H3C-防火墙设备专线上网配置(U200-S--V5)
H3C配置经典全面教程(
H3C配置经典全面教程(H3C是一个以网络设备和解决方案为主要业务的公司,其产品广泛应用于企业、政府、运营商等领域。
本文将为大家介绍H3C配置的经典全面教程,希望可以帮助大家更好地了解和使用H3C产品。
首先,我们需要准备一台H3C设备,可以是交换机、路由器等等。
在开始配置之前,我们需要连接到设备的控制台端口,可以通过串口线连接到PC的串口接口或者使用一个转接线连接到PC的USB接口。
然后,我们需要使用一个串口终端工具,比如HyperTerminal或者SecureCRT等,来打开设备的控制台会话。
接下来,我们来进行H3C设备的基本配置。
第一步,进入用户视图。
在设备启动后,我们进入的是用户视图,默认情况下没有用户名和密码,直接按回车键进入用户视图。
第二步,设置设备的主机名和域名。
在用户视图下,我们可以使用以下命令来设置设备的主机名和域名:sysname 设备主机名domain 设备域名第三步,设置管理口IP地址。
在用户视图下,我们可以使用以下命令来设置设备的管理口IP地址:interface vlan-interface 管理口vlan接口号ip address 管理口IP地址管理口子网掩码第四步,配置SSH登录。
在用户视图下,我们可以使用以下命令来设置SSH登录:ssh authentication-type default password第五步,配置Telnet登录。
在用户视图下,我们可以使用以下命令来设置Telnet登录:telnet server enable第六步,配置管理密码。
在用户视图下,我们可以使用以下命令来设置设备的管理密码:user-interface vty 0 4authentication-mode schemeset authentication password cipher 用户密码第七步,保存配置并退出。
在用户视图下,我们可以使用以下命令将配置保存到设备的闪存中,并且退出设备的控制台会话:savequit通过以上步骤,我们完成了H3C设备的基本配置。
H3C U200-S通过ADSL拨号上网设置步骤
H3C U200-S通过ADSL拨号上网设置步骤1、先把要与H3C U200-S防火墙连接的电脑的本地连接的IP地址更改为:192.168.0.X(X为2-100间的任意数),再用一根网线连接到H3C U200-S 的GigabitEthernet0/0端口2、打开IE浏览器,在地址栏里输入http://192.168.0.1并按回车键,出现所下图:3、输入用户名、密码、验证码后点“确定”登陆,出现如下图:4、点击窗口左边的:设备管理-----接口管理,出现如下图:5、点击“新建”,出现如下图:接口名称,选择“Dialer”,端口号,选择“1”,IP配置,选择“PPP协商”,其它的默认就行了,最后点击“确定”。
6、点击左边菜单:网络管理-----PPPOE-------Client信息,出现如下图:(注:如果原来已做有通过ADSL拨号上网方式的配置,则直接编辑原来的Dialer1,更改用户名跟密码,确定就可以了,不需要再重新进行配置)7、点击“新建”,出现如下图:Dialer接口,输入1;用户名、密码处输入电信给的帐号跟密码;绑定端口,选择“GigabitEthernet0/1”,连接方式,选择“永久在线”,完成后点“确定”。
8,归入安全域:设备管理-----安全域Trust:操作:点后面的,编辑安全域,钩上GigabitEthernet0/4后点“确定”。
Untrust:操作:点后面的,编辑安全域,在接口选项中选择GigabitEthernet0/1、Dialer1打钩,完成后点“确定”。
9、建立ACL(用于NA T):防火墙----ACL----新建,输入ID:2000 确定1)点,进入该条列表2)新建(ID可以不输)勾上源IP地址:分别输入,源IP地址:10.15.32.0(注:源IP地址要根据各个图书馆所分配得的,一共有4个段,如钟山县图书馆:10.15.32.0;10.15.33.0;10.15.34.0;10.15.35.0),源地址通配符:0.0.0.255,“确定”后进入继续新建下一条,直到4条建立完成。
H3C防火墙基本配置
H3C防⽕墙基本配置防⽕墙基础配置# 修改设备名称sysname KL_HC_JT_FW_01# 账号密码修改以及服务权限local-user admin class managepassword simple KLL!@#2021service-type ssh terminal httpsauthorization-attribute user-role level-3authorization-attribute user-role network-adminauthorization-attribute user-role network-operatorpassword-control login-attempt 10 exceed lock-time 30# 开启远程ssh,关闭telnetssh server enableundo telnet server enable# 远程登录⾝份认证line vty 0 4authentication-mode schemeuser-role network-admin# 开启web界⾯登录ip