|
初始化配置1 ]0 L6 k1 J) B* X% L# h: O
〈H3C〉system-view
) Z- H; F3 {" c开启防火墙功能* Y3 H, r( k3 E
[H3C]firewall packet-filter enable
: S9 ]5 e( M! P[H3C]firewall packet-filter default permit
) I8 X; K) s) k1 X( ~分配端口区域
+ ]# P9 M4 L4 w7 V$ t2 o[H3C] firewall zone untrust
2 K7 r( s: |) ]9 G! Y8 S[H3C-zone-trust] add interface GigabitEthernet0/0
* j4 ?1 P g8 m& m6 E3 [[H3C] firewall zone trust7 R4 d' s+ j$ f- d9 u
[H3C-zone-trust] add interface GigabitEthernet0/1( U* |5 a# h" V; Z, Z4 ~1 k
工作模式
& [0 X/ y& P- L, U; yfirewall mode transparent 透明传输
: h# V+ A" K* P3 ?firewall mode route 路由模式& U6 {0 n: b o5 _+ q% Z# a( a3 D
http 服务器
3 p( @2 S$ h2 O# C6 {6 H1 v- w$ H t使能HTTP 服务器 undo ip http shutdown7 E/ ~4 Q- A$ E1 f( ?- t8 U+ v
关闭HTTP 服务器 ip http shutdown
9 X* }$ @' L5 z& K) A" u( U |添加WEB用户
' p0 g' q% ]; a0 x[H3C] local-user admin
- f( T4 ]! g! D/ T( l[H3C-luser-admin] password simple admin. T$ u2 c# j: v: {1 K
[H3C-luser-admin] service-type telnet6 K0 g, b+ B$ |% h8 a
[H3C-luser-admin] level 3
3 c$ Y3 q! K* f* o$ \2 m开启防范功能( x( j0 D* S' @
firewall defend all 打开所有防范9 Y; y, u; `! s" Q" E4 E: z9 H) ?2 F
7 H4 T# n$ K4 ~0 R8 H
切换为中文模式 language-mode chinese
+ @2 y: w& Z8 R' x. ~' u设置防火墙的名称 sysname sysname
H: x( ~$ e" i; D0 D) u" M$ r配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]; {" Q. K0 M/ i, H
设置标准时间 clock datetime time date
. N! ^. l6 u( }" L设置所在的时区 clock timezone time-zone-name { add | minus } time; M4 q4 p) O6 ]' v2 k( B2 K) L3 u, Y
取消时区设置 undo clock timezone8 v3 D4 w/ H+ [. s6 E( y
配置切换用户级别的口令 super password [ level user-level ] { simple | cipher }/ }% d! S% B1 h! s N% u
password6 T* q0 d6 ]/ D, p8 } `
取消配置的口令 undo super password [ level user-level ]
% _1 J* V. P, W1 ?7 N' n5 r% W缺缺省情况下,若不指定级别,则设置的为切换到3 级的密码。
% R& N. m+ x$ q7 i切换用户级别 super [ level ]
9 [- Q: q; p' C直接重新启动防火墙 reboot" Y7 ~! a# R7 `% c" \9 I# N9 t
开启信息中心 info-center enable
9 q) h7 b' o/ t- d关闭信息中心 undo info-center enable
( E% T! v: t V) v4 I, j9 zftp server enable1 N& k X$ @3 e5 G8 D5 w
显示下次启动时加载的配置文件 display saved-configuration [ by-linenum ]
- Z1 X# D3 }! d, o* M" i4 v显示系统本次启动及下次启动使用
; E8 N3 y% ~4 `" |$ |# J7 u的配置文件 display startup
8 H$ N* v: Z# r/ [显示当前视图的配置 display this
" x6 A6 b! }3 w6 |9 d* ^显示防火墙的当前的运行配置
; J4 T( ?- B8 ?- S) pdisplay current-configuration[ interface
