【通用文档】h3c防火墙配置.doc
H3C防火墙配置
#
object-policy ip Untrust-Trust
rule 0 pass logging counting
#
object-policy ip Untrust-Untrust
rule 0 pass logging
#
object-policy apply ip Local-Local
#
zone-pair security source Local destination Trust
object-policy apply ip Local-Trust
#
zone-pair security source Local destination Untrust
sysname SecPath1070
#
context Admin id 1
#
ip vpn-instance management
route-distinguisher 1000000000:1
vpn-target 1000000000:1 import-extcommunity
object-policy apply ip Local-Untrust
#
zone-pair security source Trust destination Local
object-policy apply ip Trust-Local
#
zone-pair security source Trust destination Trust
port link-mode bridge
port link-type trunk
H3C防火墙配置说明
H3C防火墙配置说明杭州华三通信技术有限公司版权所有侵权必究All rights reserved相关配置方法:配置OSPF验证从安全性角度来考虑,为了避免路由信息外泄或者对OSPF路由器进行恶意攻击,OSPF提供报文验证功能。
OSPF路由器建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行密码验证,只有通过验证的报文才能接收,否则将不会接收报文,不能正常建立邻居。
要配置OSPF报文验证,同一个区域的所有路由器上都需要配置区域验证模式,且配置的验证模式必须相同,同一个网段内的路由器需要配置相同的接口验证模式和口令。
表1-29 配置OSPF验证提高IS-IS网络的安全性在安全性要求较高的网络中,可以通过配置IS-IS验证来提高IS-IS网络的安全性。
IS-IS验证特性分为邻居关系的验证和区域或路由域的验证。
配置准备在配置IS-IS验证功能之前,需完成以下任务:•配置接口的网络层地址,使相邻节点网络层可达•使能IS-IS功能配置邻居关系验证配置邻居关系验证后,验证密码将会按照设定的方式封装到Hello报文中,并对接收到的Hello报文进行验证密码的检查,通过检查才会形成邻居关系,否则将不会形成邻居关系,用以确认邻居的正确性和有效性,防止与无法信任的路由器形成邻居。
两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。
表1-37 配置邻居关系验证必须先使用isis enable命令使能该接口才能进行参数level-1和level-2的配置。
如果没有指定level-1或level-2参数,将同时为level-1和level-2的Hello报文配置验证方式及验证密码。
如果没有指定ip或osi参数,将检查Hello报文中OSI的相应字段的配置内容。
配置区域验证通过配置区域验证,可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1的LSDB中。
配置区域验证后,验证密码将会按照设定的方式封装到Level-1报文(LSP、CSNP、PSNP)中,并对收到的Level-1报文进行验证密码的检查。
h3c防火墙的基本配置
h3c防火墙的基本配置h3c防火墙的基本配置[F100-A]dis current-configuration#sysname F100-A#undo firewall packet-filter enablefirewall packet-filter default permit#undo insulate#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user egb--aqpassword cipher ]#R=WG;'I/ZGL^3L[[\\1-A!!service-type telnetlevel 3#aspf-policy 1detect httpdetect smtpdetect ftpdetect tcpdetect udp#acl number 2000rule 0 permit source 192.168.0.0 0.0.0.255 rule 1 deny#interface Virtual-T emplate1#interface Aux0async mode flow#interface Ethernet0/0ip address 192.168.0.1 255.255.255.0#interface Ethernet1/0ip address 211.99.231.130 255.255.255.224ip address 211.99.231.132 255.255.255.224 sub ip address 211.99.231.133 255.255.255.224 sub ip address 211.99.231.134 255.255.255.224 sub ip address 211.99.231.135 255.255.255.224 sub ip address 211.99.231.136 255.255.255.224 sub ip address 211.99.231.137 255.255.255.224 sub ip address 211.99.231.138 255.255.255.224 sub ip address 211.99.231.139 255.255.255.224 sub ip address 211.99.231.131 255.255.255.224 subnat outbound 2000nat server protocol tcp global 211.99.231.136 3000 inside 192.168.0.6 3000nat server protocol tcp global 211.99.231.136 6000 inside 192.168.0.6 6000nat server protocol tcp global 211.99.231.132 ftp inside 192.168.0.3 ftpnat server protocol tcp global 211.99.231.132 5631 inside 192.168.0.3 5631nat server protocol tcp global 211.99.231.132 43958 inside 192.168.0.3 43958nat server protocol tcp global 211.99.231.134 ftp inside 192.168.0.4 ftpnat server protocol tcp global 211.99.231.134 www inside 192.168.0.4 wwwnat server protocol tcp global 211.99.231.134 5631 inside 192.168.0.4 5631nat server protocol tcp global 211.99.231.134 43958 inside 192.168.0.4 43958nat server protocol tcp global 211.99.231.135 ftp inside 192.168.0.5 ftpnat server protocol tcp global 211.99.231.135 58169 inside 192.168.0.5 58169nat server protocol tcp global 211.99.231.135 www inside 192.168.0.5 wwwnat server protocol tcp global 211.99.231.135 43958 inside 192.168.0.5 43958nat server protocol tcp global 211.99.231.136 ftp inside 192.168.0.6 ftpnat server protocol tcp global 211.99.231.136 smtp inside192.168.0.6 smtpnat server protocol tcp global 211.99.231.136 www inside 192.168.0.6 wwwnat server protocol tcp global 211.99.231.136 81 inside 192.168.0.6 81nat server protocol tcp global 211.99.231.136 82 inside 192.168.0.6 82nat server protocol tcp global 211.99.231.136 83 inside 192.168.0.6 83nat server protocol tcp global 211.99.231.136 84 inside 192.168.0.6 84nat server protocol tcp global 211.99.231.136 pop3 inside 192.168.0.6 pop3nat server protocol tcp global 211.99.231.136 1433 inside 192.168.0.6 1433nat server protocol tcp global 211.99.231.136 5150 inside 192.168.0.6 5150nat server protocol tcp global 211.99.231.136 5631 inside 192.168.0.6 5631nat server protocol tcp global 211.99.231.136 58169 inside 192.168.0.6 58169nat server protocol tcp global 211.99.231.136 8080 inside 192.168.0.6 8080nat server protocol tcp global 211.99.231.136 43958 inside 192.168.0.6 43958nat server protocol tcp global 211.99.231.138 smtp inside 192.168.0.8 smtpnat server protocol tcp global 211.99.231.138 www