https enableundo ip http enable# 开启lldplldp global enable# 配置管理⼝地址,如果出现故障可以直连管理⼝登录防⽕墙security-zone name Managementimport interface GigabitEthernet 1/0/1quit# 配置地址interface GigabitEthernet1/0/11ip address 192.168.0.1 24undo shutdown# 防⽕墙安全策略配置# 允许local到所有区域security-policy ip # IP策略rule 1 name local-any # 序号1,名称local-anyaction pass # 动作pass允许通过logging enable # 记录⽇志source-zone Local # 源安全区域destination-zone Any # ⽬的安全区域rule 2 name trust-untrust # 序号2action pass # 动作pass允许通过logging enable # 记录⽇志source-zone trust # 源安全区域destination-zone untrust # ⽬的安全区域# 移动安全区域顺序move rule rule-id before insert-rule-id # 移动安全策略到哪条安全策略之前# 保存配置save f。
h3c防火墙如何配置
h3c防火墙如何配置h3c防火墙配置好不好会影响到我们机器的使用,那么h3c防火墙该怎么样配置呢?下面由店铺给你做出详细的h3c防火墙配置介绍!希望对你有帮助!h3c防火墙配置一:ACL number ACL规则2000-2999 普通ACL规则 3000-3999 高级ACL规则所以你写2000也可以写2001也可以这个是你自己定义的普通不带端口定义高级可以既3000-3999规则可以带端口定义rule(策略)permit(准许)source (源地址)IP 反掩码NAT outbound 就是NAT方向为出方向应用的ACL规则是2001 整个意思就在接口下做NAT,方向是出。
准许的网段是192.168.2.0/24h3c防火墙配置二:int e3/0/0 接口界面下配置 ip addess 地址掩码 ;int e4/0/0 接口界面下配置 ip addess 192.168.2.254 24系统视图下配置ip route-static 0.0.0.0 0.0.0.0 下一跳地址(公网网关地址)ACL number 2001rule permit source 192.168.2.0 0.0.0.255返回接口E4/0/0下nat outbound 2001h3c防火墙配置三:这组网很简单。
1,首先。
你将防火墙作为出口设备,配置好外网。
接着下挂一个三层交换机,把业务网关(每个县pc的网关)放在这个三层交换机上,作为数据转发。
三层交换机上连防火墙,配置好路由就可以。
这个方案就是说把数据交换的核心放在交换机上,减少防火墙数据压力(防火墙背板带宽不如交换机大)。
2,防火墙下挂的交换机可以用二层或者三层,业务网关放在防火墙上,前提是你下面数据交换少相关阅读:h3c无线简介随着移动互联网趋势加快以及智能终端的快速普及,WLAN应用需求在全球保持高速增长态势。
华三通信作为业界领先的一体化移动网络解决方案提供商,自产品推出以来,稳步增长。
h3c防火墙基本网络配置
(1) 组网需求一个公司通过SecPath防火墙连接到Internet。
公司内部网段为192.168.20.0/24。
由ISP分配给防火墙外部接口的地址范围为202.169.10.1~202.169.10.5。
其中防火墙的接口GigabitEthernet0/0连接内部网络,地址为192.168.20.1;接口GigabitEthernet0/1连接到Internet,地址为202.169.10.1。
WWW Server和FTP Server位于公司网络内部,地址分别为192.168.20.2和192.168.20.3。
要求公司内部网络可以通过防火墙的NAT功能访问Internet,并且外部的用户可以访问内部的WWW Server和Telnet Server。
(2) 组网图图1-1NAT配置组网图(3) 配置步骤第一步:创建允许内部网段访问所有外部资源的基本ACL,以供NAT 使用。
创建ACL的方法可参见5.2.1 ACL配置。
●点击“防火墙”目录中的“ACL”,在右边的ACL配置区域中单击<ACL配置信息>按钮。
●在“ACL编号”中输入基本ACL的编号2001(基本ACL的编号范围为2000~2999),单击<创建>按钮。
在下面的列表中选择此ACL,单击<配置>按钮。
●在ACL配置参数区域中,从“操作”下拉框中选择“Permit”,在“源IP地址”栏中输入192.168.20.0,“源地址通配符”中输入0.0.0.255,单击<应用>按钮。
第二步:创建NAT地址池。
●在“业务管理”目录下的“NAT”子目录中点击“地址池管理”,在右边的配置区域中单击<创建>按钮。
●在“地址池索引号”栏中输入1,“起始地址”栏中输入202.169.10.1,“结束地址”栏中输入202.169.10.5,单击<应用>按钮。
第三步:配置NAT转换类型。
h3c 防火墙配置
