h3c防火墙web配备实例教程

h3c防火墙web配备实例教程h3c防火墙web配备实例教程
H3C的防火墙有必要把接口加到域里边去
#配备接口Ethernet0/0/0参与防火墙Trust域。

[H3C]firewallzonetrust
[H3C-zone-trust]addinterfaceEthernet0/0/0
H3C防火墙的域（zone）
区域（zone）是防火墙商品所引进的一个安全概念，是防火墙商品差异于路由器的首要特征。

一个安全区域包含一个或多个接口的组合，具有一个安全等级。

在设备内部，安全等级经过0～十0的数字来标明，数字越大标明安全等级越高。

V3路径：安全域不存在两个具有相同安全等级的区域。

中低端防火墙缺省有Trust、Untrust、DMZ、local4个安全域，一同还能够自界说12个区域。

V5路径：安全域能够容许两个相同安全等级的区域，缺省有Trust、Untrust、DMZ、local和Management5个安全域，一同能够自界说256个区域，而且只能在Web页面进行配备。

通常来讲，安全区域与各网络的有关遵从下面的准则：内部网络应安排在安全等级较高的区域、外部网络应安排在安全等级最低
的区域。

详细来说，Trust所属接口用于联接用户要维护的网络；Untrust所属接口联接外部网络；DMZ区所属接口联接用户向外部供应效能的有些网络；从防火墙设备本身主张的联接便是从Local区域主张的联接。

相应的悉数对防火墙设备本身的拜访都归于向Local区域主张拜访联接。

防火墙作通常坐被捕络的间隔，其首要责任，是维护客户网络的机密性，确保客户网络的可用性。

一同，作为网络处理员，在确保了网络的安全和可用之余，还需求思考维护的便当性。

在往常网络运维中，网络处理员对防火墙操作最多的，莫过于安全战略，分外是运营商的网络。

防火墙后边触及的网络路径类型很多、战略杂乱，一同，跟着每个类型的效能路径的不断晋级及事务拓宽，需求一再的批改安全战略，这就对网络处理员提出了难题。

今日，咱们就处理、优化此疑问，阐明怎么非常好的安顿H3C防火墙安全战略。

事例：
某运营商网络路径防火墙承载了十0种事务，前期每个路径对外翻开的端口数据现已一次性在防火墙路径上一次性安顿完毕，安全战略如下（相似）：
前期安全战略安登时，安全战略格局：
源域：网络会话主张方地址的网络区域
意图域：网络会话主张方拜访的意图网络区域
ID：由防火墙主动生成
源IP地址：网络会话主张方的IP地址
意图IP地址：网络会话拜访的意图IP地址
过滤动作：permit（容许）/deny（阻断）
跟着事务拓宽，内网路径需求从头删去早年翻开的端口、一同添加新的翻开端口，相似上图中的安全战略，通常客户会直接新增相似上图中的安全战略处理，尽管作业能够处理，可是跟着相似这种操作的不断添加，究竟会致使防火墙安全战略过多，且功用无显着标识，给往常运维带来很大的不便利当当利当当利当当。

关于上述计划，主翻局势时安全战略安登时选用如下进程：
（1）依据内网每个纷歧样类型的路径别离树立纷歧样的IP地址组，并进行中文描绘
（防火墙-本钱处理-地址-IP地址）
（2）界说悉数路径需求翻开的端口（防火墙-本钱处理-效能-自界说效能）
（3）依照每个事务路径界说各自翻开的端口调集
（防火墙-本钱处理-效能-效能组）
（4）配备对应的安全战略
（防火墙一;安全战略-域间战略）
依照此规范进行配备，配备准则为一路径一战略，别忘掉了，战略的究竟加上一条denyany。

此战略是阻断悉数没有授权翻开的网络端口效能。

防火墙别离关于每类路径翻开纷歧样的端口，未授权翻开的端口，一概封闭，确保网络的安全。

依照上述配备办法，往常运维人员能够了解的了解各个路径翻开的端口和效能。

对往常各个路径的对外翻开的端口只需求在（防火墙-本钱处理-效能-效能组）批改需求调整的端口，便当、活络、精确。

各个路径需求新增、删去效能器，只需求在（防火墙-本钱处理-地址-IP地址）中批改IP地址即可。