hillstone防火墙配置实例介绍
目录
一.基本情况介绍 (2)
1.车管所机房情况: (2)
2.通璟检测站: (2)
3.风顺、安运检测站: (2)
4.关于防火墙的配置方式: (3)
5.关于配置文件: (3)
6.关于授权证书: (4)
二.车管所防火墙配置说明 (5)
1.第12行: (5)
2.第90行,地址薄的设置: (5)
3.第316行,接口的设置: (7)
4.第371行,虚拟路由的配置: (9)
5.第381行,策略的配置: (11)
三.通璟检测站防火墙的配置: (13)
1.第83行,地址薄的设置: (13)
2.第290行,接口的配置: (14)
3.第312行,虚拟路由的设置: (15)
4.第317行,策略的配置: (16)
四.风顺检测站防火墙的配置: (17)
1.第86行,地址薄的配置: (17)
2.第305行,接口的配置: (18)
3.第328行,虚拟路由的配置: (19)
4.第335行,策略的设置: (21)
五.总结 (22)
一.基本情况介绍
本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NA V20(检测站),网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。具体配置如下:
1.车管所机房情况:
数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别10.137.186.78/62/68/36/37,系统管理员给的IP地址格式为:
;
防火墙配置完毕后,车管所服务器设置的IP格式为:
webserviceIP:10.136.46.23。
2.通璟检测站:
局域网IP地址为192.168.11.*段,网关192.168.11.1。因为距离短,有一条一百多米网线直接通到车管所机房。站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上,然后交换机接网线到hillstone防火墙的0/1口,到车管所机房的网线接防火墙0/0口。
3.风顺、安运检测站:
IP段分别是192.168.12.*和192.168.13.*,网关分别是192.168.12.1和192.168.13.1。两个站都是依靠着当地的交警大队,直接把大队公安网接网线到检测站防火墙的0/0口。因为交警大队和交警支队车管所的IP都是一个网段(10.137.186.*),所以两个站防火墙的0/0口IP 分别是10.137.186.97和67。
4.关于防火墙的配置方式:
第一种是访问防火墙的默认IP,输入用户名、密码,在配置页面进行配置,一般是按照地址薄、接口、目的路由、策略的顺序进行配置;(注意设置完要保存配置)
第二种是上传已设置好的配置文件,然后设置生效,重启(约2-3分钟)。
5.关于配置文件:
在“系统”-“配置”页面有本防火墙的配置文件,可上传新的配置文件、现在当前的配置文件。
但下载下来的是DA T文件,使用的是Unicode编码,用记事本打开是乱码。可将“系统”-“配置”页面的配置命令复制,新建文本文档,粘贴,另存为,将编码选为unicode,选“是”确认。
这样在新建的TXT文档中就可以编辑配置命令,又保证编码格式是unicode(不出乱码)。
6.关于授权证书:
防火墙启用后有个试用期限,应当跟采购部要厂家给的永久使用授权证书。
二.车管所防火墙配置说明
我只将需要配置的命令段作说明。
1.第12行:
“password +Wfd5CQ1JURJQ6DEtWjldaQQmj”,这个密码应该是个加密的东西,最好遵照原始文件的配置,不要更换,以防出错。
2.第90行,地址薄的设置:
address "通璟检测站"
reference-zone "trust"
range 192.168.11.1 192.168.11.254
exit
address "浮梁风顺检测站"
reference-zone "trust"
range 192.168.12.1 192.168.12.254
exit
address "乐平安运检测站"
reference-zone "trust"
range 192.168.13.1 192.168.13.254
exit
address "备用检测站"
reference-zone "trust"
range 192.168.14.1 192.168.14.254
exit
address "调用地址"
reference-zone "trust"
range 10.136.46.1 10.136.46.254
exit
这段是设置地址薄(别名+地址范围)
上图中,代码是添加了上边的通璟检测站、风顺检测站、安运检测站、备用监测站和调用地址5个地址薄,下边的是自动显示的5个已设置好接口的IP设置。(后文“接口”有介绍)
“ethernet0/0 10.137.186.68/32”意思是车管所防火墙0/0口的IP设为10.137.186.68;“ethernet0/0_subnet 10.137.186.68/24”意思是车管所防火墙0/0口所在的是10.137.186.网段。
3.第316行,接口的设置:
interface ethernet0/0
zone "trust"
ip address 10.137.186.68 255.255.255.0 manage ssh
manage telnet
manage ping
manage snmp
manage http
manage https
exit
interface ethernet0/1
zone "trust"
ip address 192.168.200.1 255.255.255.0 manage telnet
manage ssh
manage ping
manage http
manage https
manage snmp
exit
interface ethernet0/2
zone "trust"
ip address 192.168.201.1 255.255.255.0 manage telnet
manage ssh
manage ping