1.路由器防火墙配置指导防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问,另一方面可以作为一个访问因特网的权限控制关口,控制内部网络用户对因特网进行Web访问或收发E-mail等。
通过合理的配置防火墙可以大大提高网络的安全性和稳定性。
防火墙配置指导防火墙的基本配置顺序如下:首先使能防火墙:1.ipv4:系统视图下输入firewall enableipv6:系统视图下输入firewall ipv6 enable然后配置acl2.acl number 2000rule 0 permit ip source 192.168.1.0 0.0.0.255rule 1 deny ip3.然后在接口上根据需要应用防火墙interface Ethernet0/1port link-mode routefirewall packet-filter2000 inboundip address 5.0.0.2 255.255.255.0基础配置举例:如前所说,在使能了防火墙后,就要按需求配置acl并应用在接口上,下面给出几个常见的需求的配置方法:1.禁止内网访问外网的某些地址用途:限制上网。
比如禁止访问100.0.0.1地址acl配置:[H3C]acl n 3000[H3C-acl-adv-3000]rule deny ip destination 100.0.0.1 0.0.0.0[H3C-acl-adv-3000]rule permit ip destination 200.0.0.0 0.0.0.255[H3C-acl-adv-3000]rule permit ip允许其它ip端口配置,在内网口入方向配置防火墙[H3C]int et0/1[H3C-Ethernet0/1]firewall packet-filter 3000 inbound备注:1)如果要禁止某个网段,则选择配置适当的掩码就可以了2)如果内网口不止一个,可以在每一个需要的内网口都配上,或者在外网口的出方向配置防火墙2.禁止外网某些地址访问内网用途:放置非法访问。
H3C防火墙命令行配置
精选文档配置防火墙网页登录1.配置防火墙缺省同意报文经过< telecom > system-view[telecom] firewall packet-filter enable[telecom] firewall packet-filter default permit为防火墙的以太网接口(GigabitEthernet0/0 为例)配置IP 地点,并将接口加入到安全域。
[telecom-GigabitEthernet0/0] quit [telecom]firewall zone trust [telecom-zone-trust] addGigabitEthernet 0/02.增添登录取户(成立一个账户名和密码都为admin 的账户种类为telnet )[telecom] local-user admin [telecom-luser-admin] password simple admin [telecom-luser-admin]service-type telnet3. 在 GigabitEthernet 0/1 接口上配置 FTP及 www 内部服务器[telecom-GigabitEthernet0/1] nat outbound 2000 [telecom-GigabitEthernet0/1]nat server protocol tcp global 1.1.1.1 www.[telecom-GigabitEthernet0/1]nat server protocol tcp global 1.1.1.1 ftp [telecom-GigabitEthernet0/1] quit4.配置接见控制列表,同意网段接见 internet [telecom]aclnumber 2000[telecom-acl-basic-2000] rule 1 deny5.IPSec VPN配置配置分企业 IP:到总企业 IP:的 IPSec VPN总企业端VPN配置步骤以下:第一步:配置 ACL3000,严禁总企业IP:接见分企业 IP:时进行 NAT变换,同意总企业IP:接见公网时进行 NAT变换。
h3c防火墙怎么样设置
h3c防火墙怎么样设置h3c防火墙设置一:1、配置要求1)防火墙的e0/2接口为trust区域,ip地址是:192.168.254.1/29;2)防火墙的e1/2接口为untrust区域,ip地址是:202.111.0.1/27;3)内网服务器对外网做一对一的地址映射,192.168.254.2、192.168.254.3分别映射为202.111.0.2、202.111.0.3;4)内网服务器访问外网不做限制,外网访问内网只放通公网地址211.101.5.49访问192.168.254.2的1433端口和192.168.254.3的80端口。
