您的位置:360文档中心› H3C防火墙配置手册全集

H3C防火墙配置手册全集

合集下载

H3C防火墙配置

H3C防火墙配置

平安区域之迟辟智美创作2.1.1 平安区域的概念平安区域(zone)是防火墙产物所引入的一个平安概念,是防火墙产物区别于路由器的主要特征. 对路由器,各个接口所连接的网络在平安上可以视为是平等的,没有明显的内外之分,所以即使进行一定水平的平安检查,也是在接口上完成的.这样,一个数据流双方向通过路由器时有可能需要进行两次平安规则的检查(入接口的平安检查和出接口的平安检查),以便使其符合每个接口上自力的平安宁义.而这种思路对防火墙来说不很适合,因为防火墙所承当的责任是呵护内部网络不受外部网络上非法行为的侵害,因而有着明确的内外之分. 当一个数据流通过secpath防火墙设备的时候,根据其发起方向的分歧,所引起的把持是截然分歧的.由于这种平安级别上的分歧,再采纳在接口上检查平安战略的方式已经不适用,将造成用户在配置上的混乱.因此,secpath防火墙提出了平安区域的概念. 一个平安区域包括一个或多个接口的组合,具有一个平安级别.在设备内部,平安级别通过0~100的数字来暗示,数字越年夜暗示平安级别越高,不存在两个具有相同平安级另外区域.只有当数据在分属于两个分歧平安级另外区域(或区域包括的接口)之间流动的时候,才会激活防火墙的平安规则检查功能.数据在属于同一个平安区域的分歧接口间流动时不会引起任何检查. 2.1.2secpath防火墙上的平安区域 1. 平安区域的划分 secpath 防火墙上保管四个平安区域: 1 非受信区(untrust):初级的平安区域,其平安优先级为5. 2 非军事化区(dmz):中度级另外平安区域,其平安优先级为50. 3 受信区(trust):较高级另外平安区域,其平安优先级为85. 4 本地域域(local):最高级另外平安区域,其平安优先级为100. 另外,如认为有需要,用户还可以自行设置新的平安区域并界说其平安优先级别. dmz(de militarized zone,非军事化区)这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部份管制的区域.防火墙引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的区域.通常布置网络时,将那些需要被公共访问的设备(例如,www server、ftp server 等)放置于此. 因为将这些服务器放置于外部网络则它们的平安性无法保证;放置于内部网络,外部恶意用户则有可能利用某些服务的平安漏洞攻击内部网络.因此,dmz区域的呈现很好地解决了这些服务器的放置问题. 2. 接口、网络与平安区域的关系除local区域以外,在使用其他所有平安区域时,需要将平安区域分别与防火墙的特定接口相关联,即将接口加入到区域. 系统不允许两个平安区域具有相同的平安级别;而且同一接口不成以分属于两个分歧的平安区域. 平安区域与各网络的关联遵循下面的原则: 1 内部网络应安插在平安级别较高的区域 2 外部网络应安插在平安级别最低的区域 3 一些可对外部提供有条件服务的网络应安插在平安级别中等的dmz区具体来说,trust所属接口用于连接用户要呵护的网络;untrust所属接口连接外部网络;dmz区所属接口连接用户向外部提供服务的部份网络;从防火墙设备自己发起的连接即是从local区域发起的连接.相应的所有对防火墙设备自己的访问都属于向local区域发起访问连接.区域之间的关系如下图所示:3. 入方向与出方向分歧级另外平安区域间的数据流动都将激发防火墙进行平安战略的检查,而且可以为分歧流动方向设置分歧的平安战略.域间的数据流分两个方向: 1 入方向(inbound):数据由初级另外平安区域向高级另外平安区域传输的方向; 2 出方向(outbound):数据由高级另外平安区域向初级另外平安区域传输的方向. 在secpath防火墙上,判断数据传输是出方向还是入方向,总是相对高平安级另外一侧而言.根据上图所示,可以获得如下结论: 1 从dmz区到untrust区域的数据流为出方向,反之为入方向; 2 从trust区域到dmz区的数据流为出方向,反之为入方向; 3 从trust区域到untrust区域的数据流为出方向,反之为入方向. 路由器上数据流动方向的判定是以接口为主:由接口发送的数据方向称为出方向;由接口接收的数据方向称为入方向.这也是路由器有别于防火墙的重要特征. 在防火墙中,当报文从高优先级区域向低优先级区域发起连接时,即从trust区域向untrust区域和dmz区发起数据连接,或dmz区域向untrust区域发起连接时,必需明确配置缺省过滤规则. 由防火墙本地(local区域)发起或终止的报文不进行状态检测,这类报文的过滤由包过滤机制来完成. 2.1.3 平安区域的配置平安区域的配置包括:创立平安区域并进入平安区域视图配置平安区域的平安优先级配置平安区域的隶属接口进入域间视图 1. 创立平安区域并进入平安区域视图系统缺省保管四个平安区域:本地域域(local)、受信区域(trust)、非军事化区(dmz)和非受信区域(untrust),这四个区域无需创立也不能删除. 创立新的平安区域时,需要使用name关键字;进入保管的或已建立的平安区域视图时则不需要使用该关键字. 请在系统视图下进行下列配置.缺省情况下,系统预界说了四个平安区域,即local、trust、dmz和untrust区域.系统最年夜支持16个平安区域(包括四个保管的区域). 2. 配置平安区域的平安优先级只能为用户自己创立的平安区域才华配置平安优先级.系统保管四个平安区域本地域域(local)、受信区域(trust)、非军事化区(dmz)和非受信区域(untrust)的平安优先级分别是100、85、50和5,优先级不成以重新配置.同一系统中,两个平安区域不允许配置相同的平安优先级. 请在平安区域视图下进行下列配置.缺省情况下,用户自界说的平安区域优先级为0.平安区域优先级一旦设定后,不允许再更改. 3. 配置平安区域的隶属接口除local区域以外,使用其他所有平安区域时需要将平安区域分别与防火墙的特定接口相关联,即需要将接口加入到区域.该接口既可以是物理接口,也可以是逻辑接口.可屡次使用该命令为平安区域指定多个接口,一个平安区域能够支持的最年夜接口数量为1024. 请在平安区域视图下进行下列配置.缺省情况下,平安区域中不包括任何接口,所有隶属关系都需要通过该add interface命令手工配置. 4. 进入域间视图当数据流在平安区域之间流动时,才会激发secpath防火墙进行平安战略的检查,即secpath防火墙的平安战略实施都是基于域间(例如untrust区域和trust区域之间)的,分歧的区域之间可以设置分歧的平安战略(例如包过滤战略、状态过滤战略等等).因此,为了在区域间设置分歧的平安战略,第一步就是要进入域间视图. 进入域间视图后的平安战略的设置将在后文的各章中逐一介绍. 请在系统视图下进行下列配置.2.1.4 平安区域的显示与调试在完成上述配置后,在所有视图下执行display命令可以显示平安区域的配置情况,通过检查显示信息验证配置的效果.2.1.5 平安区域的典范配置举例 1. 组网需求某公司以secpath防火墙作为网络边防设备,设置三个平安区域:公司内部网络布置在trust区域,secpath防火墙的以太网口ethernet 0/0/0与之相连;公司对外提供服务的www server、ftp server等布置在dmz区,secpath防火墙的以太网口ethernet 1/0/0与之相连;外部网络则属于untrust区域,由secpath防火墙的以太网口ethernet 2/0/0连接. 现需要对防火墙进行一些基本配置,以为后面的平安战略的设置做好准备. 2. 组网图 3. 配置步伐 # 配置防火墙接口ethernet 0/0/0. [secpath] interface ethernet 0/0/0 [secpath-ethernet0/0/0] ip address 192.168.1.1 255.255.255.0 [secpath-ethernet0/0/0] quit # 配置防火墙接口ethernet 1/0/0. [secpath] interface ethernet1/0/0 [secpath-ethernet1/0/0] ip address 202.1.0.1255.255.0.0 [secpath-ethernet1/0/0] quit # 配置防火墙接口ethernet 2/0/0. [secpath] interface ethernet 2/0/0 [secpath-ethernet2/0/0] ip address 210.78.245.1255.255.255.0 [secpath-ethernet2/0/0] quit # 配置接口ethernet 0/0/0加入防火墙trust区域. [secpath] firewall zone trust [secpath-zone-trust] add interface ethernet0/0/0 [secpath-zone-trust] quit # 配置接口ethernet 1/0/0加入防火墙dmz域. [secpath] firewall zone dmz [secpath-zone-dmz] add interface ethernet 1/0/0 [secpath-zone-dmz]quit # 配置接口ethernet2/0/0加入防火墙untrust区域. [secpath] firewall zone untrust [secpath-zone-untrust] add interface ethernet 2/0/0 [secpath-zone-untrust] quit # 进入域间视图(例如进入trust和untrust的域间视图)准备配置平安战略(注:平安战略的配置后文各章讲述,本处不进行举例). [secpath] firewall interzone trustuntrust [secpath-interzone-trust-untrust]。