manage http
manage https
manage snmp
exit
interface ethernet0/3
zone "trust"
ip address 192.168.202.1 255.255.255.0 manage telnet
manage ssh
manage ping
manage http
manage https
manage snmp
exit
interface ethernet0/4
zone "trust"
ip address 192.168.203.1 255.255.255.0
manage telnet
manage ssh
manage ping
manage http
manage https
manage snmp
exit
车管所的防火墙有5个接口,分别是ethernet0/0、ethernet0/1、ethernet0/2、ethernet0/3、ethernet0/4。其中ethernet0/0接口是直接连公安网交换机的,设的IP是10.137.186.68 255.255.255.0;ethernet0/1口是接通璟检测站ethernet0/0口出来的网线,给的IP是192.168.200.1 255.255.255.0;ethernet0/2、ethernet0/3、ethernet0/4这三个原本设想的是四个检测站都是直连光纤到车管所防火墙,但风顺、乐平使用不同的接入模式,所以这三个接口设置在这里没有使用。风顺和安运检测站的防火墙ethernet0/0设的是公安网的IP,直接接入当地交警大队的公安网交换机。并且这俩防火墙的IP跟交警支队车管所的IP都是10.137.186.*(假若当地交警大队是不同于10.137.186.*的IP地址,则可添加虚拟路由跳转)。
上图可看到,车管所防火墙的5个接口IP都配置了,但是(物理状态)只用到了ethernet0/0口和ethernet0/1口,IP分别为10.137.186.68、192.168.200.1。
4.第371行,虚拟路由的配置:
ip vrouter "trust-vr"
snatrule id 1 from "Any" to "Any" eif ethernet0/0 trans-to eif-ip mode dynamicport
ip route 192.168.11.0/24 192.168.200.2
ip route 192.168.12.0/24 192.168.201.2
ip route 192.168.13.0/24 192.168.202.2
ip route 192.168.14.0/24 192.168.203.2
ip route 10.136.46.0/24 10.137.186.249
exit
其中“snatrule id 1 from "Any" to "Any" eif ethernet0/0 trans-to eif-ip mode dynamicport”这句是“防火墙”--“NAT”--“源NA T”页面的配置。
“ ip route 192.168.11.0/24 192.168.200.2
ip route 192.168.12.0/24 192.168.201.2
ip route 192.168.13.0/24 192.168.202.2
ip route 192.168.14.0/24 192.168.203.2
ip route 10.136.46.0/24 10.137.186.249”这段是“网络”--“路由”--“目的路由”的设置。若车管所(10.137.186.*地址段)要跟不同的地址段(如10.136.46.23、192.168.11.*)通讯,需要添加虚拟路由,通过要网关跳转访问。
在上图中,“状态”一栏,我们看到绿色活动的只有6个,有3个未启用;再看“协议”一栏,“主机”和“直连”都是配置接口完毕后自动生成的,“静态”一栏只有2个。
一个是接入公安网交换机的ethernet0/0口。本来通讯服务器(10.137.186.62)的网关是10.137.186.249,是可以直接从webserviceIP(10.136.46.23)调取公安网机动车基本信息;现在将通讯服务器的网关设为车管所防火墙ethernet0/0口的IP(10.137.186.68),在这里就添加一个10.137.186.249的网关跳到10.136.46.*段,去获取公安网机动车基本信息。
另一个ethernet0/1口(IP设为192.168.200.1)是与通璟检测站的防火墙的ethernet0/0口连接的。这里设置的是10.137.186.*网段的机器要去访问通璟检测站192.168.11.*网段的机器,就要加一个192.168.200.2这个网关,也就是通璟检测站的防火墙的ethernet0/0的IP。
可以这么理解,逻辑不一定正确,但结果真确:
防火墙的不同接口相当于服务器上同时有几个网卡,不同网卡的网段是可以相互通信的。车管所的0/0、0/1口接入的网段分别是10.137.186.*和192.168.200.*这两个网段的机器是可以相互通信的;通璟检测站的0/0、0/1口接入的网段分别是192.168.200.*和192.168.11.*这两个网段的机器是可以相互通信的;风顺检测站的0/0、0/1口接入的网段分别是10.137.186.*和192.168.12.*这两个网段的机器是可以相互通信的。
这样子:车管所的机器要访问通璟检测站的机器,需要在0/1口添加一个目的地址是192.168.11.0、跳转网关是通璟防火墙0/0口的IP的虚拟路由;车管所的机器要访问风顺检测站的机器就不用添加虚拟路由,可直接访问;通璟检测站的机器要访问车管所的机器,
需要在0/0口添加一个目的地址是10.137.186.0、跳转网关是车管所防火墙0/1口的IP的虚拟路由;风顺检测站的机器要访问车管所的机器,不用添加虚拟路由,可直接访问。当然通璟检测站机器要访问webserviceIP的机器,还需在0/0口添加一个目的地址是10.136.46.23.0、跳转网关是车管所防火墙0/1口的IP的虚拟路由,而车管所已经有一个0/0口、目的地址是10.136.46.0、跳转网关是10.137.186.249的虚拟路由,这样通璟的机器跳转两次网关就可访问webserviceIP的机器;风顺的防火墙就是公安网的IP,要访问webserviceIP的机器直接跟车管所防火墙一样在0/0口添加一个目的地址是10.136.46.0、跳转网关是10.137.186.249的虚拟路由。