2、防火墙的配置脚本如下dis cur#sysname h3cf100a#super password level 3 cipher 6aq>q57-$.i)0;4:\(i41!!!#firewall packet-filter enablefirewall packet-filter default permit#insulate#nat static inside ip 192.168.254.2 global ip 202.111.0.2 nat static inside ip 192.168.254.3 global ip 202.111.0.3 #firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user net1980password cipher ######service-type telnetlevel 2#aspf-policy 1detect h323detect sqlnetdetect rtspdetect httpdetect smtpdetect ftpdetect tcpdetect udp#object address 192.168.254.2/32 192.168.254.2 255.255.255.255object address 192.168.254.3/32 192.168.254.3 255.255.255.255#acl number 3001deion out-insiderule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0 destination-port eq 1433rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0 destination-port eq wwwrule 1000 deny ipacl number 3002deion inside-to-outsiderule 1 permit ip source 192.168.254.2 0rule 2 permit ip source 192.168.254.3 0rule 1000 deny ip#interface aux0async mode flow#interface ethernet0/0shutdown#interface ethernet0/1shutdown#interface ethernet0/2speed 100duplex fulldeion to serverip address 192.168.254.1 255.255.255.248 firewall packet-filter 3002 inbound firewall aspf 1 outbound#interface ethernet0/3shutdown#interface ethernet1/0shutdown#interface ethernet1/1shutdown#interface ethernet1/2speed 100duplex fulldeion to internetip address 202.111.0.1 255.255.255.224 firewall packet-filter 3001 inbound firewall aspf 1 outboundnat outbound static#interface null0#firewall zone localset priority 100#firewall zone trustadd interface ethernet0/2set priority 85#firewall zone untrustadd interface ethernet1/2set priority 5#firewall zone dmzadd interface ethernet0/3set priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local dmz#firewall interzone trust untrust#firewall interzone trust dmz#firewall interzone dmz untrust#ip route-static 0.0.0.0 0.0.0.0 202.111.0.30 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#h3c防火墙设置二:1、可以找一下买给你设备的人,让他给你找人来上门服务。
H3C SecPath+U200典型配置指导
SecPath U200典型配置指导1 介绍H3C SecPath U200-S是H3C公司面向中小型企业/分支机构设计推出的新一代UTM (United Threat Management,统一威胁管理)设备,采用高性能的多核、多线程安全平台,保障在全部安全功能开启时性能不降低;在防火墙、VPN功能基础上,集成了IPS、防病毒、URL过滤、协议内容审计、带宽管理以及反垃圾邮件等安全功能,产品具有极高的性价比。
H3C公司的SecPath U200-S能够全面有效的保证用户网络的安全,同时还可以使用户避免部署多台安全设备所带来的运营成本和维护复杂性问题。
