您的位置:360文档中心› HC防火墙命令行配置

HC防火墙命令行配置

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

配置防火墙网页登录

1.配置防火墙缺省允许报文通过

< telecom > system-view

[telecom] firewall packet-filter enable

[telecom] firewall packet-filter default permit

为防火墙的以太网接口(GigabitEthernet0/0为例)配置IP地址,并将接口加入到安全域。

[telecom] interface GigabitEthernet 0/0

[telecom-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0

[telecom-GigabitEthernet0/0] quit

[telecom] firewall zone trust

[telecom-zone-trust] add GigabitEthernet 0/0

2.添加登录用户(建立一个账户名和密码都为admin的账户类型为

telnet)

[telecom] local-user admin

[telecom-luser-admin] password simple admin

[telecom-luser-admin]service-type telnet

3.在GigabitEthernet 0/1接口上配置FTP及www内部服务器[telecom] interface GigabitEthernet 0/1

[telecom-GigabitEthernet0/1] ip address 1.1.1.1 255.0.0.0 [telecom-GigabitEthernet0/1] nat outbound 2000

[telecom-GigabitEthernet0/1]nat server protocol tcp global 1.1.1.1 www inside 10.0.0.2

[telecom-GigabitEthernet0/1]nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.2

[telecom-GigabitEthernet0/1] quit

4.配置访问控制列表,允许10.0.0.0/8网段访问internet [telecom]acl number 2000

[telecom-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255

[telecom-acl-basic-2000] rule 1 deny

5.IPSec VPN配置

配置分公司IP:192.168.1.0/24到总公司IP:10.1.1.0/24的IPSec VPN

总公司端 VPN配置步骤如下:

第一步:配置ACL3000,禁止总公司IP:10.1.1.0/24访问分公司IP:192.168.1.0/24时进行NAT转换,允许总公司IP:10.1.1.0/24访问公网时进行NAT转换。

[telecom] acl number 3000

[telecom-acl-adv-3000] rule 0 deny ip source 10.1.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[telecom-acl-adv-3000] rule permit ip

[telecom-acl-adv-3000] quit

第二步:配置ACL3200,允许总公司IP:10.1.1.0/24访问分公司IP:192.168.1.0/24

[telecom] acl number 3200

[telecom-acl-adv-3200] rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[telecom-acl-adv-3200] quit

第三步:配置本端设备名称为routera

[telecom] ike local-name routera

第四步:配置对等体peer

[telecom] ike peer peer

[telecom-ike-peer-peer] exchange-mode aggressive

[telecom-ike-peer-peer] pre-shared-key 123456

[telecom-ike-peer-peer] id-type name

[telecom-ike-peer-peer] remote-name telecom

[telecom-ike-peer-peer] nat traversal

第五步:配置IPSec安全提议test

[telecom] ipsec proposal test

[telecom-ipsec-proposal-test] encapsulation-mode tunnel [telecom-ipsec-proposal-test] transform esp

[telecom-ipsec-proposal-test] esp encryption-algorithm 3des [telecom-ipsec-proposal-test] esp authentication-algorithm md5

[telecom-ipsec-proposal-test] quit

第六步:创建安全策略test并指定通过IKE协商建立SA [telecom] ipsec policy test 1 isakmp

第七步:配置安全策略test引用IKE对等体peer

[telecom-ipsec-policy-isakmp-test-1] ike-peer peer

第八步:配置安全策略test引用访问控制列表3200

[telecom-ipsec-policy-isakmp-test-1] security acl 3200

第九步:配置安全策略test引用IPSec安全提议test

[telecom-ipsec-policy-isakmp-test-1] proposal test [telecom-ipsec-policy-isakmp-test-1] quit

第十步:配置上行接口IP地址202.1.1.2/24,并在接口上应用IPSec 策略

[telecom] int GigabitEthernet 0/0

[telecom-GigabitEthernet0/0] ip address 202.1.1.2 24 [telecom-GigabitEthernet0/0] nat outbound 3000

[telecom-GigabitEthernet0/0] ipsec policy test

第十一步:配置下行接口IP地址10.1.1.1/24

[telecom-GigabitEthernet0/1] ip address 10.1.1.1 24

第十二步:配置到分公司局域网的静态路由

[telecom]ip route-static 192.168.1.0 255.255.255.0 192.168.1.254

相关文档
最新文档