5.第381行,策略的配置:
policy from "trust" to "trust"
rule id 2
action permit
disable
src-addr "浮梁风顺检测站"
dst-addr "ipv4.ethernet0/0_subnet"
service "Any"
exit
rule id 3
action permit
disable
src-addr "乐平安运检测站"
dst-addr "ipv4.ethernet0/0_subnet"
service "Any"
exit
rule id 4
action permit
disable
src-addr "备用检测站"
dst-addr "ipv4.ethernet0/0_subnet"
service "Any"
exit
rule id 10
action permit
disable
src-addr "通璟检测站"
dst-addr "ipv4.ethernet0/0_subnet"
service "Any"
exit
rule id 11
action permit
disable
src-addr "ipv4.ethernet0/0_subnet" dst-addr "通璟检测站"
service "Any"
exit
rule id 1
action permit
disable
src-addr "ipv4.ethernet0/0_subnet" dst-addr "浮梁风顺检测站" service "Any"
exit
rule id 5
action permit
disable
src-addr "ipv4.ethernet0/0_subnet" dst-addr "乐平安运检测站" service "Any"
exit
rule id 6
action permit
disable
src-addr "ipv4.ethernet0/0_subnet" dst-addr "备用检测站"
service "Any"
exit
rule id 7
action permit
disable
src-addr "ipv4.ethernet0/0_subnet" dst-addr "调用地址"
service "Any"
exit
rule id 8
action permit
src-addr "Any"
dst-addr "Any"
service "Any"
exit
这里设置的是通璟检测站、风顺检测站、安运检测站、备用检测站的机器可以访问车管所防火墙0/0口所在的子网段"ipv4.ethernet0/0_subnet"的机器,反过来车管所防火墙0/0口所在的子网段"ipv4.ethernet0/0_subnet"的机器可以访问通璟检测站、风顺检测站、安运检测站、备用检测站和调用地址的机器。Rule8是说来回谁都可以访问谁,没有限制。
上图我们可以看到我们只启用了rule8,也就是没有限制,any到any。
三.通璟检测站防火墙的配置:
1.第83行,地址薄的设置:
address "车管所"
reference-zone "trust"
range 10.137.186.1 10.137.186.254
range 10.136.46.1 10.136.46.254
exit
pki trust-domain "trust_domain_default"
keypair "Default-Key"
enrollment self
subject commonName "SG-6000"
subject organization "Hillstone Networks"
exit
地址薄只设置了一个“车管所”,包括“10.137.186.1 10.137.186.254”和“10.136.46.1 10.136.46.254”两个IP段。
2.第290行,接口的配置:
interface ethernet0/0
zone "trust"
ip address 192.168.200.2 255.255.255.0
manage ssh
manage telnet
manage ping
manage snmp
manage http
manage https
exit
interface ethernet0/1
zone "trust"
ip address 192.168.11.1 255.255.255.0
manage telnet
manage ssh
manage ping
manage http
manage https
manage snmp
exit
这里设置通璟检测站ethernet0/0口的IP是192.168.200.2 255.255.255.0(车管所防火墙的ethernet0/1口的IP是192.168.200.1 255.255.255.0),ethernet0/1口的IP是192.168.11.1 255.255.255.0。
3.第312行,虚拟路由的设置:
ip vrouter "trust-vr"
ip route 10.137.186.0/24 192.168.200.1
ip route 10.136.46.0/24 192.168.200.1
exit
这里的意思是通璟检测站的机器(192.168.11.*)要访问10.137.186.*段和10.136.46.*段的公安网机器的话,得先跳转到车管所防火墙192.168.200.1,然后再跳转车管所防火墙配置的虚拟路由的网关10.137.186.249去访问10.137.186.*段和10.136.46.*段的公安网机器。
4.第317行,策略的配置:
policy from "trust" to "trust"
rule id 4
action permit
disable