H3C SecPath F100系列防火墙配置教程

H3C SecPath F100系列防火墙配置教程

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下,若不指定级别,则设置的为切换到3 级的密码。

h3c防火墙的基本配置

h3c防火墙的基本配置

h3c防火墙的基本配置h3c防火墙的基本配置[F100-A]dis current-configuration#sysname F100-A#undo firewall packet-filter enablefirewall packet-filter default permit#undo insulate#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user egb--aqpassword cipher ]#R=WG;'I/ZGL^3L[[\\1-A!!service-type telnetlevel 3#aspf-policy 1detect httpdetect smtpdetect ftpdetect tcpdetect udp#acl number 2000rule 0 permit source 192.168.0.0 0.0.0.255 rule 1 deny#interface Virtual-T emplate1#interface Aux0async mode flow#interface Ethernet0/0ip address 192.168.0.1 255.255.255.0#interface Ethernet1/0ip address 211.99.231.130 255.255.255.224ip address 211.99.231.132 255.255.255.224 sub ip address 211.99.231.133 255.255.255.224 sub ip address 211.99.231.134 255.255.255.224 sub ip address 211.99.231.135 255.255.255.224 sub ip address 211.99.231.136 255.255.255.224 sub ip address 211.99.231.137 255.255.255.224 sub ip address 211.99.231.138 255.255.255.224 sub ip address 211.99.231.139 255.255.255.224 sub ip address 211.99.231.131 255.255.255.224 subnat outbound 2000nat server protocol tcp global 211.99.231.136 3000 inside 192.168.0.6 3000nat server protocol tcp global 211.99.231.136 6000 inside 192.168.0.6 6000nat server protocol tcp global 211.99.231.132 ftp inside 192.168.0.3 ftpnat server protocol tcp global 211.99.231.132 5631 inside 192.168.0.3 5631nat server protocol tcp global 211.99.231.132 43958 inside 192.168.0.3 43958nat server protocol tcp global 211.99.231.134 ftp inside 192.168.0.4 ftpnat server protocol tcp global 211.99.231.134 www inside 192.168.0.4 wwwnat server protocol tcp global 211.99.231.134 5631 inside 192.168.0.4 5631nat server protocol tcp global 211.99.231.134 43958 inside 192.168.0.4 43958nat server protocol tcp global 211.99.231.135 ftp inside 192.168.0.5 ftpnat server protocol tcp global 211.99.231.135 58169 inside 192.168.0.5 58169nat server protocol tcp global 211.99.231.135 www inside 192.168.0.5 wwwnat server protocol tcp global 211.99.231.135 43958 inside 192.168.0.5 43958nat server protocol tcp global 211.99.231.136 ftp inside 192.168.0.6 ftpnat server protocol tcp global 211.99.231.136 smtp inside192.168.0.6 smtpnat server protocol tcp global 211.99.231.136 www inside 192.168.0.6 wwwnat server protocol tcp global 211.99.231.136 81 inside 192.168.0.6 81nat server protocol tcp global 211.99.231.136 82 inside 192.168.0.6 82nat server protocol tcp global 211.99.231.136 83 inside 192.168.0.6 83nat server protocol tcp global 211.99.231.136 84 inside 192.168.0.6 84nat server protocol tcp global 211.99.231.136 pop3 inside 192.168.0.6 pop3nat server protocol tcp global 211.99.231.136 1433 inside 192.168.0.6 1433nat server protocol tcp global 211.99.231.136 5150 inside 192.168.0.6 5150nat server protocol tcp global 211.99.231.136 5631 inside 192.168.0.6 5631nat server protocol tcp global 211.99.231.136 58169 inside 192.168.0.6 58169nat server protocol tcp global 211.99.231.136 8080 inside 192.168.0.6 8080nat server protocol tcp global 211.99.231.136 43958 inside 192.168.0.6 43958nat server protocol tcp global 211.99.231.138 smtp inside 192.168.0.8 smtpnat server protocol tcp global 211.99.231.138 www inside 192.168.0.8 www192.168.0.8 pop3nat server protocol tcp global 211.99.231.138 5631 inside 192.168.0.8 5631nat server protocol tcp global 211.99.231.138 58169 inside 192.168.0.8 58169nat server protocol tcp global 211.99.231.137 ftp inside 192.168.0.9 ftpnat server protocol tcp global 211.99.231.137 www inside 192.168.0.9 wwwnat server protocol tcp global 211.99.231.132 www inside 192.168.0.3 wwwnat server protocol tcp global 211.99.231.137 81 inside 192.168.0.9 81nat server protocol tcp global 211.99.231.137 82 inside 192.168.0.9 82nat server protocol tcp global 211.99.231.137 83 inside 192.168.0.9 83nat server protocol tcp global 211.99.231.137 1433 inside 192.168.0.9 1433nat server protocol tcp global 211.99.231.137 5631 inside 192.168.0.9 5631nat server