0 L$ U$ `9 H2 E& E u' H/ @ iinterface-type [ interface-number ] | configuration
$ k/ q5 g. K) b, @; `# S1 N[ isp | zone | interzone | radius-template | system |
2 V- q2 Z. k0 o3 ]! puser-interface ] ] [ by-linenum ] [ | { begin | include |4 e% B/ |7 P: S. x1 k
exclude } string ]8 W- k9 P, r& \* h# h# n% z
保存当前配置 save [ file-name | safely ]. _3 s& I5 ?( C! D
删除Flash 中保存的下次启动时加载的配置文件 reset saved-configuration
2 F) ~9 U7 [. B N9 `% \配置防火墙工作在透明模式 firewall mode transparent" i2 D! d2 V8 P5 C# w' u
H3C SecPath 系列安全产品 操作手册(安全) 第8 章 透明防火墙* [5 _2 _. p" h. t1 R
8-6+ `- d7 }/ R' s
操作 命令
- B% ~- h6 E9 b0 d* n+ Z5 E配置防火墙工作在路由模式 firewall mode route, w! F' {# ]+ v) _, j
恢复防火墙的工作模式为缺省模式 undo firewall mode
$ @' d6 R, A/ F5 ~: F缺省情况下,防火墙工作在路由模式(route)下。' \3 {* K8 T2 W2 T, w9 U1 R4 @
启动ARP 表项自动学习功能 firewall arp-learning enable
1 R% X6 ^4 a! L, M1 A2 a3 a5 W) S禁止ARP 表项自动学习功能 undo firewall arp-learning enable
2 }' J: s8 O' d缺省情况下,当防火墙工作在透明模式下时,防火墙启动ARP 表项自动学习功能。
4 e% Q2 j/ z: k% L表8-9 配置VLAN ID 透传0 }" }- `+ p- k9 M i, [3 T8 b
操作 命令
- P7 J* x( n. W3 S" b W使能接口的VLAN ID 透传功能 bridge vlanid-transparent-transmit enable4 S# x- Z1 G9 k% X6 {
禁止接口的VLAN ID 透传功能 undo bridge vlanid-transparent-transmit enable
$ N! B- r1 _. i8 c9 A+ t5 g缺省情况下,禁止接口的VLAN ID 透传功能。 _( _7 g e5 m9 j
& w& w4 Y) A0 B% b! d2 k使能ARP Flood 攻击防范功能 firewall defend arp-flood [ max-rate+ _4 e0 \3 g+ r" H
rate-number ]. W8 Y# I1 r* V
关闭ARP Flood 攻击防范功能 undo firewall defend arp-flood [ max-rate ]
# u( c+ o9 C) X( w$ v' y: m缺省为关闭ARP Flood 攻击防范功能。ARP 报文的最大连接速率范围为1~
# A7 ?& r' E L# P9 |1,000,000,缺省为100。( K9 T, v! ^7 t0 {! k e6 V
! M7 S6 b3 @1 M/ q
' I, J5 l1 H' V1 S8 g; ]; ?' e4 o qSecPath 系列安全产品支持以HTTP 方式登录到系统中,并通过Web 管理界面对系
& r c' P$ f3 |$ }6 ]; M% v" z统进行配置和管理。在使用Web 界面登录到系统前,必须先使能HTTP 服务器功能。, f" H" j% w% q4 a
请在系统视图下进行下列配置。
1 e% \0 r, N) zH3C SecPath 系列安全产品 操作手册(基础配置) 第4 章 系统维护管理
# i) J z1 T. m* e4-17
- w# G% s( y& P$ [+ k表4-17 使能/关闭HTTP 服务器
( g( a$ C5 R2 b1 y操作 命令
( R; R/ \) A/ T) n" {使能HTTP 服务器 undo ip http shutdown$ D) x! ~$ [9 D9 j& O1 G/ U
关闭HTTP 服务器 ip http shutdown
0 ]/ I u# S" i$ j+ X0 A+ Z/ x0 }缺省情况下,系统使能HTTP 服务器。
( [# r2 B h \" x% d. X仅当登录用户具有Telnet 的服务类型时(service-type telnet),才允许登录HTTP$ t+ Q6 I1 H: ? B/ w
服务器,且不同等级的用户在Web 界面中的可配置项也会不同。
/ b: R! u. D- E: f5 ~配置HTTP 服务器的访问限制