src-addr "车管所"
dst-addr "ipv4.ethernet0/1_subnet"
service "Any"
exit
rule id 1
action permit
disable
src-addr "ipv4.ethernet0/1_subnet"
dst-addr "车管所"
service "Any"
exit
rule id 2
action permit
src-addr "Any"
dst-addr "Any"
service "Any"
exit
就是“车管所”这个地址薄的机器可以访问"ipv4.ethernet0/1_subnet"这个子网下的机器(192.168.11.*),反过来一样可以;还有个any到any。
这里我们启用的是any到any。
四.风顺检测站防火墙的配置:
1.第86行,地址薄的配置:
address "车管所"
reference-zone "trust"
range 10.137.186.1 10.137.186.254
exit
address "fs"
reference-zone "trust"
ip 192.168.12.3/24
range 192.168.12.15 192.168.12.25
range 192.168.12.100 192.192.12.103
exit
address "cgs"
reference-zone "trust"
range 10.137.186.1 10.137.186.254
range 10.137.185.1 10.137.185.254
range 10.136.46.17 10.136.46.50
exit
这里配了3个地址薄。"车管所"的地址是“ 10.137.186.1 10.137.186.254”; "fs"的地址有192.168.12.3/24、 192.168.12.15 192.168.12.25、 192.168.12.100 192.192.12.103这三个;
"cgs"有10.137.186.1 10.137.186.254、 10.137.185.1 10.137.185.254和10.136.46.17 10.136.46.50三个。u
但“车管所”那个地址薄是包含在“cgs”那个地址薄中的,所以是多余的,在“策略”截图中可看到并没用启用“车管所”这个地址。
2.第305行,接口的配置:
interface ethernet0/0
zone "trust"
ip address 10.137.186.97 255.255.255.0
manage ssh
manage telnet
manage ping
manage snmp
manage http
manage https
exit
interface ethernet0/1
zone "trust"
ip address 192.168.12.1 255.255.255.0
manage telnet
manage ssh
manage ping
manage http
manage https
manage snmp
exit
设置了ethernet0/0口的IP是10.137.186.97 255.255.255.0,ethernet0/1的IP是 192.168.12.1 255.255.255.0
3.第328行,虚拟路由的配置:
ip vrouter "trust-vr"
snatrule id 1 from "fs" to "Any" eif ethernet0/0 trans-to eif-ip mode dynamicport
ip route 10.137.186.0/24 192.168.201.1
ip route 10.136.46.0/24 10.137.186.249
ip route 10.137.185.0/24 10.137.186.249
exit
其中“snatrule id 1 from "fs" to "Any" eif ethernet0/0 trans-to eif-ip mode dynamicport”是“防火墙”--“NAT”--“源NAT”的配置:
“ip route 10.137.186.0/24 192.168.201.1
ip route 10.136.46.0/24 10.137.186.249
ip route 10.137.185.0/24 10.137.186.249”
设置了要访问的IP段和需要跳转的网关。10.137.185.0/24 10.137.186.249这个配上了,应该是没什么用的。因为本防火墙的IP是10.137.186.97,跟支队车管所IP在同一网段,可直接访问,不用设置虚拟路由。若本防火墙的IP是公安局等与支队车管所的IP不在同一网段(例如:10.137.42.61),在这里可加一条“ip route 10.137.186.0/24 10.137.42.61”。
思科ASA5505防火墙配置成功实例
配置要求: 1、分别划分inside(内网)、outside(外网)、dmz(安全区)三个区域。 2、内网可访问外网及dmz内服务器(web),外网可访问dmz内服务器(web)。 3、Dmz服务器分别开放80、21、3389端口。 说明:由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。 具体配置如下:希望对需要的朋友有所帮助 ASA Version 7.2(4) ! hostname asa5505 enable password tDElRpQcbH/qLvnn encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Vlan1 nameif outside security-level 0 ip address 外网IP 外网掩码 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan3 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/0 description outside !