protocol tcp global 211.99.231.137 43958 inside 192.168.0.9 43958nat server protocol tcp global 211.99.231.137 58169 inside 192.168.0.9 58169nat server protocol tcp global 211.99.231.136 88 inside 192.168.0.6 88nat server protocol tcp global 211.99.231.137 84 inside 192.168.0.9 84192.168.0.9 85nat server protocol tcp global 211.99.231.137 86 inside 192.168.0.9 86nat server protocol tcp global 211.99.231.137 87 inside 192.168.0.9 87nat server protocol tcp global 211.99.231.137 88 inside 192.168.0.9 88nat server protocol tcp global 211.99.231.137 smtp inside 192.168.0.9 smtpnat server protocol tcp global 211.99.231.137 8080 inside 192.168.0.9 8080nat server protocol tcp global 211.99.231.137 5080 inside 192.168.0.9 5080nat server protocol tcp global 211.99.231.137 1935 inside 192.168.0.9 1935nat server protocol udp global 211.99.231.137 5555 inside 192.168.0.9 5555nat server protocol tcp global 211.99.231.132 58169 inside 192.168.0.3 58169nat server protocol tcp global 211.99.231.134 58169 inside 192.168.0.4 58169nat server protocol tcp global 211.99.231.135 5631 inside 192.168.0.5 5631nat server protocol tcp global 211.99.231.136 6100 inside 192.168.0.6 6100nat server protocol tcp global 211.99.231.139 www inside 192.168.0.12 wwwnat server protocol tcp global 211.99.231.139 58169 inside 192.168.0.12 58169192.168.0.12 58189nat server protocol tcp global 211.99.231.139 5631 inside 192.168.0.12 5631nat serverprotocol tcp global 211.99.231.137 89 inside 192.168.0.9 89 nat server protocol tcp global 211.99.231.134 58269 inside 192.168.0.4 58269nat server protocol udp global 211.99.231.134 58269 inside 192.168.0.4 58269nat server protocol tcp global 211.99.231.133 www inside 192.168.0.13 wwwnat server protocol tcp global 211.99.231.135 1935 inside 192.168.0.5 1935nat server protocol tcp global 211.99.231.135 5080 inside 192.168.0.5 5080nat server protocol tcp global 211.99.231.132 1755 inside 192.168.0.3 1755nat server protocol tcp global 211.99.231.137 1755 inside 192.168.0.9 1755nat server protocol tcp global 211.99.231.137 554 inside 192.168.0.9 554nat server protocol tcp global 211.99.231.135 5551 inside 192.168.0.5 5551nat server protocol tcp global 211.99.231.131 www inside 192.168.0.204 wwwnat server protocol tcp global 211.99.231.134 81 inside 192.168.0.4 81nat server protocol tcp global 211.99.231.136 1935 inside 192.168.0.6 1935192.168.0.10 wwwnat server protocol udp global 211.99.231.137 dns inside 192.168.0.9 dnsnat server protocol tcp global 211.99.231.135 58189 inside 192.168.0.5 58189nat server protocol tcp global 211.99.231.141 www inside 192.168.0.11 www#interface Ethernet1/1#interface Ethernet1/2#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/0set priority 85statistic enable ip inzonestatistic enable ip outzone#firewall zone untrustadd interface Ethernet1/0add interface Ethernet1/1add interface Ethernet1/2set priority 5statistic enable ip inzonestatistic enable ip outzone#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#undo info-center enable#FTP server enable#ip route-static 0.0.0.0 0.0.0.0 211.99.231.129 preference 1 #firewall defend ip-spoofingfirewall defend landfirewall defend smurffirewall defend fragglefirewall defend winnukefirewall defend icmp-redirectfirewall defend icmp-unreachablefirewall defend source-routefirewall defend route-recordfirewall defend tracertfirewall defend ping-of-deathfirewall defend tcp-flagfirewall defend ip-fragmentfirewall defend large-icmpfirewall defend teardropfirewall defend ip-sweepfirewall defend port-scanfirewall defend arp-spoofingfirewall defend arp-reverse-queryfirewall defend arp-floodfirewall defend frag-floodfirewall defend syn-flood enablefirewall defend udp-flood enablefirewall defend icmp-flood enablefirewall defend syn-flood zone trustfirewall defend udp-flood zone trustfirewall defend syn-flood zone untrustfirewall defend udp-flood zone untrust#user-interface con 0authentication-mode passwordset authentication password cipher XB-'KG=+=J^UJ;&DL'U46Q!!user-interface aux 0user-interface vty 0 4authentication-mode scheme。