inside 192.168.0.8 www192.168.0.8 pop3nat server protocol tcp global 211.99.231.138 5631 inside 192.168.0.8 5631nat server protocol tcp global 211.99.231.138 58169 inside 192.168.0.8 58169nat server protocol tcp global 211.99.231.137 ftp inside 192.168.0.9 ftpnat server protocol tcp global 211.99.231.137 www inside 192.168.0.9 wwwnat server protocol tcp global 211.99.231.132 www inside 192.168.0.3 wwwnat server protocol tcp global 211.99.231.137 81 inside 192.168.0.9 81nat server protocol tcp global 211.99.231.137 82 inside 192.168.0.9 82nat server protocol tcp global 211.99.231.137 83 inside 192.168.0.9 83nat server protocol tcp global 211.99.231.137 1433 inside 192.168.0.9 1433nat server protocol tcp global 211.99.231.137 5631 inside 192.168.0.9 5631nat server protocol tcp global 211.99.231.137 43958 inside 192.168.0.9 43958nat server protocol tcp global 211.99.231.137 58169 inside 192.168.0.9 58169nat server protocol tcp global 211.99.231.136 88 inside 192.168.0.6 88nat server protocol tcp global 211.99.231.137 84 inside 192.168.0.9 84192.168.0.9 85nat server protocol tcp global 211.99.231.137 86 inside 192.168.0.9 86nat server protocol tcp global 211.99.231.137 87 inside 192.168.0.9 87nat server protocol tcp global 211.99.231.137 88 inside 192.168.0.9 88nat server protocol tcp global 211.99.231.137 smtp inside 192.168.0.9 smtpnat server protocol tcp global 211.99.231.137 8080 inside 192.168.0.9 8080nat server protocol tcp global 211.99.231.137 5080 inside 192.168.0.9 5080nat server protocol tcp global 211.99.231.137 1935 inside 192.168.0.9 1935nat server protocol udp global 211.99.231.137 5555 inside 192.168.0.9 5555nat server protocol tcp global 211.99.231.132 58169 inside 192.168.0.3 58169nat server protocol tcp global 211.99.231.134 58169 inside 192.168.0.4 58169nat server protocol tcp global 211.99.231.135 5631 inside 192.168.0.5 5631nat server protocol tcp global 211.99.231.136 6100 inside 192.168.0.6 6100nat server protocol tcp global 211.99.231.139 www inside 192.168.0.12 wwwnat server protocol tcp global 211.99.231.139 58169 inside 192.168.0.12 58169192.168.0.12 58189nat server protocol tcp global 211.99.231.139 5631 inside 192.168.0.12 5631nat serverprotocol tcp global 211.99.231.137 89 inside 192.168.0.9 89 nat server protocol tcp global 211.99.231.134 58269 inside 192.168.0.4 58269nat server protocol udp global 211.99.231.134 58269 inside 192.168.0.4 58269nat server protocol tcp global 211.99.231.133 www inside 192.168.0.13 wwwnat server protocol tcp global 211.99.231.135 1935 inside 192.168.0.5 1935nat server protocol tcp global 211.99.231.135 5080 inside 192.168.0.5 5080nat server protocol tcp global 211.99.231.132 1755 inside 192.168.0.3 1755nat server protocol tcp global 211.99.231.137 1755 inside 192.168.0.9 1755nat server protocol tcp global 211.99.231.137 554 inside 192.168.0.9 554nat server protocol tcp global 211.99.231.135 5551 inside 192.168.0.5 5551nat server protocol tcp global 211.99.231.131 www inside 192.168.0.204 wwwnat server protocol tcp global 211.99.231.134 81 inside 192.168.0.4 81nat server protocol tcp global 211.99.231.136 1935 inside 192.168.0.6 1935192.168.0.10 wwwnat server protocol udp global 211.99.231.137 dns inside 192.168.0.9 dnsnat server protocol tcp global 211.99.231.135 58189 inside 192.168.0.5 58189nat server protocol tcp global 211.99.231.141 www inside 192.168.0.11 www#interface Ethernet1/1#interface Ethernet1/2#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/0set priority 85statistic enable ip inzonestatistic enable ip outzone#firewall zone untrustadd interface Ethernet1/0add interface Ethernet1/1add interface Ethernet1/2set priority 5statistic enable ip inzonestatistic enable ip outzone#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#undo info-center enable#FTP server enable#ip route-static 0.0.0.0 0.0.0.0 211.99.231.129 preference 1 #firewall defend ip-spoofingfirewall defend landfirewall defend smurffirewall defend fragglefirewall defend winnukefirewall defend icmp-redirectfirewall defend icmp-unreachablefirewall defend source-routefirewall defend route-recordfirewall defend tracertfirewall defend ping-of-deathfirewall defend tcp-flagfirewall defend ip-fragmentfirewall defend large-icmpfirewall defend teardropfirewall defend ip-sweepfirewall defend port-scanfirewall defend arp-spoofingfirewall defend arp-reverse-queryfirewall defend arp-floodfirewall defend frag-floodfirewall defend syn-flood enablefirewall defend udp-flood enablefirewall defend icmp-flood enablefirewall defend syn-flood zone trustfirewall defend udp-flood zone trustfirewall defend syn-flood zone untrustfirewall defend udp-flood zone untrust#user-interface con 0authentication-mode passwordset authentication password cipher XB-'KG=+=J^UJ;&DL'U46Q!!user-interface aux 0user-interface vty 0 4authentication-mode scheme。
