H3CSecPathF100系列防火墙配置教程

H3C SecPath F100-C防火墙安装手册杭州华三通信技术有限公司资料版本：T1-08044M-20070430-C-1.03声明Copyright ©2006-2007 杭州华三通信技术有限公司及其许可者版权所有，保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。

H3C、、Aolynk、、H3Care、、TOP G、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、V n G、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标。

对于本手册中出现的其它公司的商标、产品标识及商品名称，由各自权利人拥有。

除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

如需要获取最新手册，请登录。

技术支持用户支持邮箱：customer_service@技术支持热线电话：800-810-0504（固话拨打）400-810-0504（手机、固话均可拨打）网址：前言相关手册手册名称用途《H3C SecPath系列安全产品操作手册》 该手册介绍了H3C SecPath系列安全网关/防火墙的功能特性、工作原理和配置及操作指导。

《H3C SecPath系列安全产品命令手册》该手册介绍了H3C SecPath系列安全网关/防火墙所涉及的配置和操作命令。

包括命令名、完整命令行、参数、操作视图、使用指导和操作举例。

《H3C SecPath系列安全产品 Web配置手册》指导用户通过Web方式对H3C SecPath系列防火墙进行配置操作。

本书简介本手册各章节内容如下：z第1章产品介绍。

介绍H3C SecPath F100-C防火墙的特点及其应用。

网络环境：固定IP，光钎接入。

硬件环境： IbmX3650M3 一台（ OA ），双网卡，一台H3C F100-A 防火墙一台。

客户需求：要求内部网络经过防火墙接见外网，外网客户端经过防火墙能够接见内部OA 服务器。

实行步骤：服务器做好系统并把数据库调试好。

防火墙的调试，经过串口线连结簿本PC 和防火墙，用超级终端。

可用 2 种调试方法。

Web 界面的调试和命令行的调试。

先是第一种方法。

详细操作以下：1》由于机器默认是没有ip 和用户名和密码的，因此就需要超级终端经过命令行来给机器配置，操作以下：由于机器自己带一条console 口的串口线，把另一端连结到带串口的笔录本上，由于有的簿本没有9 针的串口，因此最好买一条九针转U 口的，连到笔录本的U 口上面，接下来就是打串口的驱动了，在网上下个全能的串口驱动也是能用的（附件里有自己用的一个驱动），连结好此后，把防火墙通上电。

2》在簿本上点击开始 - 程序 - 附件 - 通信 - 超级终端，翻开后是新建连结，在名称里输入 comm1，选第一个图标，点击确立，在连结时使用的下拉菜单中选直接连结到串口 1，点击确立，而后在串口的属性对话框中设置波特率为 9600 ，数据位为 8 ，奇偶校验为无，停止位为1，流量控制为无，按［确立］按钮，返回超级终端窗口。

接下来配置超级终端属性在超级终端中选择［属性 /设置］一项，进入图 4-5 所示的属性设置窗口。

选择终端仿真种类为 VT100 或自动检测，按［确立］按钮，返回超级终端窗口。

连通后在超级终端里会显示防火墙的信息。

机子会提示你Ctrl+B你不用管，这是进ROOT 菜单的。

接下来就要为防火墙配置管理IP，用户名和密码了配置有 2 种模式，一般状况下用路由模式，先配置IP为使防火墙能够与其余网络设施互通，一定先将相应接口加入到某一安全地区中，且将缺省的过滤行为设置为同意，并为接口（以GigabitEthernet0/0为例）这是 lan0 的接口，配置IP地点。

网络环境：固定IP,光钎接入。

硬件环境：IbmX3650M3 一台（OA ），双网卡，一台H3C F100-A 防火墙一台。

客户需求：要求内部网络通过防火墙访问外网, 外网客户端通过防火墙能够访问内部OA 服务器。

实施步骤：服务器做好系统并把数据库调试好。

防火墙的调试，通过串口线连接本子PC和防火墙，用超级终端。

可用2种调试方法。

Web 界面的调试和命令行的调试。

先是第一种方法。

具体操作如下：1》因为机器默认是没有ip 和用户名和密码的, 所以就需要超级终端通过命令行来给机器配置，操作如下：因为机器本身带一条con sole 口的串口线，把另一端连接到带串口的笔记本上，因为有的本子没有9针的串口，所以最好买一条九针转U 口的，连到笔记本的U 口上面,接下来就是打串口的驱动了, 在网上下个万能的串口驱动也是能用的（附件里有自己用的一个驱动） ,连接好以后,把防火墙通上电。

2》在本子上点击开始-程序- 附件- 通讯-超级终端,打开后是新建连接,在名称里输入comm]选第一个图标，点击确定，在连接时使用的下拉菜单中选直接连接到串口1 ，点击确定，然后在串口的属性对话框中设置波特率为9600 ，数据位为8，奇偶校验为无，停止位为1，流量控制为无，按[确定]按钮，返回超级终端窗口。