H3C防火墙系列配置

H3C防火墙系列配置

ICMP测试1. 介绍HWPing ICMP测试和ping测试一样,是使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间。

2. ICMP测试配置步骤说明:要想成功创建并启动一个ICMP echo功能的测试操作。

必须执行以下步骤1,2,3,6,其它步骤为可选项。

# 使能HWPing客户端。

[H3C] hwping-agent enable# 步骤1:创建一个HWPing测试组。

在本例中指定的管理员名字为administrator,测试操作标签为icmp。

[H3C] hwping administrator icmp# 步骤2:配置测试的类型为ICMP。

[H3C-hwping-administrator-icmp] test-type icmp# 步骤3:配置目的IP地址为169.254.10.2。

[H3C-hwping-administrator-icmp] destination-ip 169.254.10.2# 步骤4:配置一次测试中进行探测的次数。

[H3C-hwping-administrator-icmp] count 10# 步骤5:配置超时时间。

[H3C-hwping-administrator-icmp] timeout 3# 步骤6:启动测试操作。

[H3C-hwping-administrator-icmp] test-enable# 步骤7:查看测试结果。

[H3C-hwping-administrator-icmp] display hwping results administrator icmp[H3C-hwping-administrator-icmp] display hwping history administrator icmpDHCP测试1. 介绍HWPing DHCP测试用来测试从DHCP服务器分配到IP地址所需的时间。

