H3C防火墙安全加固之设备篇

H3C SecPath F100-A-G2 防火墙的透明模式和访问控制。

注意：安全域要在安全策略中执行。

URL 和其他访问控制的策略都需要在安全策略中去执 行。

安全策略逐条检索，匹配执行，不匹配执行下一条，直到匹配到最后，还没有的则丢弃。

配置的步骤如下：一、首先连接防火墙开启WEB 命令为： yssecurity-zone name Trustimport interface GigabitEthernet1/0/0 import interface GigabitEthernet1/0/1 interface GigabitEthernet1/0/0 port link-mode routeip address 100.0.0.1 255.255.255.0 acl advanced 3333 rule 0 permit ipzone-pair security source Trust destination local packet-filter 3333zone-pair security source local destination Trust packet-filter 3333local-user admin class manage password hash adminservice-type telnet terminal http https authorization-attribute user-role level-3authorization-attribute user-role network-admin ip http enable ip https enable详情：将接口划入到域中，例如将G1/0/2、G1/0/3 口变成二层口，并加入到="$=域中□mt1巨加 1出1*T1部世上田口 D 目的电北同声 IES1应用 1 SrfliS 1时向率1卡志^slwsjz I 氏为1倜由=ArvMy 0日n 乎any sn/any- 开启 音 - □ Tmsi rnjtf ［心•伊内部址 any 目的 a ❿ 孙-开启 e - 4 a□ Trust Tiufl 1 AfF芷有勘F访问1翻5 anyiW开启 E -□ Irusit Unlruat-any耐 any 3N 呻开启 舌-□ urenjKFruM0 ftHF any;3叮a 值a*-开售 3 -二、进入WEB ，将接口改为二层模式，在将二层模式的接口划到Trust 安全域中。

H3C设备维护及故障处理指南1.前言在日常网络运维工作中，H3C（华三）设备是企业常用的一种网络设备。

为了确保网络的正常运行，提高网络设备的可靠性和稳定性，及时解决故障是非常重要的。

本指南将介绍H3C设备的维护和故障处理方法。

2.H3C设备维护2.1定期备份设备配置为了防止设备故障或配置丢失导致的网络中断，我们应定期备份设备的配置文件。

可以通过命令行界面或Web界面进行备份，并将文件保存在安全的地方，以备不时之需。

2.2定期升级设备固件H3C公司定期会发布新的设备固件版本，其中包括修复了一些已知的漏洞和故障，并提供了一些新的功能和性能改进。

因此，我们应该及时升级设备的固件，以确保设备的安全性和稳定性。

2.3监控设备的运行状态我们应该使用H3C设备提供的监控工具，如SNMP（Simple Network Management Protocol）或Syslog，来实时监控设备的运行状态。

这样可以及时发现设备的异常行为，并采取相应的措施，预防故障的发生。

3.H3C设备故障处理3.1故障排查与定位当发生网络故障时，应首先进行故障排查与定位。

可以通过以下步骤来进行排查：a.检查设备的各个接口是否正常工作，如链路是否正常、接口是否有异常状态等。

b.检查设备的日志信息，查找可能有关的错误或警告。

c. 对设备所在的网络进行测试，如Ping测试、Traceroute测试等，以确定故障范围和位置。

3.2故障解决方案根据排查与定位的结果a.如果是单一设备的故障，可能需要进行设备重启或问题接口的关闭/开启等操作。

b.如果是局部网络的故障，可能需要对网络中的其他设备进行检查，如交换机、路由器等。

c.如果是全局网络的故障，可能需要考虑网络中的整体拓扑结构，找出可能的单点故障，并进行相应的维修或切换。

3.3故障记录与总结在处理故障的过程中，应及时记录故障的相关信息，包括故障现象、解决过程和方法、影响范围等。

这样可以帮助我们更好地总结故障原因和处理方法，以便于以后的故障处理和维护工作。

H3C SecPath F1000-S防火墙安装手册杭州华三通信技术有限公司资料版本：T1-08044S-20070419-C-1.03声明Copyright ©2006-2007 杭州华三通信技术有限公司及其许可者版权所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

H3C、、Aolynk、、H3Care、、TOP G、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、V n G、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标。

对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

如需要获取最新手册，请登录。

技术支持用户支持邮箱：customer_service@技术支持热线电话：800-810-0504（固话拨打）400-810-0504（手机、固话均可拨打）网址：前言相关手册手册名称用途《H3C SecPath系列安全产品操作手册》介绍H3C SecPath系列安全网关/防火墙的功能特性、工作原理和配置及操作指导。