2 组网需求2.1 组网图2.2 三层模式2.2.1 接口与安全域配置G0/1 三层接口,Trust域,192.168.1.1/24Eth0/0 Trust域,10.254.254.1/24G0/2 三层接口,Untrust域,202.0.0.1/242.2.2 ACL配置用于内网访问Internet时作NAT用于iware访问内网、Internet时作NAT用于深度安全策略2.2.3 NAT配置nat server配置nat outbound配置2.3 二层模式2.3.1 接口与安全域配置G0/1 二层access口,PVID 10,Trust域G0/2 二层access口,PVID为10,UntrustEth0/0 三层接口,Trust域,10.254.254.1/24vlan-interface 10 Trust域,192.168.1.1/242.3.2 ACL配置用于iware访问内网时作NAT用于深度安全策略2.3.3 NAT配置NAT Server配置NAT outbound配置3 U200典型配置举例3.1 IPS/AV特征库升级3.1.1 特征库自动升级(1)功能简述验证U200自动升级IPS/AV特征库(2)测试步骤防火墙Web管理界面,策略管理> 深度安全策略。
H3C防火墙 命令行配置
配置防火墙网页登录1.配置防火墙缺省允许报文通过< telecom > system-view[telecom] firewall packet-filter enable[telecom] firewall packet-filter default permit为防火墙的以太网接口(GigabitEthernet0/0为例)配置IP地址,并将接口加入到安全域。
[telecom] interface GigabitEthernet 0/0[telecom-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0 [telecom-GigabitEthernet0/0] quit[telecom] firewall zone trust[telecom-zone-trust] add GigabitEthernet 0/02.添加登录用户(建立一个账户名和密码都为admin的账户类型为telnet)[telecom] local-user admin[telecom-luser-admin] password simple admin[telecom-luser-admin]service-type telnet3.在GigabitEthernet 0/1接口上配置FTP及www内部服务器[telecom] interface GigabitEthernet 0/1[telecom-GigabitEthernet0/1] ip address 1.1.1.1 255.0.0.0[telecom-GigabitEthernet0/1] nat outbound 2000[telecom-GigabitEthernet0/1]nat server protocol tcp global 1.1.1.1 wwwinside 10.0.0.2[telecom-GigabitEthernet0/1]nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.2[telecom-GigabitEthernet0/1] quit4.配置访问控制列表,允许10.0.0.0/8网段访问internet [telecom]acl number 2000[telecom-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255 [telecom-acl-basic-2000] rule 1 deny5.IPSec VPN配置配置分公司IP:192.168.1.0/24到总公司IP:10.1.1.0/24的IPSec VPN 总公司端VPN配置步骤如下:第一步:配置ACL3000,禁止总公司IP:10.1.1.0/24访问分公司IP:192.168.1.0/24时进行NAT转换,允许总公司IP:10.1.1.0/24访问公网时进行NAT转换。
H3C_SecPath系列防火墙基本上网配置
新手可以根据下面的配置一步一步操作,仔细一点儿就没问题了~!可以用超级终端配置,也可以用CRT配置如果配置了,还是不能上网,可以加我的QQ:957602411恢复出厂设置:Reset saved-configuration配置防火墙缺省允许报文通过:system-viewfirewall packet-filter default permit为防火墙的以太网接口(以Ethernet0/0为例)配置IP地址,并将接口加入到安全区域:interface Ethernet0/0ip address IP地址子网掩码quitfirewall zone trustadd interface Ethernet0/0quit添加登录用户为使用户可以通过Web登录,并且有权限对防火墙进行管理,必须为用户添加登录帐户并且赋予其权限:local-user 登录账号password simple 登录密码service-type telnetlevel 3quitquitsysfirewall packet-filter default permitdialer-rule 1 ip permitacl number 3000rule 0 permit ipquitinterface Dialer1link-protocol pppppp chap user PPPOE账号ppp chap password simple PPPOE密码ip address ppp-negotiatedialer-group 1dialer bundle 1nat outbound 3000quitinterface Ethernet0/4pppoe-client dial-bundle-number 1firewall zone untrustadd interface Ethernet0/4add interface Dialer1quitfirewall zone trustadd interface Ethernet0/0quitip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60 save。
