CSecPatF系列防火墙配置教程

1、H3CSecPathF100系列防火墙配置教程 初始化配置 H3。system-view 开启防火墙功能 H3Cfirewallpacket-filterenable H3Cfirewallpacket-filterdefaultpermit 分配端口区域 H3Cfirewallzoneuntrust H3C-zone-trustaddinterfaceGigabitEthernet0/0 H3Cfirewallzonetrust H3C-zone-trustaddinterfaceGigabitEthernet0/1 工作模式 firewallmodetransparent透明传输 fire

2、wallmoderoute路由模式 http服务器 使能HTTP服务器undoiphttpshutdown 关闭HTTP月艮务器iphttpshutdown 添加WEEffl户 H3Clocal-useradmin H3C-luser-adminpasswordsimpleadmin H3C-luser-adminservice-typetelnet H3C-luser-adminlevel3 开启防范功能 firewalldefendall打开所有防范 切换为中文模式language-modeChinese 设置防火墙的名称sysnamesysname 酉已置防火墙系统IP地址firewal

3、lsystem-ipsystem-ip-address address-mask 设置标准时间clockdatetimetimedate 设置所在的时区clocktimezonetime-zone-nameadd|minustime 取消时区设置undoclocktimezone配置切换用户级另U的口令superpasswordleveluser-levelsimple |cipher password 取消配置的口令undosuperpasswordleveluser-level 缺缺省情况下，若不指定级别，则设置的为切换到3级的密码。 切换用户级别superlevel 直接重新启动防火墙r

4、eboot 开启信息中心info-centerenable 关闭信息中心undoinfo-centerenable ftpserverenable 显示下次启动时加载的配置文件displaysaved-configuration by-linenum 显示系统本次启动及下次启动使用 的配置文件displaystartup 显示当前视图的配置displaythis 显示防火墙的当前的运行配置displaycurrent-configurationinterfaceinterface-type interface-number|configurationisp|zone|interzone| ra

5、dius-template|system|user-interfaceby-linenum|begin |include|excludestring 保存当前酉己置savefile-name|safely 删除Flash中保存的下次启动时加载的配置文件reset saved-configuration 酉已置防火墙工作在透明模式firewallmodetransparent H3CSecPath系列安全产品操作手册（安全）第8章透明防火墙操作命令 配置防火墙工作在路由模式firewallmoderoute 恢复防火墙的工作模式为缺省模式undofirewallmode 缺省情况下，防火墙工作在

6、路由模式（route）下。 启动ARP表项自动学习功能firewallarp-learningenable 禁止ARP表项自动学习功能undofirewallarp-learningenable 缺省情况下，当防火墙工作在透明模式下时，防火墙启动ARP表项自动学习 功能。 配置VLANID透传操作命令使能接口的VLANID透传功能bridgevlanid-transparent-transmit 禁止接口的VLANID透传功能undobridgevlanid-transparent-transmitenable 缺省情况下，禁止接口的VLANID透传功能。 使能ARPFlood攻击防范功能fi

7、rewalldefendarp-floodmax-rate rate-number 关闭ARPFlood攻击防范功能undofirewalldefendarp-floodmax-rate 缺省为关闭ARPFlood攻击防范功能。ARP报文的最大连接速率范围为1 1,000,000,缺省为1000 SecPath系列安全产品支持以HTTP方式登录到系统中，并通过Web管理界面对系 统进行配置和管理。在使用Web界面登录到系统前，必须先使能HTTP服务 器功能。 请在系统视图下进行下列配置。 H3cSecPath系列安全产品操作手册（基础配置）第4章系统维护管理 开启/关闭HTTP服务器enabl

8、e 开启HTTP月艮务器undoiphttpshutdown 关闭HTTP月艮务器iphttpshutdown 缺省情况下，系统开启HTTP服务器。 仅当登录用户具有Telnet的服务类型时(service-typetelnet登录HTTP 服务器，且不同等级的用户在Web界面中的可配置项也会不同。 配置HTTP服务器的访问限制 可以配置HTTP服务器，使仅具有特定IP地址的用户才可以登录器，对 设备进行配置和管理。 请在系统视图下进行下列配置。 表4-18配置HTTP服务器的访问限制 操作命令 配置HTTP服务器的访问限制iphttpaclacl-number 取消对HTTP服务器的访问限制

9、undoiphttpacl 缺省情况下，未配置HTTP服务器的访问限制 ),才允许 HTTP月艮务 仅ACL中允许的IP地址才可以访问HTTP服务器。 表3-10显示系统状态信息 操作命令 显示系统版本信息displayversion 显示详细的软件版本信息vrbd 显示系统时钟displayclock 显示终端用户displayusersall 显示起始配置信息displaysaved-configuration 显示当前酉己置信息displaycurrent-configuration 显示调试开关状态displaydebugginginterfaceinterface-type inte