《H3C SecPath系列安全产品命令手册》详细介绍H3C SecPath系列安全网关/防火墙所涉及的配置和操作命令。

包括命令名、完整命令行、参数、操作视图、使用指导和操作举例。

《H3C SecPath系列安全产品Web配置手册》指导用户通过Web方式对H3C SecPath系列防火墙进行配置操作。

本书简介本手册各章节内容如下：z第1章产品介绍。

介绍H3C SecPath F1000-S防火墙的特点及其应用。

华三防火墙H3C F100配置说明一、开通网口用超级终端开通GE0/0网口先输入〈H3C〉system-view 初始化配置再输入[H3C] interzone policy default by-priority 开通GE0/0网口二、连接将服务器的IP设成192.168.0.2 子网掩码255.255.255.0与华为防火墙的GE0/0相连（默认iP是192.168.0.1）三、配置1.打开浏览器，输入192.168.0.12.输入用户名（admin ）、密码（admin ）以及验证码（注意大小写）后进入配置界面。

3.先把端口加入相应的域。

外网口就加入Untrust 域，内网口就加入Trust口。

设备管理—安全域，编辑Trust和Untrust区域。

选择0/1为Trust区域，选择0/2为Untrust区域。

4.为相应的接口配置上相应的IP地址。

设备管理—接口管理，编辑0/1,三层模式，静态路由，IP地址192.168.1.1 掩码：255.255.255.0编辑0/2,三层模式，静态路由，IP地址10.178.177.230 掩码：255.255.255.05.网络管理—DHCP-DHCP服务器，选择启动，动态。

新建，如下图填入IP,掩码，网关和DNS.6.防火墙—ACL新建ACL,在ID中填入2000确定后点击详细信息，新建对2000进行配置，pernit和无限制。

7.防火墙—NAT—动态地址转化新建，选择0/2口，2000，easy IP。

8.网络管理—路由管理—静态路由新建目标IP：0.0.0.0 掩码：0.0.0.0 下一跳：10.178.177.129出接口：0/29.设备管理—配置管理。

备份。

10.服务器网口填自动获取IP，与内网口0/1相连；外网连入外网口0/2。

0/0为配置口。

H3C SecPath系列防火墙（V5）维护指导书（V1.0）杭州华三通信技术有限公司2016-03-29 H3C机密，未经许可不得扩散第1页，共35页修订记录Revision Records2016-03-29 H3C机密，未经许可不得扩散第2页，共35页目录1.日常维护建议总则 (7)1.1.日常维护建议 (7)1.2.维护记录表格和维护操作指导书的使用说明 (8)2.安装操作指导 (9)3.维护操作指导 (10)3.1.H3C S EC P ATH防火墙设备现场巡检 (10)3.2.设备日常维护操作指导 (11)3.3.设备季度维护操作指导 (12)3.4.H3C设备年度维护操作指导 (12)4.入门维护 (13)4.1.基本概念 (13)4.2.产品FAQ (17)5.常见故障处理 (21)5.1.S EC P ATH防火墙故障诊断流程 (21)5.2.H3C S EC P ATH防火墙系统维护 (21)5.3.S EC P ATH防火墙连通性 (22)5.4.N AT故障处理 (22)5.5.攻击防范故障处理 (23)6.常见问题及FAQ (25)6.1.N AT专题篇FAQ (25)6.2.攻击防范篇FAQ (26)6.3.高可靠性篇FAQ (27)7.附录 (29)7.1.维护记录表格 (29)7.2.H3C公司资源和求助途径 (35)2016-03-29 H3C机密，未经许可不得扩散第3页，共35页H3C SecPath系列防火墙维护指导书关键词：SecPath防火墙、维护指导、常见问题、摘要：此文档用于指导日常维护H3C 防火墙产品及解决常见故障参考使用，主要描述用户维护部门周期性（每天、每季、每年）对H3C SecPath系列防火墙设备进行健康性检查的相关事项。

