H3CF100S配置
172.18.100.1
255.255.255.0
255.255.255.0
初始化配置
〈H3C〉system-view
开启防火墙功能
[H3C]firewall packet-filter enable
[H3C]firewall packet-filter default permit
分配端口区域
[H3C] firewall zone untrust
[H3C-zone-trust] add interface GigabitEthernet0/0
[H3C] firewall zone trust
[H3C-zone-trust] add interface GigabitEthernet0/1
工作模式
firewall mode transparent 透明传输
firewall mode route 路由模式
http 服务器
使能HTTP 服务器 undo ip http shutdown
关闭HTTP 服务器 ip http shutdown
添加WEB用户
[H3C] local-user admin
[H3C-luser-admin] password simple admin
[H3C-luser-admin] service-type telnet
[H3C-luser-admin] level 3
开启防范功能
firewall defend all 打开所有防范
切换为中文模式 language-mode chinese
设置防火墙的名称 sysname sysname
配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]
设置标准时间 clock datetime time date
设置所在的时区 clock timezone time-zone-name { add | minus } time
取消时区设置 undo clock timezone
配置切换用户级别的口令 super password [ level user-level ] { simple | cipher }
password
取消配置的口令 undo super password [ level user-level ]
缺缺省情况下,若不指定级别,则设置的为切换到3 级的密码。
切换用户级别 super [ level ]
直接重新启动防火墙 reboot
开启信息中心 info-center enable
关闭信息中心 undo info-center enable
ftp server enable
显示下次启动时加载的配置文件 display saved-configuration [ by-linenum ]
显示系统本次启动及下次启动使用
的配置文件 display startup
显示当前视图的配置 display this
显示防火墙的当前的运行配置
display current-configuration[ interface
interface-type [ interface-number ] | configuration
[ isp | zone | interzone | radius-template | system |
user-interface ] ] [ by-linenum ] [ | { begin | include |
exclude } string ]
保存当前配置 save [ file-name | safely ]
删除Flash 中保存的下次启动时加载的配置文件 reset saved-configuration
配置防火墙工作在透明模式 firewall mode transparent
H3C SecPath 系列安全产品 操作手册(安全) 第8 章 透明防火墙
8-6
操作 命令
配置防火墙工作在路由模式 firewall mode route
恢复防火墙的工作模式为缺省模式 undo firewall mode
缺省情况下,防火墙工作在路由模式(route)下。
启动ARP 表项自动学习功能 firewall arp-learning enable
禁止ARP 表项自动学习功能 undo firewall arp-learning enable
缺省情况下,当防火墙工作在透明模式下时,防火墙启动ARP 表项自动学习功能。
表8-9 配置VLAN ID 透传
操作 命令
使能接口的VLAN ID 透传功能 bridge vlanid-transparent-transmit enable
禁止接口的VLAN ID 透传功能 undo bridge vlanid-transparent-transmit enable
缺省情况下,禁止接口的VLAN ID 透传功能。
使能ARP Flood 攻击防范功能 firewall defend arp-flood [ max-rate
rate-number ]
关闭ARP Flood 攻击防范功能 undo firewall defend arp-flood [ max-rate ]
缺省为关闭ARP Flood 攻击防范功能。ARP 报文的最大连接速率范围为1~
1,000,000,缺省为100。
SecPath 系列安全产品支持以HTTP 方式登录到系统中,并通过Web 管理界面对系
统进行配置和管理。在使用Web 界面登录到系统前,必须先使能HTTP 服务器功能。
请在系统视图下进行下列配置。
H3C SecPath 系列安全产品 操作手册(基础配置) 第4 章 系统维护管理
4-17
表4-17 使能/关闭HTTP 服务器
操作 命令
使能HTTP 服务器 undo ip http shutdown
关闭HTTP 服务器 ip http shutdown
缺省情况下,系统使能HTTP 服务器。
仅当登录用户具有Telnet 的服务类型时(service-type telnet),才允许登录HTTP
服务器,且不同等级的用户在Web 界面中的可配置项也会不同。
配置HTTP 服务器的访问限制
可以配置HTTP 服务器,使仅具有特定IP 地址的用户才可以登录HTTP 服务器,对
设备进行配置和管理。
请在系统视图下进行下列配置。
表4-18 配置HTTP 服务器的访问限制
操作 命令
配置HTTP 服务器的访问限制 ip http acl acl-number
取消对HTTP 服务器的访问限制 undo ip http acl
缺省情况下,未配置HTTP 服务器的访问限制。
仅ACL 中允许的IP 地址才可以访问HTTP 服务器。
表3-10 显示系统状态信息
操作 命令
显示系统版本信息 display version
显示详细的软件版本信息 vrbd
显示系统时钟 display clock
显示终端用户 display users [ all ]
显示起始配置信息 display saved-configuration
显示当前配置信息 display current-configuration
显示调试开关状态 display debugging [ interface interface-type
interface-number ] [ module-name ]
显示当前视图的运行配置 display this
显示技术支持信息 display diagnostic-information
显示剪贴板的内容 display clipboard
H3C SecPath 系列安全产品 操作手册(基础配置) 第3 章 Comware 的基本配置
3-5
操作 命令