接下来配置超级终端属性在超级终端中选择[属性/设置]一项，进入图4-5所示的属性设置窗口。

选择终端仿真类型为VT100 或自动检测，按[确定]按钮，返回超级终端窗口。

连通后在超级终端里会显示防火墙的信息。

机子会提示你Ctrl+B你不用管，这是进ROOT 菜单的。

接下来就要为防火墙配置管理IP，用户名和密码了配置有 2 种模式，一般情况下用路由模式，先配置IP为使防火墙可以与其它网络设备互通，必须先将相应接口加入到某一安全区域中，且将缺省的过滤行为设置为允许，并为接口（以GigabitEthernet0/0 为例）这是lanO的接口，配置IP地址。

H3C SecPath F100—A-G2 防火墙的透明模式和访问控制。

注意：安全域要在安全策略中执行.URL和其他访问控制的策略都需要在安全策略中去执行。

安全策略逐条检索,匹配执行，不匹配执行下一条，直到匹配到最后,还没有的则丢弃。

配置的步骤如下:一、首先连接防火墙开启WEB命令为：yssecurity-zone name Trustimport interface GigabitEthernet1/0/0import interface GigabitEthernet1/0/1interface GigabitEthernet1/0/0port link—mode routeip address 100。

0。

0。

1 255.255。

255。

0acl advanced 3333rule 0 permit ipzone-pair security source Trust destination localpacket-filter 3333zone-pair security source local destination Trustpacket—filter 3333local—user admin class managepassword hash adminservice—type telnet terminal http httpsauthorization-attribute user-role level-3authorization-attribute user-role network—adminip http enableip https enable二、进入WEB ，将接口改为二层模式，在将二层模式的接口划到Trust安全域中。

管理口在管理域中。

配置安全策略，安全策略配置完如图详情：将接口划入到域中，例如将G1/0/2、G1/0/3口变成二层口，并加入到trust域中域间策略控制配置其他网段只能访问其中的服务器DHCP 要启用 DHCP中继dhcp—relay。

网络环境：固定IP，光钎接入。

硬件环境：IbmX3650M3一台（OA），双网卡，一台H3C F100-A防火墙一台。

客户需求：要求内部网络通过防火墙访问外网，外网客户端通过防火墙能够访问内部OA服务器。

实施步骤：服务器做好系统并把数据库调试好。

防火墙的调试，通过串口线连接本子PC和防火墙，用超级终端。

可用2种调试方法。

Web 界面的调试和命令行的调试。

先是第一种方法。

具体操作如下：1》因为机器默认是没有ip和用户名和密码的，所以就需要超级终端通过命令行来给机器配置，操作如下：因为机器本身带一条console口的串口线，把另一端连接到带串口的笔记本上，因为有的本子没有9针的串口，所以最好买一条九针转U口的，连到笔记本的U口上面，接下来就是打串口的驱动了，在网上下个万能的串口驱动也是能用的（附件里有自己用的一个驱动），连接好以后，把防火墙通上电。

2》在本子上点击开始-程序-附件-通讯-超级终端，打开后是新建连接，在名称里输入comm1，选第一个图标，点击确定，在连接时使用的下拉菜单中选直接连接到串口1，点击确定，然后在串口的属性对话框中设置波特率为9600，数据位为8，奇偶校验为无，停止位为1，流量控制为无，按［确定］按钮，返回超级终端窗口。

接下来配置超级终端属性在超级终端中选择［属性/设置］一项，进入图4-5所示的属性设置窗口。

选择终端仿真类型为VT100或自动检测，按［确定］按钮，返回超级终端窗口。

连通后在超级终端里会显示防火墙的信息。

机子会提示你Ctrl+B你不用管，这是进ROOT菜单的。

接下来就要为防火墙配置管理IP，用户名和密码了配置有2种模式，一般情况下用路由模式，先配置IP为使防火墙可以与其它网络设备互通，必须先将相应接口加入到某一安全区域中，且将缺省的过滤行为设置为允许，并为接口（以GigabitEthernet0/0为例）这是lan0的接口，配置IP地址。

[H3C] firewall zone trust [H3C-zone-trust] add interfaceGigabitEthernet0/0[H3C-zone-trust] quit[H3C] firewall packet-filter default permit[H3C] interface GigabitEthernet0/0[H3C-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0Lan0口配置的ip是192.168.0.1接下来就为本机PC配置ip，因为接的是LAN0口，所以把ip配置成，192.168.0.2.配置好后在本子上运行CMD，PING 192.168.0.2PING通后，接下来就是为防火墙配置用户名和密码例如：建立一个用户名和密码都为admin，帐户类型为telnet，权限等级为3的管理员用户，运行下面的命令：[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3配置好后从调试本子的IE中，敲入192.168.0.1，回车就进入WEB界面，敲入admin后就进入WEB的配置管理界面。

流量监管与流量整形典型配置举例1. 配置需求如图2-5所示，SecPath1通过接口ethernet0/0/0和SecPath2的接口ethernet1/0/0互连，Server、PC1、PC2可经由SecPath1和SecPath2访问Internet。