2. DHCP测试配置步骤说明:要想成功创建并启动一个DHCP类型的测试。

h3c防火墙配置教程

h3c防火墙配置教程

h3c防火墙配置教程H3C防火墙是一种常见的网络安全设备,用于保护企业网络免受恶意攻击和未经授权的访问。

通过配置H3C防火墙,可以实现对网络流量进行监控和管理,提高网络的安全性和稳定性。

下面将为您介绍H3C防火墙的配置教程。

首先,我们需要连接到H3C防火墙的管理界面。

可以通过网线将计算机连接到防火墙的管理口上。

然后,打开浏览器,输入防火墙的管理IP地址,登录到防火墙的管理界面。

登录成功后,我们可以开始配置防火墙的策略。

首先,配置入方向和出方向的安全策略。

点击“策略”选项卡,然后选择“安全策略”。

接下来,我们需要配置访问规则。

点击“访问规则”选项卡,然后选择“新增规则”。

在规则配置页面,我们可以设置源地址、目的地址、服务类型等规则条件。

除了访问规则,我们还可以配置NAT规则。

点击“NAT规则”选项卡,然后选择“新增规则”。

在规则配置页面,我们可以设置源地址、目的地址、服务类型等规则条件,并设置相应的转换规则。

配置完访问规则和NAT规则后,我们还可以进行其他配置,如VPN配置、远程管理配置等。

点击对应的选项卡,然后根据实际需求进行配置。

配置完成后,我们需要保存配置并生效。

点击界面上的“保存”按钮,然后点击“应用”按钮。

防火墙将会重新加载配置,并生效。

最后,我们需要进行测试,确保防火墙的配置可以实现预期的效果。

可以通过给防火墙配置规则的源地址发送网络流量进行测试,然后查看防火墙是否根据配置对流量进行了相应的处理。

总结起来,配置H3C防火墙需要连接到防火墙的管理界面,配置安全策略、访问规则、NAT规则等,保存配置并生效,最后进行测试。

通过这些步骤,可以配置H3C防火墙以提高网络的安全性和稳定性。

希望以上的H3C防火墙配置教程对您有所帮助。

如果还有其他问题,可以随时向我提问。

h3c 防火墙配置

h3c 防火墙配置

3. 配置步骤(1) 2630的配置#sysname Quidway#ike local-name client# //由于2630要与SecPath1与SecPath2都建立GRE连接,所以需要建立两个ike协商ike peer 1 //ike对等体的名字为1exchange-mode aggressivepre-shared-key 1 //配置身份验证字为1id-type name //使用name方式作为ike协商的ID类型remote-name 1 //指定对端的name,也就是SecPath1的nameremote-address 2.1.1.2 //指定对端的IP地址nat traversal#ike peer 2 //第二个ikeexchange-mode aggressivepre-shared-key 1id-type nameremote-name 2remote-address 3.1.1.2nat traversal#ipsec proposal 1 //配置一个安全提议,使用默认的安全提议参数#ipsec policy 1 1 isakmp //使用IKE创建第一个安全策略,第一个1是安全策略组的名字,第二个1是安全策略的序列号security acl 3000 //引用访问控制列表3000ike-peer 1 //引用ike对等体1,注意1是ike对等体的名字,而不是编号proposal 1 //引用安全提议1#ipsec policy 1 2 isakmp//使用IKE创建第二个安全策略,安全策略组的名字为1security acl 3001ike-peer 2proposal 1#controller T1 2/0#controller T1 2/1#interface Virtual-Template1 //l2tp配置使用虚拟模板用于配置动态创建的虚接口的参数ip address 172.31.4.1 255.255.255.0#interface Aux0async mode flowlink-protocol ppp#interface Dialer1 //创建一个共享式拨号接口1link-protocol ppp //拨号接口封装的链路层协议为PPPmtu 1450ip address ppp-negotiate //拨号接口的地址采用PPP协商方式得到dialer user test //配置呼叫对端的用户dialer bundle 1 //创建拨号接口池1ipsec policy 1#interface Ethernet0/0pppoe-client dial-bundle-number 1 //pppoe client配置在以太网接口上配置,也可以在virtual-ethernet上配置,此配置是配置pppoe会话,一个拨号接口对应创建一个pppoe会话#interface Tunnel0ip address 6.1.1.3 255.255.255.0source 192.168.0.4destination 192.168.0.1ospf cost 100#interface Tunnel1ip address 7.1.1.3 255.255.255.0source 192.168.0.4destination 192.168.0.2ospf cost 99#interface NULL0#interface LoopBack0 //这里配置loopback解决的目的是为了给tunnel接口配置源ip地址ip address 192.168.0.4 255.255.255.255#acl number 3000rule 0 permit ip source 192.168.0.4 0 destination 192.168.0.1 0acl number 3001rule 0 permit ip source 192.168.0.4 0 destination 192.168.0.2 0#ospf 1area 0.0.0.0network 6.1.1.0 0.0.0.255network 7.1.1.0 0.0.0.255network 172.31.4.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4#return(2)3640的配置#sysname Quidway#ike local-name client#ike peer 1exchange-mode aggressivepre-shared-key 1id-type nameremote-name 1remote-address 2.1.1.2nat traversal#ike peer 2exchange-mode aggressivepre-shared-key 1id-type nameremote-name 2remote-address 3.1.1.2nat traversal#ipsec proposal 1#ipsec policy 1 1 isakmpsecurity acl 3000ike-peer 1proposal 1#ipsec policy 1 2 isakmpsecurity acl 3001ike-peer 2proposal 1#interface Virtual-Template1ip address 172.31.3.1 255.255.255.0 #interface Aux0async mode flowlink-protocol ppp#interface Dialer1link-protocol pppppp pap local-user 1 password simple 1 mtu 1450ip address ppp-negotiatedialer user testdialer bundle 1ipsec policy 1#interface Ethernet2/0pppoe-client dial-bundle-number 1#interface Ethernet2/1#interface Ethernet3/0#interface Serial0/0link-protocol ppp#interface Serial0/1clock DTECLK1link-protocol ppp#interface GigabitEthernet1/0#interface Tunnel0ip address 4.1.1.3 255.255.255.0source 192.168.0.3destination 192.168.0.1ospf cost 100#interface Tunnel1ip address 5.1.1.3 255.255.255.0source 192.168.0.3destination 192.168.0.2ospf cost 99#interface Tunnel9#interface NULL0#interface LoopBack0ip address 192.168.0.3 255.255.255.255#acl number 3000rule 0 permit ip source 192.168.0.3 0 destination 192.168.0.1 0 acl number 3001rule 0 permit ip source 192.168.0.3 0 destination 192.168.0.2 0 #ospf 1area 0.0.0.0network 4.1.1.0 0.0.0.255network 5.1.1.0 0.0.0.255network 172.31.3.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4#return。

