H3C防火墙配置实例

华三防火墙H3CF100基本配置说明资料华三防火墙H3C F100配置说明一、开通网口用超级终端开通GE0/0网口先输入〈H3C〉system-view 初始化配置再输入[H3C] interzone policy default by-priority 开通GE0/0网口二、连接将服务器的IP设成192.168.0.2 子网掩码255.255.255.0与华为防火墙的GE0/0相连（默认iP是192.168.0.1）三、配置1.打开浏览器，输入192.168.0.12.输入用户名（admin ）、密码（admin ）以及验证码（注意大小写）后进入配置界面。

3.先把端口加入相应的域。

外网口就加入Untrust 域，内网口就加入Trust口。

设备管理—安全域，编辑Trust和Untrust区域。

选择0/1为Trust区域，选择0/2为Untrust区域。

4.为相应的接口配置上相应的IP地址。

设备管理—接口管理，编辑0/1,三层模式，静态路由，IP地址192.168.1.1 掩码：255.255.255.0255.255.255.05.网络管理—DHCP-DHCP服务器，选择启动，动态。

新建，如下图填入IP,掩码，网关和DNS.6.防火墙—ACL新建ACL,在ID中填入2000确定后点击详细信息，新建对2000进行配置，pernit和无限制。

7.防火墙—NAT—动态地址转化新建，选择0/2口，2000，easy IP。

8.网络管理—路由管理—静态路由新建目标IP：0.0.0.0 掩码：0.0.0.0 下一跳：10.178.177.129出接口：0/29.设备管理—配置管理。

备份。

0/2。

0/0为配置口。

h3c路由器防火墙怎么样设置h3c路由器防火墙设置一：打开ie浏览器，在ie地址栏中输入192.168.0.1(不同品牌路由器可能登录的网关地址会有不同比如有的是192.168.1.1的网关，路由器底面的贴条上一般都注明，包括用户名和密码)。

，然后回车，出来一个用户名密码的登录小页面，初始用户名和密码默认都是admin，输入之后，点”确定“进入路由器设置界面。

在路由器设置界面左面菜单栏里有一项“快速设置”选项，点击该项，然后出来一个页面让选择上网方式(若联通或者电信，给的是账号密码就选择pppoe方式，若给的是一组ip地址，选择静态ip方式，静态ip方式下，填写上网宽带信息的时候，记得填上当地的dns)。

然后点击下一步，填写无线网账号和密码，点击保存，在路由器菜单栏最下面“系统工具”中有“重启路由器”选项，点击重启后就可以上网了。

h3c路由器防火墙设置二：内部电脑，是通过防火墙的端口进行nat转换上网的。

端口是可以全堵上，但是，你会发现好多东西用不了了。

上网行为我知道的有百络网警，但是用硬件比较好。

管理也方便。

如果人数多。

最好是架设一台专门的服务器，用域控来管理，再装上isa 的代理防火墙。

控制效果好。

硬件上网行为管理有多。

h3c路由器防火墙设置三：初始化配置〈h3c〉system-view开启防火墙功能，并默认允许所有数据包通过[h3c]firewall packet-filter enable[h3c]firewall packet-filter default permit分配端口区域(untrust外网，trust内网;端口号请参照实际情况)[h3c] firewall zone untrust[h3c-zone-untrust] add interface ethernet0/0[h3c] firewall zone trust[h3c-zone-trust] add interface ethernet0/1工作模式，默认为路由模式[h3c] firewall mode route开启所有防范功能[h3c] firewall defend all配置内网lan口ip(内网ip地址请参考实际情况)[h3c] interface ethernet0/1[h3c-interface] ip address 192.168.1.1 255.255.255.0 配置外网ip(也就是电信给你们的ip和子网掩码)[h3c] interface ethernet0/0[h3c-interface] ip address x.x.x.x x.x.x.x.x配置nat地址池(填写电信给你们的ip地址，填写两次)[h3c]nat address-group 1 x.x.x.x x.x.x.x.x配置默认路由(出外网的路由,字母代表的是电信分配你们的外网网关地址，不知道就问电信)[h3c]ip route-static 0.0.0.0 0.0.0.0 y.y.y.y preference 60配置访问控制列表(上网必须配置)[h3c]acl number 2001[h3c-acl]rule 1 permit source 192.168.1.0 0.0.0.255 应用访问控制列表到端口，并开启nat上网功能[h3c]interface ethernet1/0[h3c-interface]nat outbound 2001 address-group 1配置dhcp[h3c] dhcp enable[h3c-dhcp] dhcp server ip-pool 0[h3c-dhcp] network 192.1681.0 mask 255.255.255.0[h3c-dhcp] gateway-list 192.168.1.1[h3c-dhcp] dns-list x.x.x.x(配置你们这里的dns服务器地址)其它配置：允许网页配置[h3c] undo ip http shutdown添加web用户[h3c] local-user admin[h3c-luser-admin] password simple admin[h3c-luser-admin] service-type telnet[h3c-luser-admin] level 3配置telnet远程登录[h3c-vty] user-interface vty 0 4[h3c-vty] authentication-mode schem/password[h3c-vty] user privilage 3完成某项配置之后要回到[h3c] 提示符下面请按q再回车看了“h3c路由器防火墙怎么样设置”文章的。

