H3C Technologies H3C SecPath F1030 User Manual
Page 3
某公司以
Firewall作为网络边界防火墙,连接内网和Internet。公司需要对外提
供
Web服务。内网属于可信任网络,可以自由访问服务器和外网。内网地址
为
10.10.10.0/24,公司拥有202.38.1.1/24一个公网IP地址。需要实现外
部主机可以访问内部服务器。使用
202.38.1.1作为公司对外提供服务的IP地
址,服务器采用
80端口。
[Firewall-obj-grp-ip-webserver] quit
5. 配置服务对象组web,其支持的协议为HTTP。
[Firewall] object-group service web
[Firewall-obj-grp-service-web] service tcp destination eq 80
[Firewall-obj-grp-service-web] quit
6. 配置对象策略规则,允许任意访问Web服务器的报文通过。
[Firewall] object-policy ip access-server
[Firewall-object-policy-ip-access-server] rule pass source-ip any destination-ip
webserver service web
[Firewall-object-policy-ip-access-server] quit
7. 配置对象策略规则,允许源地址为内网地址的报文通过。
[Firewall] object-policy ip access-internet
[Firewall-object-policy-ip-access-internet] rule pass source-ip internal_user
[Firewall-object-policy-ip-access-internet] quit
8. 配置域间实例,允许内、外网用户访问Web服务器,且内网用户能访问外
网。
[Firewall] zone-pair security source trust destination dmz
[Firewall-zone-pair-security-Trust-DMZ] object-policy apply ip access-server
[Firewall-zone-pair-security-Trust-DMZ] quit
[Firewall] zone-pair security source untrust destination dmz
[Firewall-zone-pair-security-Untrust-DMZ] object-policy apply ip access-server
[Firewall-zone-pair-security-Untrust-DMZ] quit
[Firewall] zone-pair security source trust destination untrust
[Firewall-zone-pair-security-Trust-Untrust] object-policy apply ip access-internet
[Firewall-zone-pair-security-Trust-Untrust] quit
9. 配置内部Web服务器,允许外网用户使用202.38.1.1访问。
[Firewall] interface gigabitethernet 1/0/2
[Firewall-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1
80 inside 10.10.10.1 http
[Firewall-GigabitEthernet1/0/2] quit
10. 配置NAT转换,允许内网主机访问Internet,内网转换后的源地址使用
GigabitEthernet1/0/2的接口地址。
[Firewall] acl number 2000
[Firewall-acl-basic-2000] rule permit source 10.10.10.0 0.0.0.255
[Firewall-acl-basic-2000] interface gigabitethernet 1/0/2
[Firewall-GigabitEthernet1/0/2] nat outbound 2000
[Firewall-GigabitEthernet1/0/2] save
1.按照组网图配置各接口的IP地址,具体配置过程略。
2.向安全域DMZ中添加接口GigabitEthernet1/0/3。
[Firewall] security-zone name dmz
[Firewall-security-zone-DMZ] import interface gigabitethernet 1/0/3
[Firewall-security-zone-DMZ] quit
3.向安全域Untrust和Trust中分别添加接口GigabitEthernet1/0/2与
GigabitEthernet1/0/4,配置过程略。
4.配置IP地址对象组internal_user和webserver。
[Firewall] object-group ip address internal_user
[Firewall-obj-grp-ip-internal_user] network subnet 10.10.10.0 24
[Firewall-obj-grp-ip-internal_user] quit
[Firewall] object-group ip address webserver
[Firewall-obj-grp-ip-webserver] network host address 10.10.10.1
因产品软件版本不同,特性支持情况也会有所不同,请以产品实际情况为准。
DMZ
Untrust
Trust
Firewall
GE1/0/4
GE1/0/3
10.10.10.10/24
GE1/0/2
202.38.1.1/24
Internet
Web server
10.10.10.1/24
当首次执行创建安全域、创建对象策略或者进入缺省安全域的命令时,系统会自动
创建
4个缺省安全域:Local、Trust、DMZ和Untrust。缺省的安全域中没有接口,需
要手工向其中添加接口。而且缺省安全域一旦生成,就不能被删除。
完成基本配置后,如果需要进一步配置各种业务功能,还需要将相关接口加入安全域和配置安全策略。详细介绍请参见产品配套的配置指导、命令参考。
该命令在任意视图下执行
可以同时设置下次启动的配置文件
进入系统视图
system-view
配置防火墙名称
sysname sysname
开启防火墙的
Telnet服务方
便远程管理
telnet server
enable
进入以太网接口视图
interface interface-type interface-number
配置接口
IP地址
ip address ip-address { mask-length | mask } [ sub ]
security-zone name zone-name
import interface layer2-interface-type layer2-interface-number vlan vlan-list
保存当前配置
显示当前配置
save [ safely ]
display current-configuration
该命令在用户视图下执行
该命令在系统视图下执行
缺省情况下,防火墙名称为
H3C
该命令在系统视图下执行
缺省情况下,防火墙未开启该服务
该命令在系统视图下执行
缺省情况下,接口
GE1/0/0的IP地址为
192.168.0.1
当首次执行创建安全域、创建域间策略或者进
入缺省安全域的命令时,系统会自动创建
4个缺
省安全域:
Local、Trust、DMZ和Untrust
该命令在任意视图下执行
创建并且进入安全域视图
向安全域中添加接口
import interface layer3-interface-type layer3-interface-number
添加三层接口成员:
添加二层接口成员:
创建安全域间实例并进
入安全域间实例视图
zone-pair security source { source-zone-name | any }
destination { destination-zone-name | any }
该命令在系统视图下执行
缺省情况下,无任何安全域间实例存在
配置同一安全域内接口
间报文处理的缺省动作
permit动作:
security-zone intra-zone default permit
deny动作:
undo security-zone intra-zone default permit
该命令在系统视图下执行
缺省情况下,属于同一个安全域的各接口之间
的报文缺省会被丢弃。一个安全域中的接口与
一个不属于任何安全域的接口之间的报文,会
被丢弃
该命令在安全域视图下执行
缺省情况下,安全域中不存在任何成员
可以通过多次执行本命令,向安全域中添加多
个接口
!
!
!