H3C SecPath F100系列防火墙配置教程

H3C SecPath F100系列防火墙配置教程

H3C SecPath F100系列防火墙配置教程初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下,若不指定级别,则设置的为切换到3 级的密码。

H3C SecPath F1000-S-AI_F1000-A-EI_F1000-E-SI防火墙 安装指导-6PW103-整本手册

H3C SecPath F1000-S-AI_F1000-A-EI_F1000-E-SI防火墙 安装指导-6PW103-整本手册

H3C SecPath F1000-S-AI/F1000-A-EI/F1000-E-SI防火墙安装指导杭州华三通信技术有限公司资料版本:6PW103-20120908Copyright © 2010-2012 杭州华三通信技术有限公司及其许可者版权所有,保留一切权利。

未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。

H3C 、、Aolynk、、H3Care、、TOP G、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、V n G、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标。

对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

由于产品版本升级或其他原因,本手册内容有可能变更。

H3C保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导,H3C尽全力在本手册中提供准确的信息,但是H3C并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

安全声明重要!在产品上电启动之前,请阅读本产品的安全与兼容性信息。

IMPORTANT! See Compliance and Safety information for the product before connecting to the supply.您可以通过以下步骤获取本产品的安全与兼容性信息:To obtain Compliance and Safety information, follow these steps:(1) 请访问网址:/Technical_Documents;Go to /Technical_Documents.(2) 选择产品类型以及产品型号;Choose the desired product category and model.(3) 您可以从安全与兼容性手册或安装手册中获取安全与兼容性信息。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

H3C SecPath F1000-S防火墙安装手册杭州华三通信技术有限公司资料版本:T1-08044S-20070419-C-1.03声明Copyright ©2006-2007 杭州华三通信技术有限公司及其许可者版权所有,保留一切权利。

未经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。

H3C、、Aolynk、、H3Care、、TOP G、、IRF、NetPilot、Neocean、NeoVTL、SecPro、SecPoint、SecEngine、SecPath、Comware、Secware、Storware、NQA、VVG、V2G、V n G、PSPT、XGbus、N-Bus、TiGem、InnoVision、HUASAN、华三均为杭州华三通信技术有限公司的商标。

对于本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

除非另有约定,本手册仅作为使用指导,本手册中的所有陈述、信息和建议不构成任何明示或暗示的担保。

如需要获取最新手册,请登录。

技术支持用户支持邮箱:customer_service@技术支持热线电话:800-810-0504(固话拨打)400-810-0504(手机、固话均可拨打)网址:前言相关手册手册名称用途《H3C SecPath系列安全产品操作手册》介绍H3C SecPath系列安全网关/防火墙的功能特性、工作原理和配置及操作指导。

《H3C SecPath系列安全产品命令手册》详细介绍H3C SecPath系列安全网关/防火墙所涉及的配置和操作命令。

包括命令名、完整命令行、参数、操作视图、使用指导和操作举例。

《H3C SecPath系列安全产品Web配置手册》指导用户通过Web方式对H3C SecPath系列防火墙进行配置操作。

本书简介本手册各章节内容如下:z第1章产品介绍。

介绍H3C SecPath F1000-S防火墙的特点及其应用。

提供H3C SecPath F1000-S防火墙的外观图及系统特性描述。

z第2章安装前的准备工作。

介绍H3C SecPath F1000-S防火墙对安装环境的要求,以及安装前和安装过程中需要注意的事项,安装所需工具也是本章介绍内容。

z第3章防火墙的安装。

介绍H3C SecPath F1000-S防火墙的机械安装方法、电源连接方法,配置口电缆、以太网电缆连接方法。

z第4章防火墙的启动与配置。

介绍H3C SecPath F1000-S防火墙的启动与配置基础知识,包括:防火墙的启动、上电、系统文件初始化等内容。

z第5章防火墙的软件维护。

介绍H3C SecPath F1000-S防火墙的软件维护,包括:软件升级、配置文件的加载等内容。

z第6章防火墙的硬件维护。

介绍H3C SecPath F1000-S防火墙的硬件维护,包括:更换DDR SDRAM等内容。

z第7章安装故障处理。

介绍H3C SecPath F1000-S防火墙安装启动过程中可能出现的问题及检查方法。

z第8章 MIM多功能接口模块。

介绍H3C SecPath F1000-S防火墙各功能模块的外观、面板及指示灯的含义,并介绍功能模块的安装及接口电缆的连接方法等。

本书约定1. 命令行格式约定格式意义粗体命令行关键字(命令中保持不变、必须照输的部分)采用加粗字体表示。

斜体命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。

[ ] 表示用“[ ]”括起来的部分在命令配置时是可选的。

{ x | y | ... }表示从两个或多个选项中选取一个。

[ x | y | ... ]表示从两个或多个选项中选取一个或者不选。

{ x | y | ... } *表示从两个或多个选项中选取多个,最少选取一个,最多选取所有选项。

[ x | y | ... ] *表示从两个或多个选项中选取多个或者不选。

&<1-n>表示符号&前面的参数可以重复输入1~n次。

# 由“#”号开始的行表示为注释行。

2. 图形界面格式约定格式意义< > 带尖括号“< >”表示按钮名,如“单击<确定>按钮”。

[ ] 带方括号“[ ]”表示窗口名、菜单名和数据表,如“弹出[新建用户]窗口”。

/ 多级菜单用“/”隔开。

如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项。

3. 各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方,这些标志的意义如下:小心、注意:提醒操作中应注意的事项,不当的操作可能会导致数据丢失或者设备损坏。

