防火墙典型配置案例集

eth5为外网口指定IP为10.0.0.21 eth6为内网口指定IP为10.1.8.254其中外网网关为10.0.0.254，内网网关为
第一步：找根直通线连接VPN默认配置口eth0 192.168.1.254
配置网络管理-接口设置相应eth5 eth6
第二步：添加路由网络管理-路由-添加
添加所有的地址出口为外网出口eth5，从网关10.0.0.254 出去
第三步：资源管理-区域添加两个网口
第四步：
防火墙-访问控制-添加组
第五步：
防火墙-地址转换-添加
任意的10.1.8.0子网访问任意地址，都从eth5出去第六步：
网络管理-dhcp
看需求来添加是否需要自动获取IP
第七步：
系统管理-配置-开放服务
开放添加的两个端口的ping webui,外网开updata 内网开dhcp
到此，从eth6下面链接的电脑都可以自动分配IP（10.1.8.网段），且可以访问局域网内IP。

V5防火墙开局配置基本上网功能配置案例第一步：使用随设备配置的配置线缆，将线缆网线口连接在防火墙的CON口上，将另一端的COM 口连接在电脑上，然后通过XP系统自带的超级终端或secureCRT 软件来登陆设备的命令行配置界面。

1.1通过XP系统的电脑的超级终端登录设备命令行界面：在电脑开始菜单选择“程序”----“附件”-----“通讯”-----“超级终端”，打开超级终端后，按照如下步骤操作：图2-3 新建连接图2-4 连接端口设置图2-5 端口通信参数设置按照如上步骤操作完之后，点击确定，在命令行中敲入几下回车，当现实<H3C>显示的时候，表示已经成功进入到设备的命令行操作页面。

1.2 通过secureCRT 软件登陆设备的命令行您可以在网上自行下载该软件（建议您下载汉化破解版），然后按如下所示登陆设备命令行：按照如上配置，点击链接后，出现<H3C>模式说明成功进入命令行配置页面。

2.在通过如上两种方式进入到设备命令行之后，请您按照如下显示输入命令。

<H3C><H3C><H3C><H3C><H3C><H3C>system-viewSystem View: return to User View with Ctrl+Z.[H3C]interzone policy default by-priority[H3C]敲完如上命令后，您就可以通过网线，一端连接您电脑的网线插口，一端连接防火墙的GE0号口，将电脑的IP地址修改为192.168.0.10 掩码为255.255.255.0打开一个浏览器（建议使用IE浏览器）在地址栏输入192.168.0.1会显示如下页面：用户名和密码默认为：admin输入用户名密码和验证码后，点击登录即可登陆到设备的WEB管理页面。

第二步：登陆设备后，将1口设置为W AN口连接外网，2口设置为LAN口，连接内网，配置上网操作步骤如下：1.将接口添加到安全域：1.1将1号口加入untrust域1.2 将2号口加入trust 域：2.配置公网接口IP地址及指网关2.1固定IP地址上网方式（如果您是通过拨号上网，请跳过此部分，直接看2.2）2.1.1配置运营商分配的公网地址2.1.2 配置默认路由指向公网网关2.2拨号方式上网（如果您是固定IP地址方式上网，请跳过此章节）2.2.1配置拨号口信息2.2.2 配置默认路由指向拨号口3.配置内网口地址4.配置DNS 地址信息4.1.1开启设备DNS 代理和DNS 动态域名解析功能4.1.2 配置运营商DNS 地址（如果您是固定IP 地址方式上网，运营商会给您相应的DNS 地址，如果是拨号方式上网，那只需开启DNS 代理功能即可，动态域名解析功能可以不用开启，也不需要设置DNS 服务器IP 地址）4.1.3配置nat动态地址转换：配置acl 2001匹配内网的源ip地址网段，然后做nat动态地址转换，如果是静态公网ip，或者是动态获取的ip地址，请选择宽带连接的物理接口；如果是拨号上网，请选择dialer口，转换方式选择easy ip。

SecPath系列防火墙IPSec典型配置举例关键词：IKE、IPSec摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。

缩略语：缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一：基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二：与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPsec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标，并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPsec 的使用和管理。