适用对象：本文档适用于H3C SecPath系列防火墙产品的日常操作和维护工程师。

缩略语清单：2009-4-10 H3C版权所有，未经许可不得扩散第4页, 共35页产品简介伴随着因特网的蓬勃发展，网络协议的开发性注定了给入侵者留下了众多的入侵机会，安全的网络也跟着提升到一个全新的高度。

h3c防火墙配置教程H3C防火墙是一种常见的网络安全设备，用于保护企业网络免受恶意攻击和未经授权的访问。

通过配置H3C防火墙，可以实现对网络流量进行监控和管理，提高网络的安全性和稳定性。

下面将为您介绍H3C防火墙的配置教程。

首先，我们需要连接到H3C防火墙的管理界面。

可以通过网线将计算机连接到防火墙的管理口上。

然后，打开浏览器，输入防火墙的管理IP地址，登录到防火墙的管理界面。

登录成功后，我们可以开始配置防火墙的策略。

首先，配置入方向和出方向的安全策略。

点击“策略”选项卡，然后选择“安全策略”。

接下来，我们需要配置访问规则。

点击“访问规则”选项卡，然后选择“新增规则”。

在规则配置页面，我们可以设置源地址、目的地址、服务类型等规则条件。

除了访问规则，我们还可以配置NAT规则。

点击“NAT规则”选项卡，然后选择“新增规则”。

在规则配置页面，我们可以设置源地址、目的地址、服务类型等规则条件，并设置相应的转换规则。

配置完访问规则和NAT规则后，我们还可以进行其他配置，如VPN配置、远程管理配置等。

点击对应的选项卡，然后根据实际需求进行配置。

配置完成后，我们需要保存配置并生效。

点击界面上的“保存”按钮，然后点击“应用”按钮。

防火墙将会重新加载配置，并生效。

最后，我们需要进行测试，确保防火墙的配置可以实现预期的效果。

可以通过给防火墙配置规则的源地址发送网络流量进行测试，然后查看防火墙是否根据配置对流量进行了相应的处理。

总结起来，配置H3C防火墙需要连接到防火墙的管理界面，配置安全策略、访问规则、NAT规则等，保存配置并生效，最后进行测试。

通过这些步骤，可以配置H3C防火墙以提高网络的安全性和稳定性。

希望以上的H3C防火墙配置教程对您有所帮助。

如果还有其他问题，可以随时向我提问。

H3C SecPath Web应用防火墙安全手册杭州华三通信技术有限公司资料版本：APW100-20150612Copyright © 2015 杭州华三通信技术有限公司及其许可者 版权所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

H3C 、、H3CS 、H3CIE 、H3CNE 、Aolynk 、、H 3Care 、、IRF 、NetPilot 、Netflow 、SecEngine 、SecPath 、SecCenter 、SecBlade 、Comware 、ITCMM 、HUASAN 、华三均为杭州华三通信技术有限公司的商标。

对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

由于产品版本升级或其他原因，本手册内容有可能变更。

H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，H3C 尽全力在本手册中提供准确的信息，但是H3C 并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

技术支持用户支持邮箱：***************技术支持热线电话：400-810-0504（手机、固话均可拨打）网址：资料获取方式您可以通过H3C 网站（ ）获取最新的产品资料：H3C 网站与产品资料相关的主要栏目介绍如下：•[服务支持/文档中心]：可以获取硬件安装类、软件升级类、配置类或维护类等产品资料。

•[产品技术]：可以获取产品介绍和技术介绍的文档，包括产品相关介绍、技术介绍、技术白皮书等。

•[解决方案]：可以获取解决方案类资料。

• [服务支持/软件下载]：可以获取与软件版本配套的资料。

资料意见反馈如果您在使用过程中发现产品资料的任何问题，可以通过以下方式反馈：E-mail ：************感谢您的反馈，让我们做得更好！环境保护本产品符合关于环境保护方面的设计要求，产品的存放、使用和弃置应遵照相关国家法律、法规要求进行。

H3C交换机安全加固手册（Comware V7）Copyright © 2019 新华三技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

