H3CSecPathF100系列防火墻配置教程_第1頁(yè)
H3CSecPathF100系列防火墻配置教程_第2頁(yè)
H3CSecPathF100系列防火墻配置教程_第3頁(yè)
H3CSecPathF100系列防火墻配置教程_第4頁(yè)
H3CSecPathF100系列防火墻配置教程_第5頁(yè)
已閱讀5頁(yè),還剩4頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

H3CSecPathF100系列防火墻配置教程初始化配置H3C〉system-view開(kāi)啟防火墻功能[H3C]firewallpacket-filterenable[H3C]firewallpacket-filterdefaultpermit分配端口區(qū)域[H3C]firewallzoneuntrust[H3C-zone-trust]addinterfaceGigabitEthernet0/0[H3C]firewallzonetrust[H3C-zone-trust]addinterfaceGigabitEthernet0/1工作模式firewallmodetransparent

透明傳輸firewallmoderoute

路由模式http 服務(wù)器使能HTTP服務(wù)器undoiphttpshutdown關(guān)閉HTTP服務(wù)器iphttpshutdown添加WEB用戶[H3C]local-useradmin[H3C-luser-admin]passwordsimpleadmin[H3C-luser-admin]service-typetelnet[H3C-luser-admin]level3開(kāi)啟防范功能firewalldefendall 打開(kāi)所有防范切換為中文模式 language-modechinese設(shè)置防火墻的名稱(chēng) sysnamesysname配置防火墻系統(tǒng) IP地址firewallsystem-ipsystem-ip-address[address-mask]設(shè)置標(biāo)準(zhǔn)時(shí)間 clockdatetimetimedate設(shè)置所在的時(shí)區(qū) clocktimezonetime-zone-name{add|minus}time取消時(shí)區(qū)設(shè)置 undoclocktimezone配置切換用戶級(jí)別的口令 superpassword[leveluser-level]{simple|cipher}password取消配置的口令 undosuperpassword[leveluser-level]缺缺省情況下,若不指定級(jí)別,則設(shè)置的為切換到

3級(jí)的密碼。切換用戶級(jí)別

super[level]直接重新啟動(dòng)防火墻

reboot開(kāi)啟信息中心

info-centerenable關(guān)閉信息中心 undoinfo-centerenableftpserverenable顯示下次啟動(dòng)時(shí)加載的配置文件 displaysaved-configuration[by-linenum]顯示系統(tǒng)本次啟動(dòng)及下次啟動(dòng)使用的配置文件 displaystartup顯示當(dāng)前視圖的配置 displaythis顯示防火墻的當(dāng)前的運(yùn)行配置displaycurrent-configuration[interfaceinterface-type[interface-number]|configuration[isp|zone|interzone|radius-template|system|user-interface]][by-linenum][|{begin|include|exclude}string]保存當(dāng)前配置save[file-name|safely]刪除

Flash

中保存的下次啟動(dòng)時(shí)加載的配置文件

resetsaved-configuration配置防火墻工作在透明模式

firewallmodetransparentH3CSecPath

系列安全產(chǎn)品

操作手冊(cè)(安全)

8

章透明防火墻操作命令配置防火墻工作在路由模式

firewallmoderoute恢復(fù)防火墻的工作模式為缺省模式

undofirewallmode缺省情況下,防火墻工作在路由模式(

route

)下。啟動(dòng)