H3C防火墙系列配置
ICMP测试1. 介绍HWPing ICMP测试和ping测试一样,是使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间。
2. ICMP测试配置步骤说明:要想成功创建并启动一个ICMP echo功能的测试操作。
必须执行以下步骤1,2,3,6,其它步骤为可选项。
# 使能HWPing客户端。
[H3C] hwping-agent enable# 步骤1:创建一个HWPing测试组。
在本例中指定的管理员名字为administrator,测试操作标签为icmp。
[H3C] hwping administrator icmp# 步骤2:配置测试的类型为ICMP。
[H3C-hwping-administrator-icmp] test-type icmp# 步骤3:配置目的IP地址为169.254.10.2。
[H3C-hwping-administrator-icmp] destination-ip 169.254.10.2# 步骤4:配置一次测试中进行探测的次数。
[H3C-hwping-administrator-icmp] count 10# 步骤5:配置超时时间。
[H3C-hwping-administrator-icmp] timeout 3# 步骤6:启动测试操作。
[H3C-hwping-administrator-icmp] test-enable# 步骤7:查看测试结果。
[H3C-hwping-administrator-icmp] display hwping results administrator icmp[H3C-hwping-administrator-icmp] display hwping history administrator icmpDHCP测试1. 介绍HWPing DHCP测试用来测试从DHCP服务器分配到IP地址所需的时间。
2. DHCP测试配置步骤说明:要想成功创建并启动一个DHCP类型的测试。
H3C防火墙基本配置
H3C防⽕墙基本配置防⽕墙基础配置# 修改设备名称sysname KL_HC_JT_FW_01# 账号密码修改以及服务权限local-user admin class managepassword simple KLL!@#2021service-type ssh terminal httpsauthorization-attribute user-role level-3authorization-attribute user-role network-adminauthorization-attribute user-role network-operatorpassword-control login-attempt 10 exceed lock-time 30# 开启远程ssh,关闭telnetssh server enableundo telnet server enable# 远程登录⾝份认证line vty 0 4authentication-mode schemeuser-role network-admin# 开启web界⾯登录ip https enableundo ip http enable# 开启lldplldp global enable# 配置管理⼝地址,如果出现故障可以直连管理⼝登录防⽕墙security-zone name Managementimport interface GigabitEthernet 1/0/1quit# 配置地址interface GigabitEthernet1/0/11ip address 192.168.0.1 24undo shutdown# 防⽕墙安全策略配置# 允许local到所有区域security-policy ip # IP策略rule 1 name local-any # 序号1,名称local-anyaction pass # 动作pass允许通过logging enable # 记录⽇志source-zone Local # 源安全区域destination-zone Any # ⽬的安全区域rule 2 name trust-untrust # 序号2action pass # 动作pass允许通过logging enable # 记录⽇志source-zone trust # 源安全区域destination-zone untrust # ⽬的安全区域# 移动安全区域顺序move rule rule-id before insert-rule-id # 移动安全策略到哪条安全策略之前# 保存配置save f。
h3c 防火墙配置
3. 配置步骤(1) 2630的配置#sysname Quidway#ike local-name client# //由于2630要与SecPath1与SecPath2都建立GRE连接,所以需要建立两个ike协商ike peer 1 //ike对等体的名字为1exchange-mode aggressivepre-shared-key 1 //配置身份验证字为1id-type name //使用name方式作为ike协商的ID类型remote-name 1 //指定对端的name,也就是SecPath1的nameremote-address 2.1.1.2 //指定对端的IP地址nat traversal#ike peer 2 //第二个ikeexchange-mode aggressivepre-shared-key 1id-type nameremote-name 2remote-address 3.1.1.2nat traversal#ipsec proposal 1 //配置一个安全提议,使用默认的安全提议参数#ipsec policy 1 1 isakmp //使用IKE创建第一个安全策略,第一个1是安全策略组的名字,第二个1是安全策略的序列号security acl 3000 //引用访问控制列表3000ike-peer 1 //引用ike对等体1,注意1是ike对等体的名字,而不是编号proposal 1 //引用安全提议1#ipsec policy 1 2 isakmp//使用IKE创建第二个安全策略,安全策略组的名字为1security acl 3001ike-peer 2proposal 1#controller T1 2/0#controller T1 2/1#interface Virtual-Template1 //l2tp配置使用虚拟模板用于配置动态创建的虚接口的参数ip address 172.31.4.1 255.255.255.0#interface Aux0async mode flowlink-protocol ppp#interface Dialer1 //创建一个共享式拨号接口1link-protocol ppp //拨号接口封装的链路层协议为PPPmtu 1450ip address ppp-negotiate //拨号接口的地址采用PPP协商方式得到dialer user test //配置呼叫对端的用户dialer bundle 1 //创建拨号接口池1ipsec policy 1#interface Ethernet0/0pppoe-client dial-bundle-number 1 //pppoe client配置在以太网接口上配置,也可以在virtual-ethernet上配置,此配置是配置pppoe会话,一个拨号接口对应创建一个pppoe会话#interface Tunnel0ip address 6.1.1.3 255.255.255.0source 192.168.0.4destination 192.168.0.1ospf cost 100#interface Tunnel1ip address 7.1.1.3 255.255.255.0source 192.168.0.4destination 192.168.0.2ospf cost 99#interface NULL0#interface LoopBack0 //这里配置loopback解决的目的是为了给tunnel接口配置源ip地址ip address 192.168.0.4 255.255.255.255#acl number 3000rule 0 permit ip source 192.168.0.4 0 destination 192.168.0.1 0acl number 3001rule 0 permit ip source 192.168.0.4 0 destination 192.168.0.2 0#ospf 1area 0.0.0.0network 6.1.1.0 0.0.0.255network 7.1.1.0 0.0.0.255network 172.31.4.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4#return(2)3640的配置#sysname Quidway#ike local-name client#ike peer 1exchange-mode aggressivepre-shared-key 1id-type nameremote-name 1remote-address 2.1.1.2nat traversal#ike peer 2exchange-mode aggressivepre-shared-key 1id-type nameremote-name 2remote-address 3.1.1.2nat traversal#ipsec proposal 1#ipsec policy 1 1 isakmpsecurity acl 3000ike-peer 1proposal 1#ipsec policy 1 2 isakmpsecurity acl 3001ike-peer 2proposal 1#interface Virtual-Template1ip address 172.31.3.1 255.255.255.0 #interface Aux0async mode flowlink-protocol ppp#interface Dialer1link-protocol pppppp pap local-user 1 password simple 1 mtu 1450ip address ppp-negotiatedialer user testdialer bundle 1ipsec policy 1#interface Ethernet2/0pppoe-client dial-bundle-number 1#interface Ethernet2/1#interface Ethernet3/0#interface Serial0/0link-protocol ppp#interface Serial0/1clock DTECLK1link-protocol ppp#interface GigabitEthernet1/0#interface Tunnel0ip address 4.1.1.3 255.255.255.0source 192.168.0.3destination 192.168.0.1ospf cost 100#interface Tunnel1ip address 5.1.1.3 255.255.255.0source 192.168.0.3destination 192.168.0.2ospf cost 99#interface Tunnel9#interface NULL0#interface LoopBack0ip address 192.168.0.3 255.255.255.255#acl number 3000rule 0 permit ip source 192.168.0.3 0 destination 192.168.0.1 0 acl number 3001rule 0 permit ip source 192.168.0.3 0 destination 192.168.0.2 0 #ospf 1area 0.0.0.0network 4.1.1.0 0.0.0.255network 5.1.1.0 0.0.0.255network 172.31.3.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4#return。