interface Ethernet0/1 description inside switchport access vlan 2 ! interface Ethernet0/2 description dmz switchport access vlan 3 ! interface Ethernet0/3 description inside switchport access vlan 2 ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! ftp mode passive object-group service outside-to-dmz tcp port-object eq www port-object eq ftp port-object eq 3389 access-list aaa extended permit tcp any host 外网IP object-group outsid e- to-dmz access-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 ob
Hillstone山石网科防火墙日常运维操作手册
目录 一、设备基础管理 (1) 1.1设备登录 (1) 1.1.1 通过CLI管理设备 (1) 1.1.2 通过WebUI管理设备 (2) 1.2管理员帐号及权限设置 (4) 1.2.1 新增管理员 (4) 1.2.1 修改管理员密码 (5) 1.3 License安装 (6) 1.4设备软件升级 (7) 1.5设备配置备份与恢复 (9) 1.5.1 备份设备配置 (9) 1.5.2 恢复设备配置 (12) 1.6系统诊断工具的使用 (14) 二、对象配置 (16) 2.1 配置地址薄 (16) 2.2 配置服务簿 (17) 三、网络配置 (21) 3.1 配置安全域 (21) 3.2 配置接口 (22) 3.3 配置路由 (23) 3.4 配置DNS (24) 四、防火墙配置 (26) 4.1 配置防火墙策略 (26) 4.1.1 新增防火墙安全策略 (26) 4.1.2 编辑防火墙安全策略 (27) 4.2 配置NAT (28) 4.2.1 配置源NAT (28) 4.2.2 配置目的NAT (31) 4.3 防火墙配置举例 (35) 五、QOS配置 (44) 5.1 配置IP QOS (45) 5.2 配置应用QOS (46) 六、常用日志配置 (48)
一、设备基础管理 1.1设备登录 安全网关支持本地与远程两种环境配置方法,可以通过CLI 和WebUI 两种方式进行配置。CLI同时支持Console、telnet、SSH等主流通信管理协议。 1.1.1 通过CLI管理设备 通过Console 口配置安全网关时需要在计算机上运行终端仿真程序(系统的超级终端、SecureCRT等)建立与安全网关的连接,并按如下表所示设置参数(与连接Cisco设备的参数一致): 通过telnet或者SSH管理设备时,需要在相应接口下启用telnet或SSH 管理服务,然后允许相应网段的IP管理设备(可信主机)。 对接口启用telnet或SSH管理服务的方法如下: 首先在网络—>网络连接模式下的页面下方勾选指定接口,点击图示为 的编辑按钮,
hillstone防火墙配置实例介绍
目录 一.基本情况介绍 (2) 1.车管所机房情况: (2) 2.通璟检测站: (2) 3.风顺、安运检测站: (2) 4.关于防火墙的配置方式: (3) 5.关于配置文件: (3) 6.关于授权证书: (4) 二.车管所防火墙配置说明 (5) 1.第12行: (5) 2.第90行,地址薄的设置: (5) 3.第316行,接口的设置: (7) 4.第371行,虚拟路由的配置: (9) 5.第381行,策略的配置: (11) 三.通璟检测站防火墙的配置: (13) 1.第83行,地址薄的设置: (13) 2.第290行,接口的配置: (14) 3.第312行,虚拟路由的设置: (15) 4.第317行,策略的配置: (16) 四.风顺检测站防火墙的配置: (17) 1.第86行,地址薄的配置: (17) 2.第305行,接口的配置: (18) 3.第328行,虚拟路由的配置: (19) 4.第335行,策略的设置: (21) 五.总结 (22)
一.基本情况介绍 本文档适用于HillStone SG-6000 M2105(车管所)和HillStone SG-6000 NA V20(检测站),网络连接方式为车管所与检测站防火墙用网线直连、车管所与检测站防火墙在同一公安网IP段内两种。具体配置如下: 1.车管所机房情况: 数据服务器、应用/通讯服务器、hillstone防火墙、审核电脑1/2的IP分别10.137.186.78/62/68/36/37,系统管理员给的IP地址格式为: ; 防火墙配置完毕后,车管所服务器设置的IP格式为: webserviceIP:10.136.46.23。 2.通璟检测站: 局域网IP地址为192.168.11.*段,网关192.168.11.1。因为距离短,有一条一百多米网线直接通到车管所机房。站点服务器、签证申请岗、查验岗、无线路由、PDA、检测线主控、登录机等都接在交换机上,然后交换机接网线到hillstone防火墙的0/1口,到车管所机房的网线接防火墙0/0口。 3.风顺、安运检测站: IP段分别是192.168.12.*和192.168.13.*,网关分别是192.168.12.1和192.168.13.1。两个站都是依靠着当地的交警大队,直接把大队公安网接网线到检测站防火墙的0/0口。因为交警大队和交警支队车管所的IP都是一个网段(10.137.186.*),所以两个站防火墙的0/0口IP 分别是10.137.186.97和67。