天融信防火墙配置实例
eth5为外网口指定IP为10.0.0.21 eth6为内网口指定IP为10.1.8.254 其中外网网关为10.0.0.254，内网网关为
第一步：找根直通线连接VPN默认配置口eth0 192.168.1.254 配置网络管理-接口设置相应eth5 eth6
第二步：添加路由网络管理-路由-添加
添加所有的地址出口为外网出口eth5，从网关10.0.0.254 出去第三步：资源管理-区域添加两个网口
第四步：
防火墙-访问控制-添加组
第五步：
防火墙-地址转换-添加
任意的10.1.8.0子网访问任意地址，都从eth5出去第六步：
网络管理-dhcp
看需求来添加是否需要自动获取IP
第七步：
系统管理-配置-开放服务
开放添加的两个端口的ping webui,外网开updata 内网开dhcp
到此，从eth6下面链接的电脑都可以自动分配IP（10.1.8.网段），且可以访问局域网内IP。

本文为大家介绍一个H3C防火墙的配置实例，配置内容包括：配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等，组网拓扑及需求如下。

1、网络拓扑图2、配置要求1）防火墙的E0/2接口为TRUST区域，ip地址是：192.168.254.1/29；2）防火墙的E1/2接口为UNTRUST区域，ip地址是：202.111.0.1/27；3）内网服务器对外网做一对一的地址映射，192.168.254.2、192.168.254.3分别映射为202.111.0.2、202.111.0.3；4）内网服务器访问外网不做限制，外网访问内网只放通公网地址211.101.5.49访问192.168.254.2的1433端口和192.168.254.3的80端口。

3、防火墙的配置脚本如下<H3CF100A>dis cur#sysname H3CF100A#super password level 3 cipher 6aQ>Q57-$.I)0;4:\(I41!!!#firewall packet-filter enablefirewall packet-filter default permit#insulate##firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user net1980password cipher ######service-type telnetlevel 2#aspf-policy 1detect h323detect sqlnetdetect rtspdetect httpdetect smtpdetect ftpdetect tcpdetect udp##acl number 3001description out-insiderule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0 destination-port eq 1433 rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0 destination-port eq www rule 1000 deny ipacl number 3002description inside-to-outsiderule 1 permit ip source 192.168.254.2 0rule 2 permit ip source 192.168.254.3 0rule 1000 deny ip#interface Aux0async mode flow#interface Ethernet0/0shutdown#interface Ethernet0/1shutdown.#interface Ethernet0/2speed 100duplex fulldescription to serverfirewall packet-filter 3002 inboundfirewall aspf 1 outbound#interface Ethernet0/3shutdown#interface Ethernet1/0shutdown#interface Ethernet1/1shutdown#interface Ethernet1/2speed 100duplex fulldescription to internetfirewall packet-filter 3001 inboundfirewall aspf 1 outboundnat outbound static#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/2set priority 85#firewall zone untrustadd interface Ethernet1/2set priority 5#firewall zone DMZadd interface Ethernet0/3set priority 50#.firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#ip route-static 0.0.0.0 0.0.0.0 202.111.0.30 preference 60 #user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#return。

思科pix防火墙配置实例大全在配置PIX防火墙之前，先来介绍一下防火墙的物理特性。

防火墙通常具有至少3个接口，但许多早期的防火墙只具有2个接口；当使用具有3个接口的防火墙时，就至少产生了3个网络，描述如下：内部区域（内网）：内部区域通常就是指企业内部网络或者是企业内部网络的一部分。

它是互连网络的信任区域，即受到了防火墙的保护。

外部区域（外网）：外部区域通常指Internet或者非企业内部网络。

它是互连网络中不被信任的区域，当外部区域想要访问内部区域的主机和服务，通过防火墙，就可以实现有限制的访问。

停火区（DMZ）：停火区是一个隔离的网络，或几个网络。

位于停火区中的主机或服务器被称为堡垒主机。

一般在停火区内可以放置Web服务器，Mail服务器等。

停火区对于外部用户通常是可以访问的，这种方式让外部用户可以访问企业的公开信息，但却不允许他们访问企业内部网络。

注意：2个接口的防火墙是没有停火区的。

由于PIX535在企业级别不具有普遍性，因此下面主要说明PIX525在企业网络中的应用。

PIX防火墙提供4种管理访问模式：非特权模式。

PIX防火墙开机自检后，就是处于这种模式。

系统显示为pixfirewall>特权模式。

输入enable进入特权模式，可以改变当前配置。

显示为pixfirewall#配置模式。

输入configure terminal进入此模式，绝大部分的系统配置都在这里进行。

显示为pixfirewall(config)#监视模式。

PIX防火墙在开机或重启过程中，按住Escape键或发送一个"Break"字符，进入监视模式。

这里可以更新*作系统映象和口令恢复。

显示为monitor>配置PIX防火墙有6个基本命令：nameif，interface，ip address，nat，global，route.这些命令在配置PIX时是必须的。