H3C防火墙固定IP上网配置命令
H3C防火墙固定IP上网配置命令:1、配置防火墙包过滤模式<h3c>sys 进入系统视图2、配置ip地址,地址请以实际为准[h3c]interface Ethernet0/0 -----------配置外网口地址[h3c-Ethernet0/0]ip address ***.***.***.*** 255.255.255.0 这个地址请以运用商给的为准[h3c]interface Ethernet0/1 ------------配置内网口地址[h3c-Ethernet0/0]ip address 192.168.1.1 255.255.255.0 这个地址根据实际需求更改3、配置安全域并把端口加入域[h3c-zone]firewall zone trust 内网口加入trust[h3c-zone-trust]add interface Ethernet0/1[h3c-zone-trust]quit[h3c-zone]firewall zone untrust 外网口加入untrust[h3c-zone-untrust]add interface Ethernet0/0[h3c-zone-untrust]quit4、配置nat在外网接口,如果不是配置在外网出口,不需要配置这一步[h3c]acl number 2000[h3c-acl-basic-2000]rule permit[h3c-acl-basic-2000]quit[h3c]interface Ethernet0/0[h3c-Ethernet0/0]nat outbound 20005、配置默认路由出外网[h3c]ip route-static 0.0.0.0 0.0.0.0 ***.***.***.*** 这个地址根据运营商提供的外网网关为准6、DHCP 服务器配置(选配)[h3c]dhcp enable[h3c] dhcp server forbidden-ip 192.168.1.1 dhcp不分配192.168.1.1这个地址,有其他不分配的地址一样配置[h3c]dhcp server ip-pool 1 创建地址池,分配192.168.1.0网段地址[h3c-dhcp-1]network 192.168.1.0 mask 255.255.255.0[h3c-dhcp-1]gateway-list 192.168.1.1 分配网关[h3c-dhcp-1]dns-list 8.8.8.8 分配dns,这个地址请以运营商提供为准。
H3C U200-S防火墙配置
H3C U200-S web配置
UTM设备支持Web网管功能,管理员可以使用Web界面方便直观的管理和维护UTM设备。
UTM设备出厂时已经设置默认的Web登录信息,用户可以直接使用该默认信息登录UTM设备的Web界面。
默认的Web登录信息包括:
用户名:“admin”
密码:“admin”
UTM设备的IP地址:“192.168.0.1”
采用Web方式登录UTM设备的步骤如下:
(1)连接UTM设备
用以太网线将PC和UTM设备的GigabitEthernet0/0相连。
(2)设置PC的IP地址,保证能与UTM设备互通
设置PC的IP地址为192.168.0.0/24(192.168.0.1除外),例如:192.168.0.2。
(3)启动浏览器,输入登录信息
在PC上启动浏览器(建议使用IE5.0及以上版本),在地址栏中输入IP地址“192.168.0.1”后按回车,即可进入UTM设备的Web登录界面,接着输入登录信息:用户名“admin”
密码“admin”
验证码(由验证码图片获取)
语言(中/英文)
单击<登录>按钮即可登录UTM设备。
H3C防火墙设备专线上网配置(U200SV5)
V5防火墙设备上网配置一组网需求防火墙网电脑可以经过防火墙去上网二组网拓扑网电脑------(G0/2)防火墙(G0/1)-----光猫—运营商三组网配置第一步:防火墙开启了WEB服务, PC通过网线连接到防火墙的GE0口,将电脑的IP 地址修改为192.168.0.10 掩码为255.255.255.0打开一个浏览器(建议使用IE浏览器)在地址栏输入192.168.0.1会显示如下页面:用户名和密码默认为:admin输入用户名密码和验证码后,点击登录即可登陆到设备的WEB管理页面。