H3C防火墙配置实例
本文为大家介绍一个H3C防火墙的配置实例,配置内容包括:配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等,组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 1)防火墙的E0/2接口为TRUST区域,ip地址是:192.168.254.1/29; 2)防火墙的E1/2接口为UNTRUST区域,ip地址是:202.111.0.1/27; 3)内网服务器对外网做一对一的地址映射,192.168.254.2、192.168.254.3分别映射为 202.111.0.2、202.111.0.3; 4)内网服务器访问外网不做限制,外网访问内网只放通公网地址211.101.5.49访问 192.168.254.2的1433端口和192.168.254.3的80端口。 3、防火墙的配置脚本如下
firewall statistic system enable # radius scheme system server-type extended # domain system # local-user net1980 password cipher ###### service-type telnet level 2 # aspf-policy 1 detect h323 detect sqlnet detect rtsp detect http detect smtp detect ftp detect tcp detect udp # object address 192.168.254.2/32 192.168.254.2 255.255.255.255 object address 192.168.254.3/32 192.168.254.3 255.255.255.255 # acl number 3001 description out-inside rule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0 destination-port eq 1433 rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0 destination-port eq www rule 1000 deny ip acl number 3002 description inside-to-outside rule 1 permit ip source 192.168.254.2 0 rule 2 permit ip source 192.168.254.3 0 rule 1000 deny ip # interface Aux0 async mode flow # interface Ethernet0/0 shutdown #
H3C防火墙配置详解
H3C SecPath F100—A-G2 防火墙的透明模式和访问控制。 注意:安全域要在安全策略中执行.URL和其他访问控制的策略都需要在安全策略中去执行。安全策略逐条检索,匹配执行,不匹配执行下一条,直到匹配到最后,还没有的则丢弃。 配置的步骤如下: 一、首先连接防火墙开启WEB命令为: ys security-zone name Trust import interface GigabitEthernet1/0/0 import interface GigabitEthernet1/0/1 interface GigabitEthernet1/0/0 port link—mode route ip address 100。0。0。1 255.255。255。0 acl advanced 3333 rule 0 permit ip zone-pair security source Trust destination local packet-filter 3333 zone-pair security source local destination Trust packet—filter 3333 local—user admin class manage password hash admin service—type telnet terminal http https authorization-attribute user-role level-3 authorization-attribute user-role network—admin