ARP表項(xiàng)自動(dòng)學(xué)習(xí)功能

firewallarp-learningenable禁止ARP表項(xiàng)自動(dòng)學(xué)習(xí)功能 undofirewallarp-learningenable缺省情況下,當(dāng)防火墻工作在透明模式下時(shí),防火墻啟動(dòng) ARP表項(xiàng)自動(dòng)學(xué)習(xí)功能。配置VLANID透?jìng)鞑僮髅钍鼓芙涌诘?VLANID透?jìng)鞴δ躡ridgevlanid-transparent-transmitenable禁止接口的 VLANID透?jìng)鞴δ躸ndobridgevlanid-transparent-transmitenable缺省情況下,禁止接口的 VLANID透?jìng)鞴δ?。使能ARPFlood攻擊防范功能firewalldefendarp-flood[max-raterate-number]關(guān)閉ARPFlood攻擊防范功能undofirewalldefendarp-flood[max-rate]缺省為關(guān)閉ARPFlood攻擊防范功能。ARP報(bào)文的最大連接速率范圍為1~1,000,000,缺省為100。SecPath系列安全產(chǎn)品支持以 HTTP方式登錄到系統(tǒng)中,并通過(guò) Web管理界面對(duì)系統(tǒng)進(jìn)行配置和管理。在使用 Web界面登錄到系統(tǒng)前,必須先使能 HTTP服務(wù)器功能。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。H3CSecPath系列安全產(chǎn)品 操作手冊(cè)(基礎(chǔ)配置) 第4章系統(tǒng)維護(hù)管理開(kāi)啟/關(guān)閉

HTTP服務(wù)器開(kāi)啟HTTP服務(wù)器undoiphttpshutdown關(guān)閉HTTP服務(wù)器iphttpshutdown缺省情況下,系統(tǒng)開(kāi)啟 HTTP服務(wù)器。僅當(dāng)?shù)卿浻脩艟哂?Telnet 的服務(wù)類(lèi)型時(shí)( service-typetelnet服務(wù)器,且不同等級(jí)的用戶在 Web界面中的可配置項(xiàng)也會(huì)不同。配置HTTP服務(wù)器的訪問(wèn)限制可以配置 HTTP服務(wù)器,使僅具有特定 IP地址的用戶才可以登錄設(shè)備進(jìn)行配置和管理。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。

),才允許登錄 HTTPHTTP服務(wù)器,對(duì)表4-18配置HTTP服務(wù)器的訪問(wèn)限制操作命令配置HTTP服務(wù)器的訪問(wèn)限制 iphttpaclacl-number取消對(duì)HTTP服務(wù)器的訪問(wèn)限制 undoiphttpacl缺省情況下,未配置 HTTP服務(wù)器的訪問(wèn)限制。僅ACL中允許的 IP地址才可以訪問(wèn) HTTP服務(wù)器。表3-10 顯示系統(tǒng)狀態(tài)信息操作 命令顯示系統(tǒng)版本信息 displayversion顯示詳細(xì)的軟件版本信息 vrbd顯示系統(tǒng)時(shí)鐘 displayclock顯示終端用戶 displayusers[all]顯示起始配置信息 displaysaved-configuration顯示當(dāng)前配置信息 displaycurrent-configuration顯示調(diào)試開(kāi)關(guān)狀態(tài)displaydebugging[interfaceinterface-typeinterface-number][module-name]顯示當(dāng)前視圖的運(yùn)行配置

displaythis顯示技術(shù)支持信息

displaydiagnostic-information顯示剪貼板的內(nèi)容

displayclipboardH3CSecPath

系列安全產(chǎn)品

操作手冊(cè)(基礎(chǔ)配置)

3

Comware

的基本配置操作 命令顯示當(dāng)前系統(tǒng)內(nèi)存使用情況

displaymemory[limit]顯示

CPU占用率的統(tǒng)計(jì)信息

displaycpu-usage[configuration|number[offset][verbose][from-device]]設(shè)置

CPU占用率統(tǒng)計(jì)的周期

cpu-usagecycle{5sec|1min|5min|72min}以圖形方式顯示 CPU占用率統(tǒng)計(jì)歷史信息displaycpu-usagehistory[tasktask-id]對(duì)插槽中的插卡進(jìn)行拔出預(yù)處理

removeslotslot-id取消拔出預(yù)處理操作

undoremoveslotslot-id顯示設(shè)備和插卡的信息(任意視圖)