华为H3C防火墙配置手册
华为防火墙USG2000实验文档要求:通过配置华为防火墙实现本地telnet 服务器能够通过NAT上网.并且,访问电信网络链路时走电信,访问网通链路时走网通.具体配置如下:华为 USG 2000Username:admin[USG2205BSR]sysname[huawei]interface GigabitEthernet[huawei-GigabitEthernet0/0/0]ipaddress 202.100.1.1[huawei-GigabitEthernet0/0/0]undo[huawei]interface GigabitEthernet 0/0/1[huawei-GigabitEthernet0/0/1]description ###conn to yidong link###[huawei-GigabitEthernet0/0/1]ip address 202.200.1.1 255.255.255.0[huawei-GigabitEthernet0/0/1]undo shutdown[huawei-GigabitEthernet0/0/1]quit[huawei]interface Vlanif 1[huawei-Vlanif1]description ###conn to local###[huawei-Vlanif1]ip address 192.168.1.1 255.255.255.0[huawei-Vlanif1]undo shutdown[huawei-Vlanif1]quit[huawei-zone-trust]undo add interface GigabitEthernet 0/0/1[huawei-zone-trust]add interface Vlanif[huawei]firewall zone name[huawei-zone-dianxin]set priority 4[huawei-zone-dianxin]add interface GigabitEthernet 0/0/0[huawei-zone-dianxin]quit[huawei-zone-yidong]set priority 3[huawei-zone-yidong]add interface GigabitEthernet 0/0/1[huawei-zone-yidong]quit[huawei]acl number[huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255[huawei-acl-basic-2000]quit[huawei]firewall interzone trust[huawei-interzone-trust-dianxin]packet-filter 2000 outbound[huawei-interzone-trust-dianxin]nat outbound 2000 interface GigabitEthernet 0/0/0[huawei-interzone-trust-dianxin]quit[huawei-interzone-trust-yidong]nat outbound 2000 interface GigabitEthernet 0/0/1[huawei-interzone-trust-yidong]quit[huawei]user-interface vty 0 4[huawei-ui-vty0-4]authentication-mode password[huawei-ui-vty0-4]quit[huawei]ip route-static 0.0.0.0 0.0.0.0 202.100.1.2[huawei]ip route-static …… …… 202.200.1.2[huawei]ip route-static 222.160.0.0 255.252.0.0 202.200.1.2[huawei] firewall packet-filter default permit interzone local dianxin direction outbound[huawei] firewall packet-filter default permit interzone trust dianxin direction inbound[huawei] firewall packet-filter default permit interzone trust dianxin direction outbound[huawei] firewall packet-filter default permit interzone local yidong direction inbound[huawei] firewall packet-filter default permit interzone local yidong direction outbound[huawei] firewall packet-filter default permit interzone trust yidong direction inbound如图:电信网络、网通网络和telnet服务器配置 略!验证:内网192.168.1.2 分别PING 电信与网通.inside#ping 202.100.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msinside#ping 202.200.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.200.1.2, timeout is 2 seconds:Current total sessions: 3icmp VPN: public -> public192.168.1.2:3[202.100.1.1:23088]-->202.100.1.2:3tcp VPN: public -> public 192.168.1.1:1024-->192.168.1.2:23icmp VPN: public -> public192.168.1.2:4[202.200.1.1:43288]-->202.200.1.2:4验证成功!!![huawei]display current-configuration 11:54:30 2010/11/06 #acl number 2000rule 10 permit source 192.168.1.0 0.0.0.255 #sysname huawei #super password level 3 cipher ^]S*H+DFHFSQ=^Q`MAF4<1!! #web-manager enable #info-center timestamp debugging date #firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone local vzone direction inbound firewall packet-filter default permit interzone local vzone direction outbound firewall packet-filter default permit interzone local dianxin direction inbound firewall packet-filter default permit interzone local dianxin direction outbound firewall packet-filter default permit interzone local yidong direction inbound firewall packet-filter default permit interzone local yidong direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone trust vzone direction inbound firewall packet-filter default permit interzone trust vzone direction outbound firewall packet-filter default permit interzone trust dianxin direction inbound firewall packet-filter default permit interzone trust dianxin direction outbound firewall packet-filter default permit interzone trust yidong direction inbound firewall packet-filter default permit interzone trust yidong direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound firewall packet-filter default permit interzone untrust vzone direction inbound firewall packet-filter default permit interzone untrust vzone direction outbound firewall packet-filter default permit interzone dmz vzone direction inbound firewall