SecPath系列防火墙IPSec典型配置举例关键词：IKE、IPSec摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。

缩略语：缩略语英文全名中文解释IKE Internet Key Exchange 因特网密钥交换Security IP网络安全协议IPsec IP目录1 特性简介 (3)1.1 IPSec基本概念 (3)1.1.1 SA (3)1.1.2 封装模式 (3)2 应用场合 (4)3 配置指南 (4)3.1 配置概述 (4)3.2 配置ACL (6)3.3 配置IKE (6)3.3.1 配置IKE全局参数 (6)3.3.2 配置IKE安全提议 (7)3.3.3 配置IKE对等体 (8)3.4 IPSec安全提议 (10)3.5 配置安全策略模板 (12)3.6 配置安全策略 (14)3.7 应用安全策略组 (16)4 配置举例一：基本应用 (17)4.1 组网需求 (17)4.2 使用版本 (18)4.3 配置步骤 (18)4.4 配置结果验证 (27)4.4.1 查看IPSec安全联盟 (27)4.4.2 查看报文统计 (27)5 配置举例二：与NAT结合 (27)5.1 组网需求 (27)5.2 配置说明 (28)5.3 配置步骤 (28)5.4 配置验证结果 (34)5.4.1 查看IPSec安全联盟 (34)5.4.2 查看报文统计 (35)6 注意事项 (35)7 相关资料 (35)7.1 相关协议和标准 (35)7.2 其它相关资料 (36)1 特性简介IPsec（IP Security）协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。

特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPsec通过AH（Authentication Header，认证头）和ESP（Encapsulating Security Payload，封装安全载荷）这两个安全协议来实现上述目标，并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为IPsec提供自动协商交换密钥、建立和维护安全联盟的服务，以简化IPsec 的使用和管理。

SecBlade防火墙插卡配置管理典型配置举例关键词：配置管理，备份摘要：配置管理模块主要用于对SecBlade防火墙插卡进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在web页面方便地对设备的配置进行维护和管理。

缩略语：缩略语英文全名中文解释- - -目录1 特性简介 (3)2 应用场合 (3)3 注意事项 (3)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (3)4.3 使用版本 (4)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置管理 (4)4.5 验证结果 (6)4.5.1 配置保存 (6)4.5.2 配置备份 (7)4.5.3 配置恢复 (7)4.5.4 恢复出厂配置 (7)4.5.5 软件升级 (7)4.5.6 设备重启 (7)1 特性简介配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。

配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。

在此页面可以对当前的配置信息进行配置备份和备份恢复。

软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。

2 应用场合用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。

也可以将配置信息备份下来，用于日后的配置恢复。

如果想清空配置信息时，可以恢复出厂配置。

3 注意事项(1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。

(2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。

4 配置举例4.1 组网需求本配置举例中，设备使用的是Secblade II防火墙插卡。

本典型配置举例同样适合Secblade LB插卡。

图1配置管理组网图4.2 配置思路GE0/1所在的局域网（内网）接口配置地址为192.168.252.98/22，加入ManageMent域，使GE0/1成为管理口。