以下是配置的基本步骤：1. 配置防火墙接口的名字，并指定安全级别（nameif）。

(一) 三网口纯路由模式1 需求描述上图是一个具有三个区段的小型网络。

Internet 区段的网络地址是202.100.100.0，掩码是255.255.255.0；DMZ 区段的网络地址是172.16.1.0，掩码是255.255.255.0；内部网络区段的网络地址是192.168.1.0，掩码是255.255.255.0。

fe1 的IP 地址是192.168.1.1，掩码是255.255.255.0；fe3 的IP 地址是172.16.1.1，掩码是255.255.255.0；fe4 的IP 地址是202.100.100.3，掩码是255.255.255.0。

内部网络区段主机的缺省网关指向fe1 的IP 地址192.168.1.1；DMZ 网络区段的主机的缺省网关指向fe3 的IP 地址172.16.1.1；防火墙的缺省网关指向路由器的地址202.100.100.1。

WWW 服务器的地址是172.16.1.10，端口是80；MAIL 服务器的地址是172.16.1.11，端口是25 和110；FTP 服务器的地址是172.16.1.12，端口是21。

安全策略的缺省策略是禁止。

允许内部网络区段访问DMZ 网络区段和Internet 区段的http,smtp，pop3，ftp 服务；允许Internet 区段访问DMZ 网络区段的服务器。

其他的访问都是禁止的。

2 配置步骤1. 网络配置>网络设备>：编辑物理设备fe1，将它的IP 地址配置为192.168.1.1，掩码是255.255.255.0。

注意：fe1 默认是用于管理的设备，如果改变了它的地址，就不能用原来的地址管理了。

而且默认的管理主机地址是10.1.5.200，如果没有事先添加其它的管理主机地址，将会导致防火墙再也不能被管理了（除非用串口登录上去添加新的管理主机地址）。

其它设备默认是不启用的，所以配地址时要同时选择启用设备。

综合案例案例1：路由模式下通过专线访问外网路由模式下通过专线访问外网，主要描述总公司接入网络卫士防火墙后的简单配置，总公司的网络卫士防火墙工作在路由模式下。

（提示：用LAN 或者WAN 表示方式。

一般来说，WAN 为外网接口，LAN 为内网接口。

）图 1 网络卫士防火墙的路由模式网络状况：●总公司的网络卫士防火墙工作在路由模式。

Eth1 属于外网区域，IP 为202.69.38.8；Eth2 属于SSN 区域，IP 为172.16.1.1；Eth0 属于内网区域，IP 为192.168.1.254。

●网络划分为三个区域：外网、内网和SSN。

管理员位于内网中。

内网中存在3个子网，分别为192.168.1.0/24，192.168.2.0/24，192.168.3.0/24。

●在SSN 中有三台服务器，一台是HTTP 服务器（IP 地址：172.16.1.2），一台是FTP 服务器（IP 地址：172.16.1.3），一台是邮件服务器（IP 地址：172.16.1.4）。

用户需求：●内网的机器可以任意访问外网，也可访问SSN 中的HTTP 服务器、邮件服务器和FTP 服务器；●外网和SSN 的机器不能访问内网；●允许外网主机访问SSN 的HTTP 服务器。

配置步骤：1) 为网络卫士防火墙的物理接口配置IP 地址。

进入NETWORK 组件topsec# network配置Eth0 接口IP work# interface eth0 ip add 192.168.1.254 mask255.255.255.0配置Eth1 接口IP work# interface eth1 ip add 202.69.38.8 mask255.255.255.0配置Eth2 接口IP work# interface eth2 ip add 172.16.1.1 mask255.255.255.02）内网中管理员通过浏览器登录网络卫士防火墙，为区域资源绑定属性，设置权限。