packet-filter default permit interzone dmz vzone direction outbound #dhcp enable#firewall statistic system enable#vlan 1#interface Cellular0/1/0link-protocol ppp#interface Vlanif1description ###conn to local###ip address 192.168.1.1 255.255.255.0 #interface Ethernet1/0/0port link-type access#interface Ethernet1/0/1port link-type access#interface Ethernet1/0/2port link-type access#interface Ethernet1/0/3port link-type access#interface Ethernet1/0/4port link-type access#interface GigabitEthernet0/0/0 description ###conn to dianxin link### ip address 202.100.1.1 255.255.255.0 #interface GigabitEthernet0/0/1 description ###conn to yidong link### ip address 202.200.1.1 255.255.255.0 #interface NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface Vlanif1#firewall zone untrustset priority 5#firewall zone dmzset priority 50#firewall zone vzoneset priority 0#firewall zone name dianxinset priority 4add interface GigabitEthernet0/0/0#firewall zone name yidongset priority 3add interface GigabitEthernet0/0/1#firewall interzone trust dianxinpacket-filter 2000 outboundnat outbound 2000 interface GigabitEthernet0/0/0 #firewall interzone trust yidongpacket-filter 2000 outboundnat outbound 2000 interface GigabitEthernet0/0/1#aaalocal-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!local-user admin service-type web telnetlocal-user admin level 3authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default##right-manager server-group#slb#ip route-static 0.0.0.0 0.0.0.0 202.100.1.2ip route-static 27.8.0.0 255.248.0.0 202.200.1.2ip route-static …… …… 202.200.1.2ip route-static 222.160.0.0 255.252.0.0 202.200.1.2#user-interface con 0user-interface tty 9authentication-mode nonemodem bothuser-interface vty 0 4user privilege level 3N专注高端,技术为王#return[huawei]N。
h3c防火墙怎么样设置
h3c防火墙怎么样设置h3c防火墙设置一:1、配置要求1)防火墙的e0/2接口为trust区域,ip地址是:192.168.254.1/29;2)防火墙的e1/2接口为untrust区域,ip地址是:202.111.0.1/27;3)内网服务器对外网做一对一的地址映射,192.168.254.2、192.168.254.3分别映射为202.111.0.2、202.111.0.3;4)内网服务器访问外网不做限制,外网访问内网只放通公网地址211.101.5.49访问192.168.254.2的1433端口和192.168.254.3的80端口。
2、防火墙的配置脚本如下dis cur#sysname h3cf100a#super password level 3 cipher 6aq>q57-$.i)0;4:\(i41!!!#firewall packet-filter enablefirewall packet-filter default permit#insulate#nat static inside ip 192.168.254.2 global ip 202.111.0.2 nat static inside ip 192.168.254.3 global ip 202.111.0.3 #firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user net1980password cipher ######service-type telnetlevel 2#aspf-policy 1detect h323detect sqlnetdetect rtspdetect httpdetect smtpdetect ftpdetect tcpdetect udp#object address 192.168.254.2/32 192.168.254.2 255.255.255.255object address 192.168.254.3/32 192.168.254.3 255.255.255.255#acl number 3001deion out-insiderule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0 destination-port eq 1433rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0 destination-port eq wwwrule 1000 deny ipacl number 3002deion inside-to-outsiderule 1 permit ip source 192.168.254.2 0rule 2 permit ip source 192.168.254.3 0rule 1000 deny ip#interface aux0async mode flow#interface ethernet0/0shutdown#interface ethernet0/1shutdown#interface ethernet0/2speed 100duplex fulldeion to serverip address 192.168.254.1 255.255.255.248 firewall packet-filter 3002 inbound firewall aspf 1 outbound#interface ethernet0/3shutdown#interface ethernet1/0shutdown#interface ethernet1/1shutdown#interface ethernet1/2speed 100duplex fulldeion to internetip address 202.111.0.1 255.255.255.224 firewall packet-filter 3001 inbound firewall aspf 1 outboundnat outbound static#interface null0#firewall zone localset priority 100#firewall zone trustadd interface ethernet0/2set priority 85#firewall zone untrustadd interface ethernet1/2set priority 5#firewall zone dmzadd interface ethernet0/3set priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local dmz#firewall interzone trust untrust#firewall interzone trust dmz#firewall interzone dmz untrust#ip route-static 0.0.0.0 0.0.0.0 202.111.0.30 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#h3c防火墙设置二:1、可以找一下买给你设备的人,让他给你找人来上门服务。
H3C防火墙设置
[S2016-E1-Ethernet0/1]mac-address max-mac-count 0;
进入到端口,用命令mac max-mac-count 0(端口mac学习数设为0)
[S2016-E1]mac static 0000-9999-8888 int e0/1 vlan 10;
firewall packet-filter enable
firewall packet-filter default permit
acl number 3001
rule permit ip source 10.1.1.2 0
rule permit ip source 10.1.1.3 0
11、ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由
H3C S3100 Switch
H3C S3600 Switch
H3C MSR 20-20 Router
##########################################################################################
b)arp命令
使用特殊的arp static命令,来完成IP地址与MAC地址之间的绑定。例如:
[SwitchA]arp static 10.1.1.2 00e0-fc22-f8d3
配置说明:以上配置完成对PC机的IP地址和MAC地址的全局绑定。
3,端口 IP MAC
使用特殊的AM User-bind命令,来完成IP、MAC地址与端口之间的绑定。例如:
1、system-view 进入系统视图模式
H3C防火墙配置文件