防火墙作为出口网关，联通光纤、电信光纤、电信ADSL出口，防火墙接H3C二层交换机，H3C二层交换机接内网服务器和下面的二层交换机（内网用户都接这里）。

由于客户是静态设置地址，所以这里是没有DHCP配置的。

一、上网设置：#域配置zone name Management id 0priority 100zone name Local id 1priority 100zone name Trust id 2priority 85zone name DMZ id 3priority 50zone name Untrust id 4priority 5import interface Dialer1#内网网关ip address 192.168.100.254 255.255.0.0port link-mode routenat outbound 3090#电信出口port link-mode routeip address 219.137.182.2xx 255.255.255.248nat outbound 2000 address-group 1#联通出口port link-mode routeip address 218.107.10.xx 255.255.255.248nat outbound 2000 address-group 2#PPPOE电信ADSLport link-mode routepppoe-client dial-bundle-number 1#设定拨号访问组的拨号控制列表dialer-rule 1 ip permit#PPPOE配置interface Dialer1nat outbound 2000link-protocol pppppp chap userppp chap password cipher$c$3$cft8cT2sYcO4XYUDKRgfw0R0HOSTSDh69HbN KCf9IdG。

网络环境:固定IP,光钎接入。

硬件环境：ＩｂmX365０M3一台(OA)，双网卡,一台Ｈ３C F１00-A 防火墙一台。

客户需求:规定内部网络通过防火墙访问外网,外网客户端通过防火墙可以访问内部OＡ服务器。

实行环节:服务器做好系统并把数据库调试好。

防火墙旳调试，通过串口线连接本子PC和防火墙,用超级终端。

可用２种调试措施。

Ｗｅｂ界面旳调试和命令行旳调试。

先是第一种措施。

具体操作如下：1》由于机器默认是没有ip和顾客名和密码旳,因此就需要超级终端通过命令行来给机器配备，操作如下:由于机器自身带一条ｃonsole 口旳串口线,把另一端连接到带串口旳笔记本上,由于有旳本子没有9针旳串口,因此最佳买一条九针转U口旳，连到笔记本旳Ｕ口上面,接下来就是打串口旳驱动了，在网上下个万能旳串口驱动也是能用旳（附件里有自己用旳一种驱动），连接好后来，把防火墙通上电。

２》在本子上点击开始－程序-附件-通讯-超级终端,打开后是新建连接，在名称里输入coｍm1，选第一种图标，点击拟定,在连接时使用旳下拉菜单中选直接连接到串口1，点击拟定,然后在串口旳属性对话框中设立波特率为96０0,数据位为８,奇偶校验为无，停止位为１,流量控制为无,按[拟定］按钮，返回超级终端窗口。

接下来配备超级终端属性在超级终端中选择［属性/设立]一项,进入图4－5所示旳属性设立窗口。

选择终端仿真类型为ＶT100或自动检测,按［拟定]按钮,返回超级终端窗口。

连通后在超级终端里会显示防火墙旳信息。

机子会提示你Cｔrl+B你不用管,这是进ROOT菜单旳。

接下来就要为防火墙配备管理IP,顾客名和密码了配备有2种模式，一般状况下用路由模式，先配备IP为使防火墙可以与其他网络设备互通，必须先将相应接口加入到某一安全区域中,且将缺省旳过滤行为设立为容许,并为接口(以GigａbitEthｅｒneｔ0/0为例)这是lan0旳接口,配备IＰ地址。