ip http enable ip https enable 二、进入WEB ,将接口改为二层模式,在将二层模式的接口划到Trust安全域中。管理口在管理域中。配置安全策略,安全策略配置完如图 详情: 将接口划入到域中,例如将G1/0/2、G1/0/3口变成二层口,并加入到trust域中
SG6000 e1100 山石防火墙开局 默认登陆设置
设备的ethernet0/0接口配有默认IP地址192.168.1.1/24,并且该接口的各种管理功能均为开启状态。 初次使用设备时,用户可以通 过该接口访问设备的WebUI界面。 搭建WebUI配置环境,请按照以下步骤进行配置: 1. 将PC的IP地址设置为与19 2.168.1.1/24同网段的IP地址,在PC的本地连接属性中,设置 Internet协议版本4(TCP/IPv4)如 下: 2. 用网线将PC与设备的ethernet0/0接口进行连接。 3. 在PC的Web浏览器中输入地址“http://192.168.1.1”并按回车键,打开登录页面。 4. 输入用户名和密码。设备提供的默认用户名和密码均为“hillstone”。 5. 点击“登录”按钮,进入WebUI的主页面。
安装许可证 在获得许可证字符串或者许可证文件后,按照以下步骤安装许可证: 1. 点击“系统>许可证”。 2. 在<许可证申请>处,选择以下两种方式中的一种导入许可证。 上传许可证文件:选中“上传许可证文件”单选按钮,点击“浏览”按钮,并且选中许可证文件(许可证 为纯文本.txt文 件)。 手动输入:选中“手动输入”单选按钮,然后将许可证字符串内容输入到对应的文本框。 3. 点击“确定”按钮。 4. 点击“系统>设备管理”,在<设置及操作>标签页,点击“重启设备”。 5. 设备重启之后完成许可证的安装。 创建系统管理员 系统管理员拥有读、执行和写权限,可以在任何模式下对设备所有功能模块进行配置、查看当前或者历史 配置信息。 创建系统管理员,请按照以下步骤进行操作: 1. 点击“系统>设备管理”。 2. 在<管理员>标签页,点击”新建“按钮。
H3C防火墙配置说明
H3C防火墙配置说明-CAL-FENGHAI.-(YICAI)-Company One1
H3C防火墙配置说明 杭州华三通信技术有限公司 版权所有侵权必究 All rights reserved
相关配置方法: 配置OSPF验证 从安全性角度来考虑,为了避免路由信息外泄或者对OSPF路由器进行恶意攻击,OSPF提供报文验证功能。 OSPF路由器建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行密码验证,只有通过验证的报文才能接收,否则将不会接收报文,不能正常建立邻居。 要配置OSPF报文验证,同一个区域的所有路由器上都需要配置区域验证模式,且配置的验证模式必须相同,同一个网段内的路由器需要配置相同的接口验证模式和口令。 表1-29 配置OSPF验证 ? 提高IS-IS网络的安全性 在安全性要求较高的网络中,可以通过配置IS-IS验证来提高IS-IS网络的安全性。IS-IS验证特性分为邻居关系的验证和区域或路由域的验证。
配置准备 在配置IS-IS验证功能之前,需完成以下任务: 配置接口的网络层地址,使相邻节点网络层可达 使能IS-IS功能 配置邻居关系验证 配置邻居关系验证后,验证密码将会按照设定的方式封装到Hello报文中,并对接收到的Hello报文进行验证密码的检查,通过检查才会形成邻居关系,否则将不会形成邻居关系,用以确认邻居的正确性和有效性,防止与无法信任的路由器形成邻居。 两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。 表1-37 配置邻居关系验证 操作命令说明进入系统视图system-view- 进入接口视图interface interface-type interface-number- 配置邻居关系验证方式 和验证密码 isis authentication-mode{ md5 | simple} [ cipher ] password [ level-1 | level-2 ] [ ip | osi ] 必选 缺省情况下,接口没有配置邻居关 系验证,既不会验证收到的Hello报 文,也不会把验证密码插入到Hello 报文中 参数level-1和level-2的支持情况和 产品相关,具体请以设备的实际情 况为准 ? 必须先使用isis enable命令使能该接口才能进行参数level-1和level-2的配置。 如果没有指定level-1或level-2参数,将同时为level-1和level-2的Hello报文配置验证方式及验证密码。 如果没有指定ip或osi参数,将检查Hello报文中OSI的相应字段的配置内容。 ? 配置区域验证 通过配置区域验证,可以防止将从不可信任的路由器学习到的路由信息加入到 本地Level-1的LSDB中。 配置区域验证后,验证密码将会按照设定的方式封装到Level-1报文(LSP、 CSNP、PSNP)中,并对收到的Level-1报文进行验证密码的检查。 同一区域内的路由器必须配置相同的验证方式和验证密码。