1.1.1 包过滤防火墙典型配置举例该配置举例的支持情况与设备的型号有关,请以设备的实际情况为准。
1. 组网需求●某公司通过Router 的接口Serial2/0访问Internet ,Router 与内部网通过接口Ethernet1/1连接; ● 公司内部对外提供WWW 、FTP 和Telnet 服务:公司内部子网为129.1.1.0。
其中,内部FTP 服务器地址为129.1.1.1,内部Telnet 服务器地址为129.1.1.2,内部WWW 服务器地址为129.1.1.3;公司对外地址为20.1.1.1。
在Router 上配置了地址转换,这样公司内部主机可以访问Internet ,公司外部主机可以访问公司内部的服务器;● 通过配置防火墙,希望实现以下要求:外部网络只有特定用户可以访问内部服务器;内部网络只有特定主机可以访问外部网络。
● 假定外部特定用户的IP 地址为20.3.3.3。
2. 组网图图1-1 包过滤防火墙典型配置组网图 v vWAN 129.1.1.1/32129.1.1.2/32129.1.1.3/32Internal networkSpecific internal hostRouter Eth1/1129.1.1.5/24S2/020.1.1.1/1620.3.3.3/323. 配置步骤# 在Router 上启用防火墙功能。
<Router> system-view[Router] firewall enable# 创建高级访问控制列表3001。
[Router] acl number 3001# 配置规则允许特定主机访问外部网,允许内部服务器访问外部网。
[Router-acl-adv-3001] rule permit ip source 129.1.1.1 0[Router-acl-adv-3001] rule permit ip source 129.1.1.2 0[Router-acl-adv-3001] rule permit ip source 129.1.1.3 0[Router-acl-adv-3001] rule permit ip source 129.1.1.4 0# 配置规则禁止所有IP包通过。
H3C防火墙 命令行配置
配置防火墙网页登录1.配置防火墙缺省允许报文通过< telecom > system-view[telecom] firewall packet-filter enable[telecom] firewall packet-filter default permit为防火墙的以太网接口(GigabitEthernet0/0为例)配置IP地址,并将接口加入到安全域。
[telecom] interface GigabitEthernet 0/0[telecom-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0 [telecom-GigabitEthernet0/0] quit[telecom] firewall zone trust[telecom-zone-trust] add GigabitEthernet 0/02.添加登录用户(建立一个账户名和密码都为admin的账户类型为telnet)[telecom] local-user admin[telecom-luser-admin] password simple admin[telecom-luser-admin]service-type telnet3.在GigabitEthernet 0/1接口上配置FTP及www内部服务器[telecom] interface GigabitEthernet 0/1[telecom-GigabitEthernet0/1] ip address 1.1.1.1 255.0.0.0 [telecom-GigabitEthernet0/1] nat outbound 2000[telecom-GigabitEthernet0/1]nat server protocol tcp global 1.1.1.1 wwwinside 10.0.0.2[telecom-GigabitEthernet0/1]nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.2[telecom-GigabitEthernet0/1] quit4.配置访问控制列表,允许10.0.0.0/8网段访问internet [telecom]acl number 2000[telecom-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255 [telecom-acl-basic-2000] rule 1 deny5.IPSec VPN配置配置分公司IP:192.168.1.0/24到总公司IP:10.1.1.0/24的IPSec VPN 总公司端VPN配置步骤如下:第一步:配置ACL3000,禁止总公司IP:10.1.1.0/24访问分公司IP:192.168.1.0/24时进行NAT转换,允许总公司IP:10.1.1.0/24访问公网时进行NAT转换。
h3c防火墙基本网络配置
(1) 组网需求一个公司通过SecPath防火墙连接到Internet。
公司内部网段为192.168.20.0/24。
由ISP分配给防火墙外部接口的地址范围为202.169.10.1~202.169.10.5。
其中防火墙的接口GigabitEthernet0/0连接内部网络,地址为192.168.20.1;接口GigabitEthernet0/1连接到Internet,地址为202.169.10.1。
WWW Server和FTP Server位于公司网络内部,地址分别为192.168.20.2和192.168.20.3。
要求公司内部网络可以通过防火墙的NAT功能访问Internet,并且外部的用户可以访问内部的WWW Server和Telnet Server。
(2) 组网图图1-1NAT配置组网图(3) 配置步骤第一步:创建允许内部网段访问所有外部资源的基本ACL,以供NAT 使用。
创建ACL的方法可参见5.2.1 ACL配置。
●点击“防火墙”目录中的“ACL”,在右边的ACL配置区域中单击<ACL配置信息>按钮。
●在“ACL编号”中输入基本ACL的编号2001(基本ACL的编号范围为2000~2999),单击<创建>按钮。
在下面的列表中选择此ACL,单击<配置>按钮。
●在ACL配置参数区域中,从“操作”下拉框中选择“Permit”,在“源IP地址”栏中输入192.168.20.0,“源地址通配符”中输入0.0.0.255,单击<应用>按钮。
第二步:创建NAT地址池。
●在“业务管理”目录下的“NAT”子目录中点击“地址池管理”,在右边的配置区域中单击<创建>按钮。
●在“地址池索引号”栏中输入1,“起始地址”栏中输入202.169.10.1,“结束地址”栏中输入202.169.10.5,单击<应用>按钮。
第三步:配置NAT转换类型。
H3C防火墙配置
安全区域2.1.1 安全区域的概念安全区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征。
对于路由器,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口上完成的。
这样,一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查(入接口的安全检查和出接口的安全检查),以便使其符合每个接口上独立的安全定义。
而这种思路对于防火墙来说不很适合,因为防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害,因而有着明确的内外之分。
当一个数据流通过secpath防火墙设备的时候,根据其发起方向的不同,所引起的操作是截然不同的。
由于这种安全级别上的差别,再采用在接口上检查安全策略的方式已经不适用,将造成用户在配置上的混乱。
因此,secpath防火墙提出了安全区域的概念。
一个安全区域包括一个或多个接口的组合,具有一个安全级别。
在设备内部,安全级别通过0~10 0的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。
只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动的时候,才会激活防火墙的安全规则检查功能。
数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。
2.1.2 secpath防火墙上的安全区域1. 安全区域的划分secpath防火墙上保留四个安全区域:1 非受信区(untrust):低级的安全区域,其安全优先级为5。
2 非军事化区(dmz):中度级别的安全区域,其安全优先级为50。
3 受信区(trust):较高级别的安全区域,其安全优先级为85。
4 本地区域(local):最高级别的安全区域,其安全优先级为100。
此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。
dmz(de militarized zone,非军事化区)这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。
H3C防火墙安装与配置-正文
目录
目录
第 1 章 产品介绍 .......Байду номын сангаас.............................................................................................................1-1 1.1 简介.................................................................................................................................... 1-1 1.2 硬件特性............................................................................................................................. 1-2 1.2.1 外观 ......................................................................................................................... 1-2 1.2.2 系统说明 .................................................................................................................. 1-2 1.2.3 指示灯含义 .............................................................................................................. 1-3 1.2.4 固定接口属性........................................................................................................... 1-3 1.2.5 MIM多功能接口模块 ................................................................................................ 1-5