警告:该标志后的注释需给予格外关注,不当的操作可能会对人身造成伤害。

说明、提示、窍门、思考:对操作内容的描述进行必要的补充和说明。

环境保护本产品符合关于环境保护方面的设计要求,产品的存放、使用和弃置应遵照相关国家法律、法规要求进行。

目录第1章产品介绍.....................................................................................................................1-11.1 简介....................................................................................................................................1-11.2 硬件特性.............................................................................................................................1-21.2.1 外观.........................................................................................................................1-21.2.2 系统说明..................................................................................................................1-21.2.3 指示灯含义..............................................................................................................1-31.2.4 固定接口属性...........................................................................................................1-31.2.5 MIM多功能接口模块................................................................................................1-5第2章安装前的准备工作.......................................................................................................2-12.1 安装场所要求.....................................................................................................................2-12.1.1 温度/湿度要求..........................................................................................................2-12.1.2 洁净度要求..............................................................................................................2-12.1.3 防静电要求..............................................................................................................2-22.1.4 电磁环境要求...........................................................................................................2-22.1.5 防雷击要求..............................................................................................................2-32.1.6 检查安装台..............................................................................................................2-32.2 安全注意事项.....................................................................................................................2-32.3 检查防火墙及其附件..........................................................................................................2-42.4 安装工具、仪表和设备.......................................................................................................2-4第3章防火墙的安装..............................................................................................................3-13.1 安装流程.............................................................................................................................3-13.2 安装到指定位置..................................................................................................................3-23.2.1 安装到工作台上.......................................................................................................3-23.2.2 安装到机柜中...........................................................................................................3-23.3 安装通用接口模块..............................................................................................................3-33.4 连接保护地线.....................................................................................................................3-33.5 连接到配置终端..................................................................................................................3-43.6 连接到以太网口..................................................................................................................3-53.7 连接电源线.........................................................................................................................3-73.8 安装后的检查.....................................................................................................................3-9第4章防火墙的启动与配置....................................................................................................4-14.1 启动....................................................................................................................................4-14.1.1 搭建配置环境...........................................................................................................4-14.1.2 上电.........................................................................................................................4-44.1.3 启动过程..................................................................................................................4-44.2 配置基础.............................................................................................................................4-54.2.1 基本配置步骤...........................................................................................................4-54.2.2 命令行接口的特点....................................................................................................4-6第5章防火墙的软件维护.......................................................................................................5-15.1 简介....................................................................................................................................5-15.1.1 Boot菜单..................................................................................................................5-15.1.2 利用XModem协议完成应用程序和Boot ROM程序升级...........................................5-35.1.3 Boot ROM程序扩展段的备份及恢复........................................................................5-55.1.4 通过TFTP完成应用程序的升级................................................................................5-65.1.5 利用FTP完成程序/文件的上传下载..........................................................................5-85.1.6 修改Boot ROM口令...............................................................................................5-115.1.7 口令丢失的处理.....................................................................................................5-13第6章防火墙的硬件维护.......................................................................................................6-16.1 准备工具.............................................................................................................................6-16.2 打开防火墙机箱盖..............................................................................................................6-16.3 更换DDR SDRAM..............................................................................................................6-26.3.1 内存条在主板上的位置............................................................................................6-46.3.2 拆卸内存条..............................................................................................................6-46.3.3 安装内存条..............................................................................................................6-56.4 合上防火墙机箱盖..............................................................................................................6-56.5 MIM多功能接口模块的更换................................................................................................6-6第7章安装故障处理..............................................................................................................7-17.1 电源系统问题故障处理.......................................................................................................7-17.2 配置系统故障处理..............................................................................................................7-17.3 应用软件升级故障处理.......................................................................................................7-2第8章 MIM多功能接口模块....................................................................................................8-18.1 MIM多功能接口模块的种类................................................................................................8-18.2 MIM多功能接口模块的安装与拆卸.....................................................................................8-18.3 MIM接口模块的故障处理...................................................................................................8-38.4 1FE/2FE/4FE接口模块.......................................................................................................8-38.4.1 简介.........................................................................................................................8-38.4.2 接口模块外观...........................................................................................................8-48.4.3 接口属性..................................................................................................................8-58.4.4 面板及接口指示灯....................................................................................................8-58.4.5 接口连接电缆...........................................................................................................8-68.4.6 接口电缆的连接.......................................................................................................8-88.5 1GBE/2GBE模块................................................................................................................8-88.5.1 模块简介..................................................................................................................8-88.5.2 模块外观..................................................................................................................8-98.5.3 