除新华三技术有限公司的商标外，本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

本文档中的信息可能变动，恕不另行通知。

目录1本书约定 (1)1.1 读者对象 (1)1.2 接口编号约定 (1)1.3 特别申明 (1)2概述 (1)2.1 安全威胁 (1)2.1.1 管理平面和控制平面的安全威胁 (1)2.1.2 转发平面的安全威胁 (2)2.2 安全体系架构 (3)2.3 安全加固的基本原则 (4)3管理平面安全加固 (4)3.1 登录及访问设备的安全 (4)3.1.1 通过Console口/USB口登录设备 (4)3.1.2 通过Stelnet登录设备 (6)3.1.3 通过RESTful访问设备 (8)3.1.4 通过SNMP访问设备 (8)3.1.5 通过Web登录设备 (10)3.1.6 文件访问安全 (10)3.1.7 EPON的ONU用户认证 (12)3.1.8 FC端口安全 (12)3.2 登录用户及权限管理 (13)3.2.1 管理登录用户权限（RBAC） (13)3.2.2 AAA（认证、授权、计费） (13)3.2.3 命令行授权 (14)3.2.4 Password Control (14)3.2.5 修改SmartMC成员设备的密码 (15)3.3 密码设置安全 (15)3.4 设备管理安全 (16)3.4.1 配置密码恢复功能 (16)3.4.2 关闭USB接口 (16)3.4.3 配置内存告警门限 (16)3.5 配置文件加密 (18)3.6 安全日志 (19)3.7 VXLAN安全 (20)3.7.1 MAC地址学习 (20)3.7.2 ARP/ND安全 (20)3.7.3 ARP迁移抑制 (21)3.7.4 泛洪抑制 (21)4控制平面安全加固 (22)4.1 二层协议安全 (22)4.1.1 生成树保护功能 (22)4.1.2 LLDP邻居验证与超时保护功能 (23)4.2 ARP攻击防御 (25)4.2.1 源MAC为组播的ARP表项检查功能 (25)4.2.2 泛洪类ARP报文攻击防范 (25)4.2.3 防御ARP欺骗类攻击功能 (27)4.3 ND攻击防御 (32)4.3.1 ND Snooping (32)4.3.2 ND协议报文源MAC地址一致性检查功能 (32)4.3.3 ND Detection功能 (33)4.3.4 RA Guard功能 (33)4.3.5 IPv6 Destination Guard功能 (35)4.4 接入业务安全 (35)4.4.1 802.1X (35)4.4.2 端口安全 (36)4.4.3 Portal (37)4.4.4 限制Web认证最大用户数 (39)4.4.5 FIP Snooping (39)4.4.6 HTTPS重定向 (39)4.5 DHCP安全 (40)4.5.1 DHCP Flood攻击防范功能 (40)4.5.2 防止DHCP饿死攻击功能 (41)4.5.3 DHCP用户类白名单功能 (42)4.5.4 DHCP中继用户地址表项管理功能 (42)4.5.5 DHCP中继支持代理功能 (43)4.5.6 DHCPv6服务器记录的地址租约表项转化为IP Source Guard动态表项功能 (43)4.5.7 DHCP Snooping (44)4.5.8 DHCPv6 guard (44)4.6 DNS安全 (44)4.7 ICMP安全 (45)4.8 TCP安全 (45)4.8.1 SYN Cookie功能 (45)4.8.2 禁止发送TCP报文时添加TCP时间戳选项信息 (46)4.9 路由协议安全 (46)4.9.1 RIP/RIPng (46)4.9.2 OSPF/OSPFv3 (47)4.9.3 IS-IS (48)4.9.4 BGP (49)4.10 组播安全 (51)4.10.1 IGMP Snooping/MLD Snooping (51)4.10.2 PIM/IPv6 PIM (53)4.10.3 MSDP (53)4.11 MPLS安全 (54)4.11.1 LDP (54)4.11.2 RSVP (54)4.12 控制平面限速及丢包告警 (55)4.12.1 协议报文限速 (55)4.12.2 控制平面协议丢包告警日志 (56)4.13 WLAN管理与接入安全（仅支持融合AC产品适用） (56)4.13.1 CAPWAP隧道加密 (56)4.13.2 WLAN客户端接入控制功能 (57)4.13.3 WLAN用户接入认证 (58)4.13.4 WLAN用户安全 (59)4.13.5 WIPS (59)4.14 高可靠性协议报文认证 (59)4.14.1 DLDP报文认证 (59)4.14.2 VRRP报文认证 (60)4.14.3 BFD控制报文认证 (61)4.15 时间管理协议报文认证 (61)4.15.1 NTP服务的访问控制权限 (61)4.15.2 NTP报文认证 (62)4.15.3 SNTP报文认证 (66)5转发平面安全加固 (68)5.1 安全隔离 (68)5.1.1 端口隔离 (68)5.1.2 用户隔离（仅支持融合AC产品适用） (68)5.1.3 远程配置EPON ONU设备的UNI端口隔离 (68)5.2 广播、组播、未知单播抑制 (69)5.2.1 风暴抑制和流量阈值控制 (69)5.2.2 丢弃未知组播报文 (70)5.3 MAC地址安全管理 (71)5.3.1 黑洞MAC地址 (71)5.3.2 关闭MAC地址学习 (71)5.3.3 控制MAC地址学习 (71)5.3.4 配置接口的MAC地址学习优先级 (72)5.3.5 MAC地址迁移上报和抑制功能 (72)5.4 数据流保护 (73)5.4.1 MACsec (73)5.4.2 IPsec (73)5.4.3 EPON数据流保护 (74)5.5 报文＆流量过滤 (74)5.5.1 ACL (74)5.5.2 流量过滤 (75)5.5.3 IP Source Guard (76)5.5.4 IP Source Guard（仅支持融合AC产品适用） (76)5.5.5 MFF (76)5.5.6 uRPF (77)5.5.7 SAVI (77)5.5.8 Voice VLAN的安全模式 (77)5.6 攻击检测与防范 (78)5.6.1 DoS攻击检测与防范 (78)5.6.2 Naptha攻击防范 (78)1 本书约定1.1 读者对象本手册主要适用于如下工程师：•网络规划人员•现场技术支持与维护人员•负责网络配置和维护的网络管理员1.2 接口编号约定本手册中出现的接口编号仅作示例，并不代表设备上的实际接口编号。