H3C防火墙命令行配置
H3C防火墙命令行配置配置防火墙网页登录1.配置防火墙缺省允许报文通过< telecom > system-view[telecom] firewall packet-filter enable[telecom] firewall packet-filter default permit为防火墙的以太网接口(GigabitEthernet0/0为例)配置IP地址,并将接口加入到安全域。
[telecom] interface GigabitEthernet 0/0[telecom-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0 [telecom-GigabitEthernet0/0] quit[telecom] firewall zone trust[telecom-zone-trust] add GigabitEthernet 0/02.添加登录用户(建立一个账户名和密码都为admin的账户类型为telnet)[telecom] local-user admin[telecom-luser-admin] password simple admin[telecom-luser-admin]service-type telnet3.在GigabitEthernet 0/1接口上配置FTP及www内部服务器[telecom] interface GigabitEthernet 0/1[telecom-GigabitEthernet0/1] ip address 1.1.1.1 255.0.0.0 [telecom-GigabitEthernet0/1] nat outbound 2000[telecom-GigabitEthernet0/1]nat server protocol tcp global 1.1.1.1 wwwinside 10.0.0.2[telecom-GigabitEthernet0/1]nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.2[telecom-GigabitEthernet0/1] quit4.配置访问控制列表,允许10.0.0.0/8网段访问internet [telecom]acl number 2000[telecom-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255 [telecom-acl-basic-2000] rule 1 deny5.IPSec VPN配置配置分公司IP:192.168.1.0/24到总公司IP:10.1.1.0/24的IPSec VPN 总公司端VPN配置步骤如下:第一步:配置ACL3000,禁止总公司IP:10.1.1.0/24访问分公司IP:192.168.1.0/24时进行NAT转换,允许总公司IP:10.1.1.0/24访问公网时进行NAT转换。
H3C 防火墙F100 基本配置
FTP server enable
#
ip route-static 0.0.0.0 0.0.0.0 202.99.198.129 preference 60
ip route-static 10.34.0.0 255.255.0.0 172.22.52.254 preference 60
ip route-static 192.168.0.0 255.255.0.0 10.10.10.1 preference 60
nat outbound 3003 address-group 2
#
interface Ethernet0/3
#
interface Encrypt1/0
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet0/0
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
firewall statistic system enable
#
radius scheme system
server-type extended
#
domain system
#
local-user admin
H3C防火墙配置
H3C防火墙配置2.1.1 安稳区域的概念安稳区域(zone)是防火墙产品所引入的一个安稳概念,是防火墙产品差别于路由器的重要特点。
关于路由器,各个接口所连接的收集在安稳上能够视为是平等的,没有明显的表里之分,因此即使进行必定程度的安稳检查,也是在接口上完成的。
如许,一个数据流单偏向经由过程路由器时有可能须要进行两次安稳规矩的检查(入接口的安稳检查和出接口的安稳检查),以便使其相符每个接口上自力的安稳定义。
而这种思路关于防火墙来说不专门合适,因为防火墙所承担的义务是爱护内部收集不受外部收集上不法行动的损害,因而有着明白的表里之分。
当一个数据流畅过secpath防火墙设备的时刻,依照其提议偏向的不合,所引起的操作是截然不合的。
因为这种安稳级别上的差别,再采取在接口上检查安稳策略的方法差不多不有用,将造成用户在设备上的纷乱。
是以,secpath防火墙提出了安稳区域的概念。
一个安稳区域包含一个或多个接口的组合,具有一个安稳级别。
在设备内部,安稳级别经由过程0~100的数字来表示,数字越大年夜表示安稳级别越高,不存在两个具有雷同安稳级其余区域。
只有当数据在分属于两个不合安稳级其余区域(或区域包含的接口)之间流淌的时刻,才会激活防火墙的安稳规矩检查功能。
数据在属于同一个安稳区域的不合接口间流淌时可不能引起任何检查。
2.1.2 secpath防火墙上的安稳区域1. 安稳区域的划分secpath防火墙上储存四个安稳区域:1 非受信区(untrust):初级的安稳区域,其安稳优先级为5。
2 非军事化区(dmz):中度级其余安稳区域,其安稳优先级为50。
3 受信区(trust):较高等其余安稳区域,其安稳优先级为85。
4 本地区域(local):最高等其余安稳区域,其安稳优先级为100。
此外,如认为有须要,用户还能够自行设置新的安稳区域并定义其安稳优先级别。
dmz(de militarized zone,非军事化区)这一术语来源于军方,指的是介于严格的军事管束区和松散的公共区域之间的一种有着部分担制的区域。
h3c防火墙简单配置
H3C 防火墙简单配置一、防火墙安全域分类1、缺省安全域:不需要通过命令zone name 配置就已经存在的安全域,名称为:Local(100)、Trust(85)、DMZ(50)、Untrust(5)和Management(100)。
2、非缺省安全域:通过命令zone name 创建的安全域。
二、安全域访问策略状态1、优先级访问策略状态,安全域之间的访问规则如下:1)在系统视图下,执行interzone policy default by-priority 命令,系统会工作在优先级访问策略状态。
2)同一安全域之间,默认访问策略为permit。
3)高优先级安全域到低优先级安全域之间,默认访问策略为permit。
4)安全域到Local 域之间,默认访问策略为permit。
5)Local 域到安全域之间,默认访问策略为permit。
6)低优先级安全域到高优先级安全域,默认访问策略为deny,如果要实现互通访问,需要配置域间策略。
2、无优先级访问策略状态,安全域之间访问规则如下:1)在系统视图下,执行undo interzone policy default by-priority 命令,系统会工作在无优先级访问策略状态。
(防火墙默认关闭优先级访问策略)2)无论是缺省安全域,还是非缺省安全域,都没有优先级的概念。
2、基本域间策略配置组网图3、配置步骤1)通过Console 口登录设备,开启优先级访问策略<Firewall> system-view[Firewall] interzone policy default by-priority2)通过Web方式配置防火墙用电脑接入防火墙的GigabitEthernet0/0接口,配置同一网段地址,即可通过Web登录192.168.0.1配置防火墙。
a、配置接口IP地址在左侧导航栏中选择“设备管理> 接口管理”配置接口GigabitEthernet0/1 的地址,进入如下界面。
H3C F5020防火墙配置
连接好电脑到-防火墙的console 线,打开putty (默认账户和密码admin,admin)进入特权模式,命令:system-view建立管理员账号,并设置密码:manage Device management user (管理用户)建立管理账户没设超级密码情况下开启HTTPS服务设立超级密码.类似cisco的特权密码登录验证在全局模式下。
输入命令:super level-?进入特权模式,输入设置好的特权密码,密码隐藏开启h3c防火墙HTTPS服务打开WEB界面,输入IP,登录防火墙,如图选择设备-管理员返回到xshell界面,保存配置,命令:save进接口配置IP。
命令与Cisco没多大出入(全局下)查看接口的配置,命令如下;g1/0/0接口默认的配置,为了方便使用暂留不动,以及VRRP的配置。
port link-mode route类似Cisco的ip routing (三层)进入到H3C防火墙的区域,命令如下把对应的接口划分到对应的区域,命令如下dis security-zone 查看安全域状态信息默认路由做NAT1.先抓取需要IP地址转换的IP段的流量,做ACL2.建立动态地址池。
3.4.动态NAT的应用与IP地址的转换,命令如下:dis current-configuration interface g1/0/1 查看g1/0/1的状况信息建立一条新的拓展ACL,放行IP流量,用于安全区域的跨区域的访问应用,命令如下:创建源区域到目的区域过滤包3500dis zone-pair security,查看所有区域的对应关系状态security-zone intra-zone default permit(缺省是允许流量从trust口到untrust口方向的主动访问,而不允许untrust 口到trust口方向的主动访问。
当从trust口到untrust口有主动访问时,防火墙会保存这个连接信息,回应数据从untrust 口到trust方向,防火墙会放行,但是不会允许untrust口到trust口的主动访问)命令用来配置同一安全域内接口间报文处理的缺省动作为permit。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全区域2.1.1 安全区域的概念安全区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征。