' h6 w/ Z) ^$ ? c* {. a4 W; p3 I可以配置HTTP 服务器,使仅具有特定IP 地址的用户才可以登录HTTP 服务器,对
$ _9 l* m6 X9 E0 m0 m% @设备进行配置和管理。
, z% e; ^6 S0 A8 y8 D3 V& \: d: s& s请在系统视图下进行下列配置。
5 ~" o; } { y+ n* a表4-18 配置HTTP 服务器的访问限制5 t6 H; f( V1 }
操作 命令
& m" b7 W6 ?7 s7 }+ f. q' Y0 d配置HTTP 服务器的访问限制 ip http acl acl-number2 L$ }8 g" q7 @% ^5 s; L! u; f/ x& M
取消对HTTP 服务器的访问限制 undo ip http acl1 O: y1 V. s0 b( Y
缺省情况下,未配置HTTP 服务器的访问限制。+ f4 s6 U4 g( {$ D5 S
仅ACL 中允许的IP 地址才可以访问HTTP 服务器。6 x( Y" i( _4 M9 h9 H# j
( Y9 } ]* C# j5 F6 P& y/ j9 L1 W表3-10 显示系统状态信息
+ {9 f4 `# Q& g% a操作 命令
0 N3 V7 |# e. c8 b/ J显示系统版本信息 display version
- Z1 q( Y& Y! K显示详细的软件版本信息 vrbd
8 ~' C+ ~0 Z+ A6 ?1 g6 b显示系统时钟 display clock, X3 g6 J8 J; M- G5 x8 U
显示终端用户 display users [ all ]- d: i. V8 y* ^$ T3 {0 d8 i, i
显示起始配置信息 display saved-configuration H/ i+ |2 H3 I7 i5 `! L
显示当前配置信息 display current-configuration
9 g& n% q3 |4 f' u显示调试开关状态 display debugging [ interface interface-type2 k7 p& x' R5 P2 X
interface-number ] [ module-name ]( K! u1 T3 q: D
显示当前视图的运行配置 display this
! \) B* e8 N/ R* v显示技术支持信息 display diagnostic-information! i6 W* M0 N, g# J. j
显示剪贴板的内容 display clipboard
1 J1 P. b" l4 }H3C SecPath 系列安全产品 操作手册(基础配置) 第3 章 Comware 的基本配置
- ^% k2 B: W! G! S% c6 W3-5
8 }; a! v' d3 w1 m: b操作 命令
+ W1 p8 |/ }9 V显示当前系统内存使用情况 display memory [ limit ]
& c5 k" t. o4 J4 }显示CPU 占用率的统计信息 display cpu-usage [ configuration | number
) C3 [8 S- h& w1 C% @& k[ offset ] [ verbose ] [ from-device ] ]& N& }6 {8 ], L9 }
设置CPU 占用率统计的周期 cpu-usage cycle { 5sec | 1min | 5min | 72min }
4 D+ j$ N6 p: c, z/ _2 \2 S以图形方式显示CPU 占用率统计历史; x- S! |2 P! `+ j
信息 display cpu-usage history [ task task-id ]
( j, W, k) T4 w# F- u# Y, y& q. M
. _1 w2 J( ^/ N W5 N对插槽中的插卡进行拔出预处理 remove slot slot-id) V: x7 @" a2 B
取消拔出预处理操作 undo remove slot slot-id9 F+ M; C" I* r8 K) x8 I
显示设备和插卡的信息(任意视图) display device [ slot-id ] ' M9 w) i. i' t5 q$ Q1 Z; A- e
) N, s* Q' ]) G8 n1 u
/ M) z! ~5 A- v$ g- i配置防火墙网页登陆
: @/ u. e' @& q2 e/ Y1. 配置防火墙缺省允许报文通过。- v0 g/ a# h/ J4 t& V" w
<H3C> system-view1 R, u4 `& I9 U' I& A
[H3C] firewall packet-filter default permit 2. 为防火墙的以太网接口(以GigabitEthernet0/0为例)配置IP地址,并将接口加入到安全区域。
# W8 z& @( d# F8 _. G[H3C] interface GigabitEthernet0/0
/ [$ \1 A8 T6 Z- j- Q! d[H3C-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0, P( {1 h7 e" t# Q: X