显示当前系统内存使用情况 display memory [ limit ]
显示CPU 占用率的统计信息 display cpu-usage [ configuration | number
[ offset ] [ verbose ] [ from-device ] ]
设置CPU 占用率统计的周期 cpu-usage cycle { 5sec | 1min | 5min | 72min }
以图形方式显示CPU 占用率统计历史
信息 display cpu-usage history [ task task-id ]
对插槽中的插卡进行拔出预处理 remove slot slot-id
取消拔出预处理操作 undo remove slot slot-id
显示设备和插卡的信息(任意视图) display device [ slot-id ]
配置防火墙网页登陆
1. 配置防火墙缺省允许报文通过。
<H3C> system-view
[H3C] firewall packet-filter default permit
2. 为防火墙的以太网接口(以GigabitEthernet0/0为例)配置IP地址,并将接口加入到安全区域。
[H3C] interface GigabitEthernet0/0
[H3C-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0
[H3C-GigabitEthernet0/0] quit
[H3C] firewall zone trust
[H3C-zone-trust] add interface GigabitEthernet0/0
3. 为PC配置IP地址。
假设PC的IP地址为192.168.0.2。
4. 使用Ping命令验证网络连接性。
<H3C> ping 192.168.0.2
Ping命令成功!后
5.添加登录用户
为使用户可以通过Web登录,并且有权限对防火墙进行管理,必须为用户添加登录帐户并且赋予其权限。例如:建立一个帐户名和密码都为admin,帐户类型为telnet,权限等级为3的管理员用户。
[H3C] local-user admin
[H3C-luser-admin] password simple admin
[H3C-luser-admin] service-type telnet
[H3C-luser-admin] level 3
在PC上启动浏 览器(建议使用IE5.0及以上版本),在地址栏中输入IP地址“192.168.0.1”后回车,即可进入防火墙Web登录页面,使用之前创建的 admin帐户登录防火墙,单击<Login>按钮即可登录。用户可以通过“Language”下拉框选择界面语言
内部主机通过域名区分并访问对应的内部服务器组网应用
1)配置easy ip(不用配地址池,直接通过接口地址做转换)
nat outbound acl-number
2)DNS MAP
nat dns-map domain-name global-addr
global-port [ tcp | udp ]
实例:
# 在Ethernet0/0/0 接口上配置FTP 及WWW内部服务器。
[H3C] interface ethernet0/0/0
[H3C-Ethernet0/0/0] ip address 1.1.1.1 255.0.0.0
[H3C-Ethernet0/0/0] nat outbound 2000
[H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 www inside 10.0.0.2
www
[H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.3
ftp
[H3C-Ethernet0/0/0] quit
# 配置访问控制列表,允许10.0.0.0/8 网段访问Internet。
[H3C] acl number 2000
[H3C-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255
[H3C-acl-basic-2000] rule 1 deny
# 配置ethernet1/0/0。
[H3C] interface ethernet1/0/0
[H3C-Ethernet1/0/0] ip address 10.0.0.1 255.0.0.0
此时外部主机可以通过域名
www.zc.com 和ftp.zc.com 访问其对应的内部服务器。
加上如下配置后,内部主机也可以通过域名
www.zc.com 和ftp.zc.com 访问其对应
的内部服务器。
# 配置域名与外部地址、端口号、协议类型之间的映射。
[H3C] nat dns-map
www.zc.com 1.1.1.1 80 tcp
[H3C] nat dns-map ftp.zc.com 1.1.1.1 21 tcp
本文转载自 http://freenet.blog.51cto.com/364697/143067
分享到:
相关推荐
华为的防火墙,H3C的VRP,里面包括手册2本,一个是WEB的,一个是命令行的,很全
华为 防火墙 配置 命令 手册。正版书籍不得转送. 防火墙配置指南.pdf 系列安全产品 操作手册(V1.06).pdf 系列安全产品 Web配置手册(V1.04).pdf 系列安全产品 命令手册..pdf ....
H3C 防火墙G 虚拟防火墙典型配置案例(V7) H3C 防火墙IPsec典型配置案例(V7) H3C 防火墙NAT444典型配置案例(V7) H3C 防火墙NAT典型配置案例(V7) H3C 防火墙堆叠冗余口应用典型配置案例(V7) H3C 防火墙基于ACL包过滤...
华为USG5500防火墙配置实验一.pdf
常用华为防火墙命令
H3C_SecPath系列防火墙典型配置案例集
华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf华为防火墙snmp配置.pdf
华为路由器和防火墙配置命令大全[参照].pdf
【强强对接】H3C篇 H3C SecPath M9006对接基础信息介绍 【强强对接】H3C篇 H3C网关以模板方式与NGFW建立IPSec隧道 【强强对接】H3C篇 NGFW与H3C网关在NAT穿越场景下建立IPSec隧道 【强强对接】H3C篇 NGFW与H3C...
华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2).docx华为USG防火墙运维命令大全 (2)....
计算机网络基础
华为路由器防火墙配置命令总结-------------------------------------
华为Secoway USG2000防火墙配置说明,1、 该型号防火墙默认配置端口IP地址为:192.168.0.1;首先将自己的电脑通过:网络和共享中心>更改适配器设置>本地连接>属性>Internet协议版本4,将电脑IP设置成192.168.0.* 。
工作和技术\华为路由器和防火墙配置命令总结
本文详细描述了华为防火墙路由模式下配置虚拟防火墙的用途和配置命令及命令的用途
ok华为H3C路由器命令大全.pdfok华为H3C路由器命令大全.pdfok华为H3C路由器命令大全.pdfok华为H3C路由器命令大全.pdfok华为H3C路由器命令大全.pdfok华为H3C路由器命令大全.pdfok华为H3C路由器命令大全.pdfok华为H3C...
华为路由器和防火墙配置命令大全.pdf