 permit ip source 192.168.254.3 0rule 1000 deny ip#interface Aux0async mode flow#interface Ethernet0/0shutdown#interface Ethernet0/1shutdown#interface Ethernet0/2speed 100duplex fulldescription to serverip address 192.168.254.1 255.255.255.248 firewall packet-filter 3002 inbound firewall aspf 1 outbound#interface Ethernet0/3shutdown#interface Ethernet1/0shutdown#interface Ethernet1/1shutdown#interface Ethernet1/2speed 100duplex fulldescription to internetip address 202.111.0.1 255.255.255.224 firewall packet-filter 3001 inbound firewall aspf 1 outboundnat outbound static#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/2set priority 85#firewall zone untrustadd interface Ethernet1/2set priority 5#firewall zone DMZadd interface Ethernet0/3set priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#ip route-static 0.0.0.0 0.0.0.0 202.111.0.30 preference 60 #user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#return。

H3C 防火墙二层模式配置案例H3C 的防火墙有两种二层模式的配置方法，老版本支持的叫透明模式，新版本的叫桥接模式，配置命令不一样，但效果一致，下面为两种方法配置案例，请参考：systemfirewall packet-filter enablefirewall packet-filter default permitfirewall zone trustadd interface e1/0 //将内网口和外网口都要加入区域,加入的端口请按您实际的情况加入,例子中的不能为准add interface e2/0add interface e3/0quit bridge enable //启用桥接模式bridge 1 enable //建立一个桥组int bridge-template 1 //设置管理地址,要是没有,可以不设置ip address 管理IP 地址 quitint e1/0 //将接口加入桥组 bridge-set 1quitint e2/0bridge-set 1quitint e3/0bridge-set 1quitfirewall zone trust //将桥模板加入区域add interface bridge-template 1quitip route 0.0.0.0 0.0.0.0 管理地址的下一跳 //管理IP 的路由,若无可以不加 saveU n R e g i s t e r e d透明模式：system-view （进入系统模式）firewall packet-filter enable （开起防火墙功能）firewall packet-filter default permit（配置防火墙默认规则）firewall mode transparent （配置为透明模式）firewall system-ip 192.168.1.254 255.255.255.0 （这是防火墙的管理IP 地址） interface Ethernet2/0（进入WAN 口）promiscuous （配置为透明传输） interface Ethernet1/0 （进入LAN 口）promiscuous （配置为透明传输） firewall zone trust（进入区域） add interface e2/0（把WAN 口加入该区域）add interface e1/0（把LAN 口加入该区域）如果防火墙上行有DHCP 服务器的话，需要配置，系统视图：firewall unknown-mac flood （未知MAC 泛洪） bridge 1 firewall unknown-mac floodU n R e g i s t e r e d。

H3C S9500交换机Firewall之包过滤防火墙组网应用的配置一、组网需求：如下图所示，某公司通过SecBlade连接到Internet。

公司内部对外提供WWW 和FTP服务。

其中，内部WWW服务器地址为20.0.0.1，只允许外部特定pcB可以访问内部服务器，但是不能访问内部网络的其他资源，假定外部特定用户pcB的IP地址为203.1.1.2/24，内部用户pcA的地址为3.1.1.2/24 。

二、组网图三、配置步骤软件版本：H3C S9500交换机全系列软件版本硬件版本：H3C S9500交换机LSM1FW8DB1防火墙业务板1）添加内网VLAN 20和VLAN 3，外网VLAN 200，Secblade互连VLAN50[S9500] vlan 20[S9500－vlan20]port E2/1/1[S9500] vlan 3[S9500－vlan3]port E2/1/2[S9500] vlan 200[S9500－vlan200] port E3/1/1[S9500] vlan 502）配置内网VLAN接口IP地址[S9500] interface vlan-interface 20[S9500-Vlan-interface20] ip address20.0.0.254 24[S9500] interface vlan-interface 3[S9500-Vlan-interface3] ip address 3.1.1.1 24[S9500] interface vlan-interface 50[S9500-Vlan-interface50] ip address50.1.1.1 243）配置路由，发往外网的报文下一跳为SecBlade防火墙[S9500] ip route-static 0.0.0.0 0 50.1.1.24）配置SecBlade module，设置VLAN200为security-vlan [S9500]secblade module test[S9500-secblade-test] secblade-interface vlan-interface 50 [S9500-secblade-test] security-vlan 200[S9500-secblade-test] map to slot 25）进入SecBlade视图<S9500> secblade slot 2 （缺省用户名和密码为SecBlade，区分大小写）user：SecBladepassword：SecBlade6）配置子接口，Secblade互连子接口VLAN 50，外网子接口VLAN 200。