[H3C-GigabitEthernet0/0] quit
! b# N1 B* m" B( y2 N6 D[H3C] firewall zone trust4 \# O( j" L1 ]' t1 U6 v
[H3C-zone-trust] add interface GigabitEthernet0/0
2 L9 t; s6 x' i @) k; J" x3. 为PC配置IP地址。
' R. ^; N: e, d. B, o+ |- e假设PC的IP地址为192.168.0.2。
% ]5 D! V8 f$ @6 e7 ]4. 使用Ping命令验证网络连接性。; L% N& [/ ~$ ]
<H3C> ping 192.168.0.2
. T" M' d- \9 _4 ^Ping命令成功!后 5.添加登录用户' L- ?1 [4 N3 c( v! j
为使用户可以通过Web登录,并且有权限对防火墙进行管理,必须为用户添加登录帐户并且赋予其权限。例如:建立一个帐户名和密码都为admin,帐户类型为telnet,权限等级为3的管理员用户。( G$ Z2 K7 S. B6 c3 N4 f
[H3C] local-user admin
# _. d5 N, b8 F2 n h% c( U" N[H3C-luser-admin] password simple admin! ^* P( D' e2 E# T+ F( ~
[H3C-luser-admin] service-type telnet& g: w& K9 d! f% e! p2 |
[H3C-luser-admin] level 3 在PC上启动浏览器(建议使用IE5.0及以上版本),在地址栏中输入IP地址“192.168.0.1”后回车,即可进入防火墙Web登录页面,使用之前创建的 admin帐户登录防火墙,单击<Login>按钮即可登录。用户可以通过“Language”下拉框选择界面语言 内部主机通过域名区分并访问对应的内部服务器组网应用
- t0 B. q7 m" R9 {! O, e: R1)配置easy ip(不用配地址池,直接通过接口地址做转换)
" x! [+ N2 k: a" \) _6 N# A ~9 wnat outbound acl-number
! s+ A/ |& v3 `7 `5 W7 F2)DNS MAP
7 R; D ?* y7 E4 \$ D. d- M& Q9 O! \nat dns-map domain-name global-addr0 z6 J0 W8 E) H; P; _; b
global-port [ tcp | udp ]
实例: # 在Ethernet0/0/0 接口上配置FTP 及WWW内部服务器。
+ v7 N( v) p9 T7 l+ A; d[H3C] interface ethernet0/0/0: z$ K) o3 g. w" v. d8 @* l- O
[H3C-Ethernet0/0/0] ip address 1.1.1.1 255.0.0.02 O5 C8 n t, Q. v7 f
[H3C-Ethernet0/0/0] nat outbound 2000
! n7 T4 B: |7 h( k4 H[H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 www inside 10.0.0.2$ t" X" h$ u" W& F. O5 H0 A6 C- X
www. J; m+ q6 y" |; `0 ~( p) _
[H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.3
" n1 s( H4 R- `" ^, D9 mftp+ I) q; F# l- F% q5 f
[H3C-Ethernet0/0/0] quit # 配置访问控制列表,允许10.0.0.0/8 网段访问Internet。
- w( S; w6 W ?) n[H3C] acl number 2000
. {* `. K- h2 a2 g% |[H3C-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.2556 k" i; M% N5 V. j: S- p+ C
[H3C-acl-basic-2000] rule 1 deny
7 b; J9 J+ e- e+ j+ p# 配置ethernet1/0/0。
# d% g" g5 `% U4 u5 Z( f[H3C] interface ethernet1/0/0
3 V4 Q5 S% ^3 R[H3C-Ethernet1/0/0] ip address 10.0.0.1 255.0.0.0
7 t6 g* Q& }& _- c3 N! Y# A: O此时外部主机可以通过域名www.zc.com 和www.zc.com 和www.zc.com 1.1.1.1 80 tcp# {; d, o' p: Z" T# O
[H3C] nat dns-map ftp.zc.com 1.1.1.1 21 tcp | 
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
[复制链接]