第二步:登陆设备后,将1口设置为WAN口连接外网,2口设置为LAN口,连接网,配置上网操作步骤如下:1.将接口添加到安全域:1.1将1号口加入untrust域1.2 将2号口加入trust域:2.配置公网接口IP地址及指网关2.1.1配置运营商分配的公网地址2.1.2 配置默认路由指向公网网关3.配置网口地址1. 配置DNS地址信息4.1.1开启设备DNS代理和DNS动态域名解析功能4.1.2 配置运营商DNS地址(如果您是固定IP地址方式上网,运营商会给您相应的DNS地址,如果是拨号方式上网,那只需开启DNS代理功能即可,动态域名解析功能可以不用开启,也不需要设置DNS服务器IP地址)4.1.3配置nat动态地址转换:配置acl 2001匹配网的源ip地址网段,然后做nat动态地址转换,如果是静态公网ip,或者是动态获取的ip地址,请选择宽带连接的物理接口;如果是拨号上网,请选择dialer口,转换方式选择easy ip。
第三步:经过上面两步的配置,您的电脑连接在2号端口,将电脑的地址配置为192.168.1.0网段的地址(192.168.1.1除外),掩码:255.255.255.0 网关:192.168.1.1 DNS地址192.168.1.1之后,您的电脑就可以成功访问网络。
5.选择性配置:如果您的网电脑非手工指定IP地址上网,而是需要通过自动获取IP地址的方式来上网,需要在防火墙上开启DHCP功能,配置如下:第一步:在“网络管理”--“DHCP”---“DHCP服务器”中,点击DHCP服务的“启动”,然后选中地址池中的“动态”,点击“新建”。
H3C V5防火墙配置
local-user admin
password cipher $c$3$gmxZXNa16QSmTkRpJ4HGJh8UPokAEc+oDjeNcR9Z
authorization-attribute level 3
service-type telnet
service-type web
#
vlan 1
#
vlan 100
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
#
pki domain default
crl check disable
#
ike proposal 1
encryption-algorithm 3des-cbc
dh group2
authentication-algorithm md5
#
ike peer wuhu2
exchange-mode aggressive
proposal 1
pre-shared-key cipher $c$3$5eDtUtHKAN6UOEFfFIAUTnghR41kFDxZ/JpOvg==
#
ike local-name wuhu
#
domain default enable system
#
telnet server enable
#
port-security enable
#
web https-authorization mode auto
H3C SecPath U200-S配置基本思路
H3C SecPath U200-S配置基本思路
(1)在配置UTM设备之前,需要将组网需求具体化、详细化,包括:组网目的、UTM 设备在网络互连中的角色、子网的划分、广域网类型和传输介质的选择、网络的安全策略和网络可靠性需求等。
(2)然后根据以上要素绘出一个清晰完整的组网图。
(3)配置UTM设备的广域网接口,首先根据选择的广域网传输介质,配置接口的物理工作参数(如波特率和同步时钟等),对于拨号口,还需要配置DCC参数;然后根据选择的广域网类型,配置接口封装的链路层协议以及相应的工作参数。
(4)根据子网的划分,配置UTM设备各接口的IP地址。
(5)配置路由,如果需要启动动态路由协议,还需配置相关动态路由协议的工作参数。
(6)如果有特殊的安全需求,则需进行UTM设备的安全性配置。
(7)如果有特殊的可靠性需求,则需进行UTM设备的可靠性配置。
关于UTM设备各协议或功能配置的详细介绍,请参见产品相关手册。
H3C防火墙(V5)配置规范
开启ALG的命令: [F1000E]ALG H323 ALG使用自定义端口: [F1000E] port-mapping h323 port 11111
Current
ICMP session(s): 0
Current RAWIP session(s): 0
Current relation table(s): 0
Received RAWIP:
<F5000>display session relation-table
4
NQA
NQA基本只使用ICMP,其他方式需要目 标机支持,即目标机为H3C支持NQA的 设备,另外配置ICMP NQA不需要开启 NQA AGENT.
中间有2层设备或者3层设备
关闭
打开 关闭 关闭 关闭 关闭 关闭 关闭 关闭 打开 关闭 关闭 关闭 关闭
要实现相关需求可打开,一般不使用
有些特殊局点需要开启 使用H.323协议的应用需要开启,一般不使用
有PPTP业务从防火墙透传,需要开启,一般不使用 运营商相关应用较多,建议开启
ALG功能只适用老版本oracle,一般不使用
16
虚拟分片重组
将攻击报文进行IP分片是一种常见的穿越防火墙技术, H3C防火墙为了抵御这种攻击,必须 开启虚拟分片重组。另外分片报文经过防火墙时,为了解决匹配会话的问题,也必须开启虚拟 分片重组。但是虚拟分片重组的队列存在限制,容易造成PING大包无法通过防火墙。 这种情况下: 1、我们要纠正客户使用ping大包来评价网络状况的方法 2、可以优化虚拟分片重组的配置
13
Userlog
14
Userlog