1 典型配置案例导读H3C防火墙典型配置案例集共包括6个文档，介绍了防火墙产品常用特性的典型配置案例，包含组网需求、配置步骤、验证配置和配置文件等内容。

1.1 适用款型及软件版本本手册所描述的内容适用于防火墙产品的如下款型及版本：款型软件版本M9006/M9010/M9104 Version 7.1.051, Ess 9105及以上1.2 内容简介典型配置案例中特性的支持情况与产品的款型有关，关于特性支持情况的详细介绍，请参见《H3C SecPath M9000多业务安全网关配置指导》和《H3C SecPath M9000多业务安全网关命令参考》。

手册包含的文档列表如下：编号名称1H3C 防火墙GRE over IPsec虚拟防火墙典型配置案例(V7)2H3C 防火墙IPsec典型配置案例(V7)3H3C 防火墙NAT444典型配置案例(V7)4H3C 防火墙NAT典型配置案例(V7)5H3C 防火墙基于ACL包过滤策略的域间策略典型配置案例(V7)6H3C 防火墙基于对象策略的域间策略典型配置案例(V7)H3C 防火墙GRE over IPsec虚拟防火墙典型配置案例Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (2)3.3 使用版本 (2)3.4 配置注意事项 (2)3.5 配置步骤 (2)3.5.1 M9000的配置 (2)3.5.2 FW A的配置 (6)3.5.3 FW B的配置 (8)3.6 验证配置 (9)3.7 配置文件 (12)1 简介本文档介绍使用GRE over IPSec 虚拟防火墙的配置案例。

H3C包过滤防火墙典型配置举例1.组网需求以下通过一个公司配置防火墙的实例来说明防火墙的配置。

该公司通过一台SecPath防火墙的接口Ethernet1/0/0访问Internet，防火墙与内部网通过以太网接口Ethernet0/0/0连接。

公司内部对外提供WWW、FTP和Telnet服务，公司内部子网为129.38.1.0，其中，内部FTP服务器地址为129.38.1.1，内部Telnet服务器地址为129.38.1.2，内部WWW服务器地址为129.38.1.3，公司对外地址为202.38.160.1。

在防火墙上配置了地址转换，这样内部PC机可以访问Internet，外部PC可以访问内部服务器。

通过配置防火墙，希望实现以下要求：l 外部网络只有特定用户可以访问内部服务器。

l 内部网络只有特定主机可以访问外部网络。

假定外部特定用户的IP地址为202.39.2.3。

2.组网图图5-3 包过滤防火墙配置案例组网图3.配置步骤# 使能包过滤防火墙。

[H3C] firewall packet-filter enable# 设置防火墙缺省过滤方式为允许包通过。

[H3C] firewall packet-filter default permit# 创建访问控制列表3001。

[H3C] acl number 3001# 配置规则允许特定主机访问外部网，允许内部服务器访问外部网。

[H3C-acl-adv-3001] rule permit ip source 129.38.1.4 0[H3C-acl-adv-3001] rule permit ip source 129.38.1.1 0[H3C-acl-adv-3001] rule permit ip source 129.38.1.2 0[H3C-acl-adv-3001] rule permit ip source 129.38.1.3 0[H3C-acl-adv-3001] rule deny ip# 创建访问控制列表3002。