对于路由器,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口上完成的。
这样,一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查(入接口的安全检查和出接口的安全检查),以便使其符合每个接口上独立的安全定义。
而这种思路对于防火墙来说不很适合,因为防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害,因而有着明确的内外之分。
当一个数据流通过secpath防火墙设备的时候,根据其发起方向的不同,所引起的操作是截然不同的。
由于这种安全级别上的差别,再采用在接口上检查安全策略的方式已经不适用,将造成用户在配置上的混乱。
因此,secpath防火墙提出了安全区域的概念。
一个安全区域包括一个或多个接口的组合,具有一个安全级别。
在设备内部,安全级别通过0~10 0的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。
只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动的时候,才会激活防火墙的安全规则检查功能。
数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。
2.1.2 secpath防火墙上的安全区域1. 安全区域的划分secpath防火墙上保留四个安全区域:1 非受信区(untrust):低级的安全区域,其安全优先级为5。
2 非军事化区(dmz):中度级别的安全区域,其安全优先级为50。
3 受信区(trust):较高级别的安全区域,其安全优先级为85。
4 本地区域(local):最高级别的安全区域,其安全优先级为100。
此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。
dmz(de militarized zone,非军事化区)这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。
防火墙引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。
通常部署网络时,将那些需要被公共访问的设备(例如,www server、f tp server等)放置于此。
因为将这些服务器放置于外部网络则它们的安全性无法保障;放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。
因此,dmz区域的出现很好地解决了这些服务器的放置问题。
2. 接口、网络与安全区域的关系除了local区域以外,在使用其他所有安全区域时,需要将安全区域分别与防火墙的特定接口相关联,即将接口加入到区域。
系统不允许两个安全区域具有相同的安全级别;并且同一接口不可以分属于两个不同的安全区域。
安全区域与各网络的关联遵循下面的原则:1 内部网络应安排在安全级别较高的区域2 外部网络应安排在安全级别最低的区域3 一些可对外部提供有条件服务的网络应安排在安全级别中等的dmz区具体来说,trust所属接口用于连接用户要保护的网络;untrust所属接口连接外部网络;dmz区所属接口连接用户向外部提供服务的部分网络;从防火墙设备本身发起的连接即是从local区域发起的连接。
相应的所有对防火墙设备本身的访问都属于向local区域发起访问连接。
区域之间的关系如下图所示:3. 入方向与出方向不同级别的安全区域间的数据流动都将激发防火墙进行安全策略的检查,并且可以为不同流动方向设置不同的安全策略。
域间的数据流分两个方向:1 入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;2 出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。
在secpath防火墙上,判断数据传输是出方向还是入方向,总是相对高安全级别的一侧而言。
根据上图所示,可以得到如下结论:1 从dmz区到untrust区域的数据流为出方向,反之为入方向;2 从trust区域到dmz区的数据流为出方向,反之为入方向;3 从trust区域到untrust区域的数据流为出方向,反之为入方向。
路由器上数据流动方向的判定是以接口为主:由接口发送的数据方向称为出方向;由接口接收的数据方向称为入方向。
这也是路由器有别于防火墙的重要特征。
在防火墙中,当报文从高优先级区域向低优先级区域发起连接时,即从trust区域向untrust区域和dmz区发起数据连接,或dmz区域向untrust区域发起连接时,必须明确配置缺省过滤规则。
由防火墙本地(local区域)发起或终止的报文不进行状态检测,这类报文的过滤由包过滤机制来完成。
2.1.3 安全区域的配置安全区域的配置包括:创建安全区域并进入安全区域视图配置安全区域的安全优先级配置安全区域的隶属接口进入域间视图1. 创建安全区域并进入安全区域视图系统缺省保留四个安全区域:本地区域(local)、受信区域(trust)、非军事化区(dmz)和非受信区域(untrust),这四个区域无需创建也不能删除。
创建新的安全区域时,需要使用name关键字;进入保留的或已建立的安全区域视图时则不需要使用该关键字。
请在系统视图下进行下列配置。
缺省情况下,系统预定义了四个安全区域,即local、trust、dmz和untrust区域。
系统最大支持16个安全区域(包括四个保留的区域)。
2. 配置安全区域的安全优先级只能为用户自己创建的安全区域才能配置安全优先级。
系统保留四个安全区域本地区域(local)、受信区域(trust)、非军事化区(dmz)和非受信区域(untrust)的安全优先级分别是100、85、50和5,优先级不可以重新配置。
同一系统中,两个安全区域不允许配置相同的安全优先级。
请在安全区域视图下进行下列配置。
缺省情况下,用户自定义的安全区域优先级为0。
安全区域优先级一旦设定后,不允许再更改。
3. 配置安全区域的隶属接口除了local区域以外,使用其他所有安全区域时需要将安全区域分别与防火墙的特定接口相关联,即需要将接口加入到区域。
该接口既可以是物理接口,也可以是逻辑接口。
可多次使用该命令为安全区域指定多个接口,一个安全区域能够支持的最大接口数量为1024。
请在安全区域视图下进行下列配置。
缺省情况下,安全区域中不包含任何接口,所有隶属关系都需要通过该add interface命令手工配置。
4. 进入域间视图当数据流在安全区域之间流动时,才会激发secpath防火墙进行安全策略的检查,即secpath防火墙的安全策略实施都是基于域间(例如untrust区域和trust区域之间)的,不同的区域之间可以设置不同的安全策略(例如包过滤策略、状态过滤策略等等)。
因此,为了在区域间设置不同的安全策略,第一步就是要进入域间视图。
进入域间视图后的安全策略的设置将在后文的各章中逐一介绍。
请在系统视图下进行下列配置。
2.1.4 安全区域的显示与调试在完成上述配置后,在所有视图下执行display命令可以显示安全区域的配置情况,通过查看显示信息验证配置的效果。
2.1.5 安全区域的典型配置举例1. 组网需求某公司以secpath防火墙作为网络边防设备,设置三个安全区域:公司内部网络部署在trust区域,secpath防火墙的以太网口ethernet 0/0/0与之相连;公司对外提供服务的www server、ftp server等部署在dmz区,secpath防火墙的以太网口ethernet 1/0/0与之相连;外部网络则属于untrust区域,由secpath防火墙的以太网口ethernet 2/0/0连接。
现需要对防火墙进行一些基本配置,以为后面的安全策略的设置做好准备。
2. 组网图3. 配置步骤# 配置防火墙接口ethernet 0/0/0。
[secpath] interface ethernet 0/0/0[secpath-ethernet0/0/0] ip address 192.168.1.1 255.255.255.0 [secpath-ethernet0/0/0] quit# 配置防火墙接口ethernet 1/0/0。
[secpath] interface ethernet 1/0/0[secpath-ethernet1/0/0] ip address 202.1.0.1 255.255.0.0[secpath-ethernet1/0/0] quit# 配置防火墙接口ethernet 2/0/0。
[secpath] interface ethernet 2/0/0[secpath-ethernet2/0/0] ip address 210.78.245.1 255.255.255.0 [secpath-ethernet2/0/0] quit# 配置接口ethernet 0/0/0加入防火墙trust区域。
[secpath] firewall zone trust[secpath-zone-trust] add interface ethernet 0/0/0[secpath-zone-trust] quit# 配置接口ethernet 1/0/0加入防火墙dmz域。
[secpath] firewall zone dmz[secpath-zone-dmz] add interface ethernet 1/0/0[secpath-zone-dmz] quit# 配置接口ethernet2/0/0加入防火墙untrust区域。
[secpath] firewall zone untrust[secpath-zone-untrust] add interface ethernet 2/0/0[secpath-zone-untrust] quit# 进入域间视图(例如进入trust和untrust的域间视图)准备配置安全策略(注:安全策略的配置后文各章讲述,本处不进行举例)。
[secpath] firewall interzone trust untrust[secpath-interzone-trust-untrust]美文欣赏1、走过春的田野,趟过夏的激流,来到秋天就是安静祥和的世界。
秋天,虽没有玫瑰的芳香,却有秋菊的淡雅,没有繁花似锦,却有硕果累累。
秋天,没有夏日的激情,却有浪漫的温情,没有春的奔放,却有收获的喜悦。
清风落叶舞秋韵,枝头硕果醉秋容。
秋天是甘美的酒,秋天是壮丽的诗,秋天是动人的歌。
2、人的一生就是一个储蓄的过程,在奋斗的时候储存了希望;在耕耘的时候储存了一粒种子;在旅行的时候储存了风景;在微笑的时候储存了快乐。
聪明的人善于储蓄,在漫长而短暂的人生旅途中,学会储蓄每一个闪光的瞬间,然后用它们酿成一杯美好的回忆,在四季的变幻与交替之间,散发浓香,珍藏一生!3、春天来了,我要把心灵放回萦绕柔肠的远方。