10、rface-numbermodule-name 显示当前视图的运行配置displaythis 显示技术支持信息displaydiagnostic-information 显示剪贴板的内容displayclipboard H3CSecPath系列安全产品操作手册（基础配置）第3章Comware的基本 配置 操作命令 显示当前系统内存使用情况displaymemorylimit 显示CPU占用率的统计信息displaycpu-usageconfiguration|numberoffsetverbosefrom-device 设置CPU占用率统计的周期cpu-usagecycle5sec|1min|

11、5min|72min 以图形方式显示CPU占用率统计历史 信息displaycpu-usagehistorytasktask-id 对插槽中的插卡进行拔出预处理removeslotslot-id 取消拔出预处理操作undoremoveslotslot-id 显示设备和插卡的信息（任意视图）displaydeviceslot-id 配置防火墙网页登陆 1 .配置防火墙缺省允许报文通过。 system-view H3Cfirewallpacket-filterdefaultpermit 2 .为防火墙的以太网接口（以GigabitEthernet0/0为例）配置IP地址，并将接口加入到安全区域。

12、H3CinterfaceGigabitEthernet0/0H3C-GigabitEthernet0/0quit H3Cfirewallzonetrust H3C-zone-trustaddinterfaceGigabitEthernet0/0 3 .为PC配置IP地址。 4 .使用Ping命令验证网络连接性。 H3C Ping命令成功！ 5 .添加登录用户 为使用户可以通过WebS录， 并且有权限对防火墙进行管理， 必须为用户添加登录帐户并且赋予其权限。例如：建立一个帐户名和密码都为admin,帐户类型 为telnet，权限等级为3的管理员用户。 H3Clocal-useradmin H3C

13、-luser-adminpasswordsimpleadmin H3C-luser-adminservice-typetelnetH3C-luser-adminlevel3 可登录。用户可以通过“Language”下拉框选择界面语言 内部主机通过域名区分并访问对应的内部服务器组网应用 1）配置easyip（不用配地址池，直接通过接口地址做转换） natoutboundacl-number 2）DNSMAP natdns-mapdomain-nameglobal-addr global-porttcp|udp 实例： # 在Ethernet。/。/。接口上配置FTP及WW内部服务器。 H3Cin

14、terfaceethernet。/。/。 H3C-Ethernet0/0/0ipaddress1.1.1 H3C-Ethernet。/。/。natoutbound2。 H3C wwwftp H3C-Ethernet0/0/0quit # 配置访问控制列表，允许/8网段访问Internet H3Caclnumber2000 H3C H3C-acl-basic-2000rule1deny # 配置ethernet1/0/0。 H3Cinterfaceethernet1/0/0 H3C 的内部服务器。 # 配置域名与外部地址、端口号、协议类型之间的映射。 H3C H3C H3CSec

15、Path“F”系列防火墙基本配置SECPATHF”系列基本出外网典型配置: 内网(e0/0)-Secpath100F-(e1/0) sys SystemView:returntoUserViewwithCtrl+Z. Quidwayinte0/0 Quidway-Ethernet0/0inte1/0 Quidwayfirezoneuntrustinternet Quidway-zone-trustaddinte0/0 Quidway-zone-trustquit Quidwayaclnum2000 55 Quidway-acl-basic-2000ruledeny Quidway

16、inte1/0 Quidway-Ethernet1/0natoutbound2000 内网 (g0/0)-Secpath1000F-(g0/1) internet sys SystemView:returntoUserViewwithCtrl+Z. Quidwayintg0/0 Quidway-GigabitEthernet0/0intg0/1 Quidwayfirezoneuntrust Quidway-zone-untrustaddintg0/1 Quidway-zone-untrustfirezonetrust Quidway-zone-trustaddintg0/0Quidway-ac

17、l-basic-2000ruledeny Quidwayintg0/1 Quidway-GigabitEthernet0/1natoutbound2000sys SystemView:returntoUserViewwithCtrl+Z.(e0/0)-Secpath100F-(e0/1)ADSLMODEM 内网 -internet Quidway-Ethernet0/0quit Quidwayfirezoneuntrust Quidway-zone-untrustaddinte0/1 Quidway-zone-untrustfirezonetrust Quidway-zone-trustaddinte0/0 Quidway-zone-trustquit Quidwayaclnum2000 Quidway-acl-basic-2000ruledeny#配置Dialer接口 Quidwaydialer-rule1ippermit Quidwayinterfac