Server、PC1与SecPath1的ethernet1/0/0接口在同一网段，PC2与SecPath1的ethernet2/0/0接口在同一网段。

要求在SecPath2上对接口ethernet1/0/0接收到的源自Server和PC1的报文流分别实施流量控制如下：来自server的报文流量约束为54000bps，流量小于54000bps时可以正常发送，流量超过54000bps时则将违规报文的优先级设置为0后进行发送；来自PC的报文流量约束为8000bps，流量小于8000bps时可以正常发送，流量超过8000bps 时则丢弃违规报文；同时，对SecPath2的ethernet 1/0/0和ethernet 0/0/0接口收发报文有如下要求：l SecPath2的ethernet 1/0/0接口接收报文的总流量限制为0.5Mbps，如果超过流量限制则将违规报文丢弃；l 经由SecPath2的ethernet 0/0/0接口进入Internet的报文流量限制为1Mbps，如果超过流量限制则将违规报文丢弃。

2. 组网图图2-5 流量监管、流量整形配置组网图3. 配置步骤(1) 配置SecPath1：# 在SecPath1的ethernet0/0/0接口上配置TS，对该接口发送的报文进行流量整形（对超过0.5Mbps的报文流进行整形），以降低在SecPath2接口ethernet1/0/0处的丢包率。

[H3C] interface ethernet0/0/0[H3C-Ethernet0/0/0] qos gts any cir 500000(2) 配置SecPath2：# 配置ACL规则列表，分别匹配来源于Server和PC1的报文流。

网络环境:固定IP,光钎接入。

硬件环境：ＩｂmX365０M3一台(OA)，双网卡,一台Ｈ３C F１00-A 防火墙一台。

客户需求:规定内部网络通过防火墙访问外网,外网客户端通过防火墙可以访问内部OＡ服务器。

实行环节:服务器做好系统并把数据库调试好。

防火墙旳调试，通过串口线连接本子PC和防火墙,用超级终端。

可用２种调试措施。

Ｗｅｂ界面旳调试和命令行旳调试。

先是第一种措施。

具体操作如下：1》由于机器默认是没有ip和顾客名和密码旳,因此就需要超级终端通过命令行来给机器配备，操作如下:由于机器自身带一条ｃonsole 口旳串口线,把另一端连接到带串口旳笔记本上,由于有旳本子没有9针旳串口,因此最佳买一条九针转U口旳，连到笔记本旳Ｕ口上面,接下来就是打串口旳驱动了，在网上下个万能旳串口驱动也是能用旳（附件里有自己用旳一种驱动），连接好后来，把防火墙通上电。

２》在本子上点击开始－程序-附件-通讯-超级终端,打开后是新建连接，在名称里输入coｍm1，选第一种图标，点击拟定,在连接时使用旳下拉菜单中选直接连接到串口1，点击拟定,然后在串口旳属性对话框中设立波特率为96０0,数据位为８,奇偶校验为无，停止位为１,流量控制为无,按[拟定］按钮，返回超级终端窗口。

接下来配备超级终端属性在超级终端中选择［属性/设立]一项,进入图4－5所示旳属性设立窗口。

选择终端仿真类型为ＶT100或自动检测,按［拟定]按钮,返回超级终端窗口。

连通后在超级终端里会显示防火墙旳信息。

机子会提示你Cｔrl+B你不用管,这是进ROOT菜单旳。

接下来就要为防火墙配备管理IP,顾客名和密码了配备有2种模式，一般状况下用路由模式，先配备IP为使防火墙可以与其他网络设备互通，必须先将相应接口加入到某一安全区域中,且将缺省旳过滤行为设立为容许,并为接口(以GigａbitEthｅｒneｔ0/0为例)这是lan0旳接口,配备IＰ地址。

[H３Ｃ］firewall zone trust [H３C－ｚｏne－trust] ａdｄinｔerface GigaｂiｔＥthｅrnｅt0/0［H3C-zoｎe-trust] quｉt[H3C] ｆirewａｌl ｐaｃkｅt-ｆilｔer defａulｔpermｉt[H３C] intｅrfacｅGigａｂｉtEtherｎｅt0/０［H3Ｃ-GiｇaｂitＥtｈｅｒnet０／0] ip aｄｄrｅｓs 1９2．168.0．１25５.25５.２55.0Ｌaｎ0口配备旳ip是192.１68.0．1接下来就为本机ＰC配备ip,由于接旳是LAN0口，因此把ｉｐ配备成,1９2.１６８.0.２.配备好后在本子上运营CMＤ，PＩNG １９2.１68.0.2PING通后,接下来就是为防火墙配备顾客名和密码例如：建立一种顾客名和密码都为aｄmin，帐户类型为telｎｅｔ，权限等级为3旳管理员顾客,运营下面旳命令：[H3C］lｏcaｌ－ｕｓer aｄmiｎ［H3C-ｌｕser－ａｄｍin] passworｄsimｐle admin[H３C－luser-admin］sｅrｖice-ｔｙpe ｔeｌｎｅt［Ｈ3C-ｌuser-admiｎ] levｅl 3配备好后从调试本子旳IE中，敲入192．1６8.0.1，回车就进入WEB界面,敲入ａｄmin后就进入WEB旳配备管理界面。

H3C S e c P a t h F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。