安全加固方案1安全加固概述随着网络技术的飞速发展，网络安全逐渐成为影响信息系统业务发展的关键问题。

由于信息系统拥有各种网络设备、操作系统、数据库和应用系统，存在大量的安全漏洞，对其进行安全加固增加其安全性是十分必要的。

安全加固是指参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，对信息系统涉及的主机、网络设备、应用及数据库的脆弱性进行分析并修补，包括安全配置加固和漏洞修补，增强用户信息系统抗攻击能力，有效减轻系统总体安全风险，提升信息系统安全防范水平，可以建立起一套适应性更强的安全保障基线，有效构建起信息系统安全堤坝。

2安全加固内容安全加固是参考国内国际权威的系统安全配置标准，并结合用户信息系统实际情况，在用户允许的前提下，对重要服务器的操作系统和应用服务进行适度安全配置加固和系统安全优化，包括打补丁、停止不必要的服务、升级或更换程序、修改配置及权限等，包括操作系统安全加固和优化、应用软件安全加固和优化、网络设备安全加固和优化，加固服务内容包括基线加固、漏洞修复和安全设备调优。

2.1基线加固2.1.1主机加固针对目前使用的操作系统，如Windows、Linux、AIX等进行加固。

Windows设备安全加固内容：账号、口令、授权、日志配置操作、日志保护配置、共享文件夹及访问权限、Windows服务、防病毒管理、自动播放、屏幕保护、远程登录控制、补丁管理、IP协议安全配置操作、时间同步服务。

Linux操作系统安全加固内容：账号、口令、文件权限、IP协议安全、日志审计、关闭不必要的服务、资源控制。

AIX操作系统安全加固内容：账号、口令、授权、日志配置、IP协议安全、路由协议安全、补丁管理、内核调整、服务进程和启动、AIX可被利用的漏洞。

2.1.2数据库加固针对不同数据库类型的数据库如Oracle、SQL Server、MySQL等进行加固，加固服务的内容包括：身份鉴别、访问控制、安全审计、资源控制等安全项加固。

h3c路由器防火墙怎么样设置h3c路由器防火墙怎么样设置才最好呢?小编来告诉你!下面由店铺给你做出详细的h3c路由器防火墙设置介绍!希望对你有帮助!h3c路由器防火墙设置一：打开IE浏览器，在IE地址栏中输入192.168.0.1(不同品牌路由器可能登录的网关地址会有不同比如有的是192.168.1.1的网关，路由器底面的贴条上一般都注明，包括用户名和密码)。

，然后回车，出来一个用户名密码的登录小页面，初始用户名和密码默认都是admin，输入之后，点”确定“进入路由器设置界面。

在路由器设置界面左面菜单栏里有一项“快速设置”选项，点击该项，然后出来一个页面让选择上网方式(若联通或者电信，给的是账号密码就选择PPPOE方式，若给的是一组IP地址，选择静态IP方式，静态IP方式下，填写上网宽带信息的时候，记得填上当地的DNS)。