模块接口属性...........................................................................................................8-98.5.4 模块接口指示灯.....................................................................................................8-108.5.5 模块接口连接电缆..................................................................................................8-108.5.6 模块接口电缆的连接..............................................................................................8-11 8.6 1GEF/2GEF模块..............................................................................................................8-118.6.1 模块简介................................................................................................................8-118.6.2 模块外观................................................................................................................8-128.6.3 模块接口属性.........................................................................................................8-128.6.4 模块接口指示灯.....................................................................................................8-138.6.5 模块接口连接光纤..................................................................................................8-148.6.6 模块接口光缆的连接..............................................................................................8-14 8.7 SSL模块...........................................................................................................................8-158.7.1 模块简介................................................................................................................8-158.7.2 模块外观................................................................................................................8-158.7.3 模块属性................................................................................................................8-158.7.4 模块运行指示灯.....................................................................................................8-158.7.5 模块故障排除.........................................................................................................8-16插图目录图1-1 H3C SecPath F1000-S防火墙前面板示意图........................................................1-2图1-2 H3C SecPath F1000-S防火墙后面板示意图........................................................1-2图3-1 防火墙的安装流程................................................................................................3-1图3-2 H3C SecPath系列防火墙机柜安装示意图............................................................3-3图3-3 防火墙保护地接地端子.........................................................................................3-4图3-4 配置口电缆示意图................................................................................................3-5图3-5 以太网电缆示意图................................................................................................3-5图3-6 交流电源防火墙电源插座部分的外观....................................................................3-8图4-1 通过CONSOLE口进行本地配置示意图................................................................4-1图4-2 新建连接..............................................................................................................4-2图4-3 本地配置连接端口设置.........................................................................................4-2图4-4 串口参数设置.......................................................................................................4-3图4-5 终端类型设置.......................................................................................................4-3图5-1 [发送文件]对话框..................................................................................................5-4图5-2 正在发送文件界面................................................................................................5-4图5-3 搭建FTP本地上传/下载环境.................................................................................5-8图5-4 搭建FTP远程上传/下载环境.................................................................................5-9图6-1 打开机箱盖示意图................................................................................................6-2图6-2 内存条维护流程....................................................................................................6-3图6-3 内存条在主板上的位置示意图..............................................................................6-4图6-4 内存条拆装示意图................................................................................................6-5图6-5 合上机箱盖示意图................................................................................................6-6图8-1 MIM多功能接口模块安装示意图1........................................................................8-2图8-2 MIM多功能接口模块安装示意图2........................................................................8-2图8-3 1FE接口模块外观.................................................................................................8-4图8-4 2FE接口模块外观.................................................................................................8-4图8-5 4FE接口模块外观.................................................................................................8-5图8-6 1FE接口模块面板.................................................................................................8-5图8-7 2FE接口模块面板.................................................................................................8-6图8-8 4FE接口模块面板.................................................................................................8-6图8-9 以太网电缆...........................................................................................................8-6图8-10 5类双绞线示例图...............................................................................................8-7图8-11 1GBE模块外观...................................................................................................8-9图8-12 2GBE模块外观...................................................................................................8-9图8-13 1GBE模块面板.................................................................................................8-10图8-14 2GBE模块面板.................................................................................................8-10图8-15 以太网电缆.......................................................................................................8-10图8-16 5类双绞线示例图.............................................................................................8-11图8-17 1GEF模块外观.................................................................................................8-12图8-18 2GEF模块外观.................................................................................................8-12图8-19 1GEF模块面板.................................................................................................8-13图8-20 2GEF模块面板.................................................................................................8-13图8-21 SSL模块外观....................................................................................................8-15图8-22 SSL模块面板....................................................................................................8-16表格目录表1-1 H3C SecPath F1000-S防火墙的系统说明表........................................................1-2表1-2 防火墙前面板指示灯含义.....................................................................................1-3表1-3 配置口属性...........................................................................................................1-3表1-4 备份口属性...........................................................................................................1-4表1-5 千兆以太网电接口属性.........................................................................................1-4表1-6 千兆以太网光接口属性.........................................................................................1-5表2-1 机房温度/湿度要求...............................................................................................2-1表2-2 机房灰尘含量限值................................................................................................2-1表2-3 机房有害气体限值................................................................................................2-2表3-1 H3C SecPath F1000-S防火墙外形尺寸...............................................................3-2表6-1 防火墙内存配置说明表.........................................................................................6-4表8-1 1FE/2FE/4FE模块接口属性..................................................................................8-5表8-2 1FE/2FE/4FE接口模块指示灯含义.......................................................................8-6表8-3 标准(直通)网线连接关系表..............................................................................8-7表8-4 交叉网线连接关系表.............................................................................................8-7表8-5 1GBE模块接口属性..............................................................................................8-9表8-6 1GBE模块指示灯含义........................................................................................8-10表8-7 1GEF/2GEF模块接口属性..................................................................................8-12表8-8 1GEF模块指示灯含义........................................................................................8-14表8-9 SSL模块属性......................................................................................................8-15表8-10 SSL模块指示灯含义.........................................................................................8-16第1章产品介绍1.1 简介H3C SecPath F1000-S系列防火墙设备(以下简称防火墙)是面向企业用户开发的新一代专业防火墙设备,既可以作为中小型企业的出口防火墙设备,也可以作为大中型企业的内部防火墙设备。

相关文档
最新文档