[H３Ｃ］firewall zone trust [H３C－ｚｏne－trust] ａdｄinｔerface GigaｂiｔＥthｅrnｅt0/0［H3C-zoｎe-trust] quｉt[H3C] ｆirewａｌl ｐaｃkｅt-ｆilｔer defａulｔpermｉt[H３C] intｅrfacｅGigａｂｉtEtherｎｅt0/０［H3Ｃ-GiｇaｂitＥtｈｅｒnet０／0] ip aｄｄrｅｓs 1９2．168.0．１25５.25５.２55.0Ｌaｎ0口配备旳ip是192.１68.0．1接下来就为本机ＰC配备ip,由于接旳是LAN0口，因此把ｉｐ配备成,1９2.１６８.0.２.配备好后在本子上运营CMＤ，PＩNG １９2.１68.0.2PING通后,接下来就是为防火墙配备顾客名和密码例如：建立一种顾客名和密码都为aｄmin，帐户类型为telｎｅｔ，权限等级为3旳管理员顾客,运营下面旳命令：[H3C］lｏcaｌ－ｕｓer aｄmiｎ［H3C-ｌｕser－ａｄｍin] passworｄsimｐle admin[H３C－luser-admin］sｅrｖice-ｔｙpe ｔeｌｎｅt［Ｈ3C-ｌuser-admiｎ] levｅl 3配备好后从调试本子旳IE中，敲入192．1６8.0.1，回车就进入WEB界面,敲入ａｄmin后就进入WEB旳配备管理界面。

H3C包过滤防火墙典型配置举例1.组网需求以下通过一个公司配置防火墙的实例来说明防火墙的配置。

该公司通过一台SecPath防火墙的接口Ethernet1/0/0访问Internet，防火墙与内部网通过以太网接口Ethernet0/0/0连接。

公司内部对外提供WWW、FTP和Telnet服务，公司内部子网为129.38.1.0，其中，内部FTP服务器地址为129.38.1.1，内部Telnet服务器地址为129.38.1.2，内部WWW服务器地址为129.38.1.3，公司对外地址为202.38.160.1。

在防火墙上配置了地址转换，这样内部PC机可以访问Internet，外部PC可以访问内部服务器。

通过配置防火墙，希望实现以下要求：l 外部网络只有特定用户可以访问内部服务器。

l 内部网络只有特定主机可以访问外部网络。

假定外部特定用户的IP地址为202.39.2.3。

2.组网图图5-3 包过滤防火墙配置案例组网图3.配置步骤# 使能包过滤防火墙。

[H3C] firewall packet-filter enable# 设置防火墙缺省过滤方式为允许包通过。

[H3C] firewall packet-filter default permit# 创建访问控制列表3001。

[H3C] acl number 3001# 配置规则允许特定主机访问外部网，允许内部服务器访问外部网。

[H3C-acl-adv-3001] rule permit ip source 129.38.1.4 0[H3C-acl-adv-3001] rule permit ip source 129.38.1.1 0[H3C-acl-adv-3001] rule permit ip source 129.38.1.2 0[H3C-acl-adv-3001] rule permit ip source 129.38.1.3 0[H3C-acl-adv-3001] rule deny ip# 创建访问控制列表3002。

H3C 防火墙简单配置一、防火墙安全域分类1、缺省安全域：不需要通过命令zone name 配置就已经存在的安全域，名称为：Local（100）、Trust（85）、DMZ（50）、Untrust（5）和Management（100）。

2、非缺省安全域：通过命令zone name 创建的安全域。

二、安全域访问策略状态1、优先级访问策略状态，安全域之间的访问规则如下：1）在系统视图下，执行interzone policy default by-priority 命令，系统会工作在优先级访问策略状态。

2）同一安全域之间，默认访问策略为permit。

3）高优先级安全域到低优先级安全域之间，默认访问策略为permit。

4）安全域到Local 域之间，默认访问策略为permit。

5）Local 域到安全域之间，默认访问策略为permit。

6）低优先级安全域到高优先级安全域，默认访问策略为deny，如果要实现互通访问，需要配置域间策略。

2、无优先级访问策略状态，安全域之间访问规则如下：1）在系统视图下，执行undo interzone policy default by-priority 命令，系统会工作在无优先级访问策略状态。

（防火墙默认关闭优先级访问策略）2）无论是缺省安全域，还是非缺省安全域，都没有优先级的概念。

2、基本域间策略配置组网图3、配置步骤1）通过Console 口登录设备，开启优先级访问策略<Firewall> system-view[Firewall] interzone policy default by-priority2）通过Web方式配置防火墙用电脑接入防火墙的GigabitEthernet0/0接口，配置同一网段地址，即可通过Web登录192.168.0.1配置防火墙。

a、配置接口IP地址在左侧导航栏中选择“设备管理> 接口管理”配置接口GigabitEthernet0/1 的地址，进入如下界面。