displaydevice[slot-id]配置防火墻網(wǎng)頁(yè)登陸配置防火墻缺省允許報(bào)文通過(guò)。<H3C>system-view[H3C]firewallpacket-filterdefaultpermit2. 為防火墻的以太網(wǎng)接口(以 GigabitEthernet0/0 為例)配置 IP地址,并將接口加入到安全區(qū)域。[H3C]interfaceGigabitEthernet0/0[H3C-GigabitEthernet0/0]quit[H3C]firewallzonetrust[H3C-zone-trust]addinterfaceGigabitEthernet0/0為PC配置IP地址。假設(shè)PC的IP地址為 。使用Ping命令驗(yàn)證網(wǎng)絡(luò)連接性。Ping命令成功!添加登錄用戶為使用戶可以通過(guò)Web登錄,并且有權(quán)限對(duì)防火墻進(jìn)行管理,必須為用戶添加登錄帳戶并且賦予其權(quán)限。例如:建立一個(gè)帳戶名和密碼都為admin,帳戶類(lèi)型為telnet,權(quán)限等級(jí)為

3的管理員用戶。[H3C]local-useradmin[H3C-luser-admin]passwordsimpleadmin[H3C-luser-admin]service-typetelnet[H3C-luser-admin]level3在PC上啟動(dòng)瀏覽器(建議使用

IE5.0

及以上版本),在地址欄中輸入

IP

地址“防火墻,單擊

”后回車(chē),即可進(jìn)入防火墻Web登錄頁(yè)面,使用之前創(chuàng)建的admin<Login>按鈕即可登錄。用戶可以通過(guò)“Language”下拉框選擇界面語(yǔ)言

帳戶登錄內(nèi)部主機(jī)通過(guò)域名區(qū)分并訪問(wèn)對(duì)應(yīng)的內(nèi)部服務(wù)器組網(wǎng)應(yīng)用配置easyip(不用配地址池,直接通過(guò)接口地址做轉(zhuǎn)換)natoutboundacl-number2)DNSMAPnatdns-mapdomain-nameglobal-addrglobal-port[tcp|udp]實(shí)例:#在Ethernet0/0/0 接口上配置 FTP及WWW內(nèi)部服務(wù)器。[H3C]interfaceethernet0/0/0[H3C-Ethernet0/0/0]natoutbound2000wwwftp[H3C-Ethernet0/0/0]quit#配置訪問(wèn)控制列表,允許 網(wǎng)段訪問(wèn) Internet 。[H3C]aclnumber2000[H3C-acl-basic-2000]rule1deny#配置ethernet1/0/0 。[H3C]interfaceethernet1/0/0加上如下配置后,內(nèi)部主機(jī)也可以通過(guò)域名 和 訪問(wèn)其對(duì)應(yīng)的內(nèi)部服務(wù)器。配置域名與外部地址、端口號(hào)、協(xié)議類(lèi)型之間的映射。此時(shí)外部主機(jī)可以通過(guò)域名 和 訪問(wèn)其對(duì)應(yīng)的內(nèi)部服務(wù)器H3CSecPath“F”系列防火墻基本配置SECPATH“F”系列基本出外網(wǎng)典型配置:內(nèi)網(wǎng)------------(e0/0)-Secpath100F-(e1/0)------------internetsysSystemView:returntoUserViewwithCtrl+Z.[Quidway]inte0/0[Quidway-Ethernet0/0]inte1/0[Quidway]firezoneuntrust[Quidway-zone-untrust]addinte1/0[Quidway-zone-untrust]firezonetrust[Quidway-zone-trust]addinte0/0[Quidway-zone-trust]quit[Quidway]aclnum2000[Quidway-acl-basic-2000]ruledeny[Quidway]inte1/0[Quidway-Ethernet1/0]natoutbound2000內(nèi)網(wǎng)------------(g0/0)-Secpath1000F-(g0/1)------------internetsysSystemView:returntoUserViewwithCtrl+Z.[Quidway]intg0/0[Quidway-GigabitEthernet0/0]intg0/1[Quidway]firezoneuntrust[Quidway-zone-untrust]addintg0/1[Quidway-zone-untrust]firezonetrust[Quidway-zone-trust]addintg0/0[Quidway-zone-trust]quit[Quidway]aclnum2000[Quidway-acl-basic-2000]ruledeny[Quidway]intg0/1[Quidway-GigabitEthernet0/1]natoutbound2000內(nèi)網(wǎng)------------(e0/0)-Secpath100F-(e0/1)-----ADSLMODEM-------internetsysS

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論