然后点击下一步，填写无线网账号和密码，点击保存，在路由器菜单栏最下面“系统工具”中有“重启路由器”选项，点击重启后就可以上网了。

h3c路由器防火墙设置二：内部电脑，是通过防火墙的端口进行NAT转换上网的。

端口是可以全堵上，但是，你会发现好多东西用不了了。

上网行为我知道的有百络网警，但是用硬件比较好。

管理也方便。

如果人数多。

最好是架设一台专门的服务器，用域控来管理，再装上ISA的代理防火墙。

控制效果好。

硬件上网行为管理有多。

h3c路由器防火墙设置三：初始化配置〈H3C〉system-view开启防火墙功能，并默认允许所有数据包通过[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域(untrust外网，trust内网;端口号请参照实际情况)[H3C] firewall zone untrust[H3C-zone-untrust] add interface Ethernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface Ethernet0/1工作模式，默认为路由模式[H3C] firewall mode route开启所有防范功能[H3C] firewall defend all配置内网LAN口IP(内网IP地址请参考实际情况)[H3C] interface Ethernet0/1[H3C-interface] ip address 192.168.1.1 255.255.255.0配置外网IP(也就是电信给你们的IP和子网掩码)[H3C] interface Ethernet0/0[H3C-interface] ip address X.X.X.X X.X.X.X.X配置NAT地址池(填写电信给你们的IP地址，填写两次)[H3C]nat address-group 1 X.X.X.X X.X.X.X.X配置默认路由(出外网的路由,字母代表的是电信分配你们的外网网关地址，不知道就问电信)[H3C]ip route-static 0.0.0.0 0.0.0.0 Y.Y.Y.Y preference 60配置访问控制列表(上网必须配置)[H3C]acl number 2001[H3C-ACL]rule 1 permit source 192.168.1.0 0.0.0.255应用访问控制列表到端口，并开启NAT上网功能[H3C]interface Ethernet1/0[H3C-interface]nat outbound 2001 address-group 1配置DHCP[H3C] dhcp enable[H3C-dhcp] dhcp server ip-pool 0[H3C-dhcp] network 192.1681.0 mask 255.255.255.0[H3C-dhcp] gateway-list 192.168.1.1[H3C-dhcp] dns-list X.X.X.X(配置你们这里的DNS服务器地址) 其它配置：允许网页配置[H3C] undo ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3配置telnet远程登录[H3C-vty] user-interface vty 0 4[H3C-vty] authentication-mode schem/password[H3C-vty] user privilage 3完成某项配置之后要回到[H3C] 提示符下面请按q再回车。

H3C防火墙安全加固之设备篇h3c防火墙安全加固之设备篇（一）防火墙作为保障网络安全的基础设备，往往部署在网络的边界位置，起到隔离不同安全区域的作用，这使得防火墙成为保护内部网络的一道屏障，此时防火墙作为重要的网络节点，自身一旦被攻破，用户的内部网络便暴露在攻击者面前，所以防火墙自身的安全需要引起我们的重视。

今天我们就来了解一下h3c防火墙的常用安全加固手段。

对于网络保护人员而言，最常碰触并最必须注重的就是防火墙的口令。

h3c防火墙的缺省用户名密码通常为h3c/h3c或者admin/admin,由于缺省密码的安全级别非常低，在顺利完成初始化部署后，必须修正缺省账户的密码或者停止使用缺省账号。

这里通常建议密码的长度至少为8十一位，并包含数字、小写字母、大写字母和特殊符号4类中至少2类，每类多于4个，账户口令的生存期必须高于90天，并成效前提前7天收到监视系统。

比如在设备上可以通过以下方式预设口令规范：system-view[h3c]password-controlenable[h3c]password-controllength8[h3c]password-controlalert-before-expire7此后则必须输入符合规则的口令，否则会报错，例如：[h3c]local-userh3c_yys[h3c-luser-h3c_yys]passwordcipher12!@error:passwordistooshort.pleaseinputapasswordinminimumlength(theminimumlengthis8).除了口令以外，网络维护人员还需要制定严格的设备管理控制策略。

在h3c防火墙上可以通过域间策略来实现这个需求。

默认情况下，h3c防火墙允许所有区域的设备访问local区域，虽然将管理口连接的网络划入了management区域，但是设备上接口本身是属于local区域的，这样需要配置安全策略阻止所有区域到local区域的服务请求,并且在此规则前应放开以下业务：2.容许部分区域至本地的一些必要协议，比如vrrp、ospf、bgp、ping、ike、l2tp、esp等，可以根据实际市场需求布局。