Userlog是发送会话日志(又称NAT日志)的一种的方法,设备还支 持syslog发送的方式,由于syslog对设备CPU消耗较大,会造成设备 不稳定,所以我们禁止使用syslog的方式发送会话日志; 除了IMC和SecCenter,其他网管要接受Userlog,必须进行开发, Userlog的日志格式可以向二线咨询 SecCenter看不到NAT日志的情况: 1、时间配置有问题,目前版本支持两种方式发送,一种是以本地时 钟发送(加上时区以后),一种是以格林威治时间发送(不加时 区),在SecCenter侧,选择以本地时钟处理(在时间戳上加上时 区信息),以格林威治时间处理(不加时区) 2、设备上没有会话产生和老化
H3C防火墙设备专线上网配置U200SV5
H3C-防火墙设备专线上网配置(U200-S--V5)V5防火墙设备上网配置一组网需求防火墙内网电脑可以经过防火墙去上网二组网拓扑内网电脑------(G0/2)防火墙(G0/1)-----光猫—运营商三组网配置第一步:防火墙开启了WEB服务, PC通过网线连接到防火墙的GE0口,将电脑的IP 地址修改为192.168.0.10 掩码为255.255.255.0打开一个浏览器(建议使用IE浏览器)在地址栏输入192.168.0.1会显示如下页面:用户名和密码默认为:admin输入用户名密码和验证码后,点击登录即可登陆到设备的WEB管理页面。
第二步:登陆设备后,将1口设置为WAN口连接外网,2口设置为LAN口,连接内网,配置上网操作步骤如下:1.将接口添加到安全域:1.1将1号口加入untrust域1.2 将2号口加入trust域:2.配置公网接口IP地址及指网关2.1.1配置运营商分配的公网地址2.1.2 配置默认路由指向公网网关3.配置内网口地址1. 配置DNS地址信息4.1.1开启设备DNS代理和DNS动态域名解析功能4.1.2 配置运营商DNS地址(如果您是固定IP地址方式上网,运营商会给您相应的DNS地址,如果是拨号方式上网,那只需开启DNS代理功能即可,动态域名解析功能可以不用开启,也不需要设置DNS服务器IP地址)4.1.3配置nat动态地址转换:配置acl 2001匹配内网的源ip地址网段,然后做nat动态地址转换,如果是静态公网ip,或者是动态获取的ip地址,请选择宽带连接的物理接口;如果是拨号上网,请选择dialer口,转换方式选择easy ip。
第三步:经过上面两步的配置,您的电脑连接在2号端口,将电脑的地址配置为192.168.1.0网段的地址(192.168.1.1除外),掩码:255.255.255.0 网关:192.168.1.1 DNS地址192.168.1.1之后,您的电脑就可以成功访问网络。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
V5防火墙设备上网配置
一组网需求
防火墙内网电脑可以经过防火墙去上网
二组网拓扑
内网电脑------(G0/2)防火墙(G0/1)-----光猫—运营商
三组网配置
第一步:
防火墙开启了WEB服务, PC通过网线连接到防火墙的GE0口,将电脑的IP 地址修改为192.168.0.10 掩码为255.255.255.0
打开一个浏览器(建议使用IE浏览器)在地址栏输入192.168.0.1
会显示如下页面:
用户名和密码默认为:admin
输入用户名密码和验证码后,点击登录即可登陆到设备的WEB管理页面。
第二步:
登陆设备后,将1口设置为WAN口连接外网,2口设置为LAN口,连接内网,配置上网操作步骤如下:
1.将接口添加到安全域:
1.1将1号口加入untrust域
1.2 将2号口加入trust域:
2.配置公网接口IP地址及指网关2.1.1配置运营商分配的公网地址
2.1.2 配置默认路由指向公网网关
3.配置内网口地址
1. 配置DNS地址信息
4.1.1开启设备DNS代理和DNS动态域名解析功能
4.1.2 配置运营商DNS地址(如果您是固定IP地址方式上网,运营商会给您相
应的DNS地址,如果是拨号方式上网,那只需开启DNS代理功能即可,动态域名解析功能可以不用开启,也不需要设置DNS服务器IP地址)
4.1.3配置nat动态地址转换:配置acl 2001匹配内网的源ip地址网段,然后
做nat动态地址转换,如果是静态公网ip,或者是动态获取的ip地址,请选择
宽带连接的物理接口;如果是拨号上网,请选择dialer口,转换方式选择easy ip。
第三步:
经过上面两步的配置,您的电脑连接在2号端口,将电脑的地址配置为192.168.1.0网段的地址(192.168.1.1除外),掩码:255.255.255.0 网关:192.168.1.1 DNS地址192.168.1.1之后,您的电脑就可以成功访问网络。
5.选择性配置:
如果您的内网电脑非手工指定IP地址上网,而是需要通过自动获取IP地址的方式来上网,需要在防火墙上开启DHCP功能,配置如下:
第一步:在“网络管理”--“DHCP”---“DHCP服务器”中,点击DHCP服务的“启动”,然后选中地址池中的“动态”,点击“新建”。
第二步:配置DHCP地址池属性
第三步:
经过上面两步的配置,您的电脑连接在2号端口,将电脑设置为自动获取IP地址,就可以自动获取到192.168.1.0网段的地址,并能成功上网了。
1. 保存配置(重要)
如果您在按照如上配置后可以成功连接上网络,并能上网,请您回到设备的WEB页面,保存一下配置(设备本身不会自动保存配置,如果没有保存配置,当设备断电或重启,之前所配置的都会丢失),位置如下:。