H3C防火墙基础配置1-登录配置、安全域配置
1 登录配置
添加管理类本地用户
local-user test class manage
password simple string
service-type {ftp|http|https|ssh|telnet|terminal}
添加网络接入类本地用户
local-user test2 class network
password simple string
service-type {advpn|ike|portal|ppp|sslvpn}
默认密码admin/admin
配置认证方式
line console 0
authentication-mode shceme
user-role network-adimin
line vty 0 4
authentication-mode scheme
user-role network-adimin
line console 0
authentication-mode password
set authentication password simple password
配置telnet:
telnet server enable
line vty 0 4
authentication-mode scheme //或者protocol inbound {all|ssh|telnet}
user-role network-adimin
2 配置安全域
2.1 安全域简介
V7防火墙默认安全域有Trust、DMZ、Untrust和Management,G1/0/0默认加入Management区域。此外,设备上所有接口都默认属于Local区域,不需要将接口加入Local域。
security-zone name test
import interface g1/0/1
//将真正用于转发的接口加入安全域,如聚合口、vlan虚接口、reth口等。
import ip 192.168.1.0 24 //添加ipv4子网
import interface g1/0/2 vlan 10 //二层口加入安全域时需要增加vlan参数
import service-chain path path-id //添加服务链成员
security-zone intra-zone default permit //缺省情况下,同一安全域内报文过滤的缺省动作为拒绝
display security-zone
2.2 安全域间实例
安全域间实例用于指定安全控制策略(如包过滤策略、ASPF 策略、对象策略等)需要检测的业务流的源安全域和目的安全域,它们分别描述了经过网络设备的业务流的首个数据包要进入的安全域和要离开的安全域。在安全域间实例上应用安全控制策略可实现对指定的业务流进行安全控制策略检查。
有具体安全域的安全域间实例的匹配优先级高于 any 到 any 的安全域间实例。
Management 和 Local 安全域间之间的报文缺省被允许。
Management 和 Local 安全域间之间的报文只能匹配 Management 与 Local 安全域之间的安全域间实例。当安全域间实例上同时应用了对象策略和包过滤策略时,对象策略的优先级高于包过滤策略。
配置放行trust域到destination域的所有报文:
acl adv 3000
rule permit ip
zone-pair security source trust destination untrust
packet-filter 3000
dis zone-pair security
安全域配置实例
实验案例:
目的:PC_3能ping通PC_5,但PC_5无法ping通PC_3
PC_3地址设置为dhcp获取,PC_5配置地址为100.2.2.5,网关为100.2.2.254
S5820V2:
dhcp server enable
dhcp server ip-pool vlan100
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
address range 192.168.1.1 192.168.1.253
dns-list 10.100.1.10
quit
vlan 100
interface vlan 100
ip address 192.168.1.254 255.255.255.0
dhcp server apply ip-pool vlan100
interface g1/0/1
port access vlan 100
quit
interface Ten1/0/51
port link-mode route
ip address 10.100.1.2 255.255.255.0
quit
ip route-static 0.0.0.0 0.0.0.0 10.100.1.254
MSR36-20:
interface g0/0
ip address 200.2.2.254 255.255.255.0
interface g0/1
ip address 100.2.2.254 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 200.2.2.10
F1060-1:
interface g1/0/2
ip address 200.2.2.10 24
interface g1/0/3
ip address 10.100.1.254 24
ip route-static 0.0.0.0 0.0.0.0 200.2.2.254
ip route-static 192.168.1.0 0.0.0.255 10.100.1.2
将对应端口加入安全域:
security-zone name Trust
import interface GigabitEthernet1/0/3
security-zone name Untrust
import interface GigabitEthernet1/0/2
配置放行trust域到destination域的所有报文:
acl adv 3000
rule permit ip
zone-pair security source trust destination untrust
packet-filter 3000
dis zone-pair security
拓展:
上述配置后,就PC_3可以单向ping通PC_5,但其他设备是无法ping通防火墙上配置的IP地址,防火墙也无法ping通其他设备的地址,原因是防火墙上的IP地址属于local域,必须要配置local域与其他域之间的域间实例,才能ping通
配置其他域与local域的之间的报文,否则防火墙和其他设备无法ping通:
zone-pair security source Local destination Any
packet-filter 3000
zone-pair security source Trust destination Local
packet-filter 3000
H3C防火墙基础配置1-登录配置、安全域配置相关推荐
- h3c服务器Console安装系统,H3C设备通过Console口登录设备的配置方法介绍
<H3C设备通过Console口登录设备的配置方法介绍>由会员分享,可在线阅读,更多相关<H3C设备通过Console口登录设备的配置方法介绍(3页珍藏版)>请在人人文库网上搜 ...
- H3C 防火墙(1)登录设备
H3C 防火墙设备支持以下登录方式: · 通过CLI登录设备.登录成功后,可以直接输入命令行,来配置和管理设备.CLI方式下又根据使用的登录接口以及登录协议不同,分为:通过Console口.Telne ...
- H3C防火墙基础配置操作
之前部署了一个虚拟防火墙,后面预计会出一个V7防火墙配置的系列专题.我一直在跟设备打交道,操作变更后都是要写入到配置文件的,简单操作也会花样出现问题,在此先介绍一下设备配置相关的基本操作. 本文中所用 ...
- H3C防火墙基础配置3-配置对象策略
1.对象策略简介 对象策略基于全局进行配置,基于安全域间实例进行应用.在安全域间实例上应用对象策略可实现对报文流的检查,并根据检查结果允许或拒绝其通过.对象策略通过配置对象策略规则实现. 一个对象策略 ...
- H3C防火墙基础配置2-配置安全策略
1 安全策略简介 安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能. (1)规则的名称和编号 安全策略中的每条规则都由唯一 ...
- H3C防火墙F1000系列,web界面HA配置(主备)
本文以模拟器中F1090为例 防火墙默认G1/0/1为管理接口,ip地址为192.168.0.1/24,所以虚拟网卡配置为192.168.0.2,方便web界面登录,这里不多做详细介绍. 网页登陆 ...
- 防火墙基本配置管理,防火墙调试入门,登录及telnet配置
一.拓扑 拓扑组网说明: 1.防火墙采用USG6000V,电脑网卡桥接电脑,电脑通过防火墙的G0/0/0接口实现管理 2.防火墙的三个区域Untrust和Trunst及DMZ 二. 防火墙基本登录管理 ...
- console连接h3c s5500_H3C设备通过Console口登录设备的配置方法介绍
H3C 设备通过 Console 口登录设备的配置方法介绍 H3C 设备通过 Console 口登录设备的配置方法介 绍 做网络配置交换机时一般都是通过 Console 口进行连接配置,但我 们可能会 ...
- Yeslab 华为安全HCIE七门之-防火墙基础(12篇)
Yeslab 华为安全HCIE七门之-防火墙基础(12篇) Yeslab 全套华为安全HCIE七门之第二门防火墙基础(12篇),第一门课论坛很早就有了,可自行下载,后面的陆续分享给大家. 华为安全HC ...
- H3C 防火墙安全域基本配置
H3C 防火墙安全域基本配置 一.项目拓扑 二.项目需求 三.配置步骤 四.测试 一.项目拓扑 二.项目需求 可通 三.配置步骤 配IP地址 [R1]int g0/0 [R1-GigabitEther ...
最新文章
- flexnet licensing 启动多个服务_又小又灵巧,浪潮边缘计算服务器获深度评测高分...
- DB2 catalog
- Python3实现邮件群发
- android wifi 休眠策略,Android wifi休眠策略
- 性能测试四十五:性能测试策略
- redission java_Java注解如何基于Redission实现分布式锁
- Redis学习---(3)Redis 配置
- 50 招教你防止黑客入侵,适用于入门小白到专业人员
- prim算法 + 最小生成树的打印 C语言
- ubuntu linux配置bond 网卡绑定 多个bond配置多网关
- 尚硅谷-Promise
- Nginx设置图片防盗链(白名单与黑名单)
- Ubuntu 16.04 系统 gflags glog 安装
- Onvif再学习---MiniXml-介绍
- 【ARM Linux 系统稳定性分析入门及渐进 1 -- Crash 工具简介】
- 吉林大学微型计算机试卷,微机原理及应用 吉林大学考试题库答案
- 2021软件测试面试题汇总【备战金九银十】内容较长建议收藏
- 亚马逊美国站儿童玩具车、毛绒玩具办理CPC认证 ASTMF963标准
- 视频大数据产品-物联网、视频、大数据、三维、移动
- idea的使用6——项目的打包处理