初始化配置
〈H3C〉system-view
开启防火墙功能
[H3C]firewall packet-filter enable
[H3C]firewall packet-filter default permit
分配端口区域
[H3C] firewall zone untrust
[H3C-zone-trust] add interface GigabitEthernet0/0
[H3C] firewall zone trust
[H3C-zone-trust] add interface GigabitEthernet0/1
工作模式
firewall mode transparent 透明传输
firewall mode route 路由模式
http 服务器
使能HTTP 服务器 undo ip http shutdown
关闭HTTP 服务器 ip http shutdown
添加WEB用户
[H3C] local-user admin
[H3C-luser-admin] password simple admin
[H3C-luser-admin] service-type telnet
[H3C-luser-admin] level 3
开启防范功能
firewall defend all 打开所有防范
切换为中文模式 language-mode chinese
设置防火墙的名称 sysname sysname
配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]
设置标准时间 clock datetime time date
设置所在的时区 clock timezone time-zone-name { add | minus } time
取消时区设置 undo clock timezone
配置切换用户级别的口令 super password [ level user-level ] { simple | cipher }
password
取消配置的口令 undo super password [ level user-level ]
缺缺省情况下,若不指定级别,则设置的为切换到3 级的密码。
切换用户级别 super [ level ]
直接重新启动防火墙 reboot
开启信息中心 info-center enable
关闭信息中心 undo info-center enable
ftp server enable
显示下次启动时加载的配置文件 display saved-configuration [ by-linenum ]
显示系统本次启动及下次启动使用
的配置文件 display startup
显示当前视图的配置 display this
显示防火墙的当前的运行配置
display current-configuration[ interface interface-type [ interface-number ] | configuration[ isp | zone | interzone | radius-template | system |user-interface ] ] [ by-linenum ] [ | { begin | include |exclude } string ]
保存当前配置 save [ file-name | safely ]
删除Flash 中保存的下次启动时加载的配置文件 reset saved-configuration
配置防火墙工作在透明模式 firewall mode transparent
H3C SecPath 系列安全产品 操作手册(安全) 第8 章 透明防火墙操作命令
配置防火墙工作在路由模式 firewall mode route
恢复防火墙的工作模式为缺省模式 undo firewall mode
缺省情况下,防火墙工作在路由模式(route)下。
启动ARP 表项自动学习功能 firewall arp-learning enable
禁止ARP 表项自动学习功能 undo firewall arp-learning enable
缺省情况下,当防火墙工作在透明模式下时,防火墙启动ARP 表项自动学习功能。
配置VLAN ID 透传操作命令
使能接口的VLAN ID 透传功能 bridge vlanid-transparent-transmit enable
禁止接口的VLAN ID 透传功能 undo bridge vlanid-transparent-transmit enable
缺省情况下,禁止接口的VLAN ID 透传功能。
使能ARP Flood 攻击防范功能 firewall defend arp-flood [ max-rate
rate-number ]
关闭ARP Flood 攻击防范功能 undo firewall defend arp-flood [ max-rate ]
缺省为关闭ARP Flood 攻击防范功能。ARP 报文的最大连接速率范围为1~
1,000,000,缺省为100。
SecPath 系列安全产品支持以HTTP 方式登录到系统中,并通过Web 管理界面对系
统进行配置和管理。在使用Web 界面登录到系统前,必须先使能HTTP 服务器功能。
请在系统视图下进行下列配置。
H3C SecPath 系列安全产品 操作手册(基础配置) 第4 章 系统维护管理
开启/关闭HTTP 服务器
开启HTTP 服务器 undo ip http shutdown
关闭HTTP 服务器 ip http shutdown
缺省情况下,系统开启HTTP 服务器。
仅当登录用户具有Telnet 的服务类型时(service-type telnet),才允许登录HTTP
服务器,且不同等级的用户在Web 界面中的可配置项也会不同。
配置HTTP 服务器的访问
可以配置HTTP 服务器,使仅具有特定IP 地址的用户才可以登录HTTP 服务器,对
设备进行配置和管理。
请在系统视图下进行下列配置。
表4-18 配置HTTP 服务器的访问
操作 命令
配置HTTP 服务器的访问 ip http acl acl-number
取消对HTTP 服务器的访问 undo ip http acl
缺省情况下,未配置HTTP 服务器的访问。
仅ACL 中允许的IP 地址才可以访问HTTP 服务器。
表3-10 显示系统状态信息
操作 命令
显示系统版本信息 display version
显示详细的软件版本信息 vrbd
显示系统时钟 display clock
显示终端用户 display users [ all ]
显示起始配置信息 display saved-configuration
显示当前配置信息 display current-configuration
显示调试开关状态 display debugging [ interface interface-type
interface-number ] [ module-name ]
显示当前视图的运行配置 display this
显示技术支持信息 display diagnostic-information
显示剪贴板的内容 display clipboard
H3C SecPath 系列安全产品 操作手册(基础配置) 第3 章 Comware 的基本配置
操作 命令
显示当前系统内存使用情况 display memory [ limit ]
显示CPU 占用率的统计信息 display cpu-usage [ configuration | number[ offset ] [ verbose ] [ from-device ] ]
设置CPU 占用率统计的周期 cpu-usage cycle { 5sec | 1min | 5min | 72min }
以图形方式显示CPU 占用率统计历史
信息 display cpu-usage history [ task task-id ]
对插槽中的插卡进行拔出预处理 remove slot slot-id
取消拔出预处理操作 undo remove slot slot-id
显示设备和插卡的信息(任意视图) display device [ slot-id ]
配置防火墙网页登陆
1. 配置防火墙缺省允许报文通过。
[H3C] firewall packet-filter default permit 2. 为防火墙的以太网接口(以GigabitEthernet0/0为例)配置IP地址,并将接口加入到安全区域。 [H3C] interface GigabitEthernet0/0 [H3C-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0 [H3C-GigabitEthernet0/0] quit [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/0 3. 为PC配置IP地址。 假设PC的IP地址为192.168.0.2。 4. 使用Ping命令验证网络连接性。 Ping命令成功! 5.添加登录用户 为使用户可以通过Web登录,并且有权限对防火墙进行管理,必须为用户添加登录帐户并且赋予其权限。例如:建立一个帐户名和密码都为admin,帐户类型为telnet,权限等级为3的管理员用户。 [H3C] local-user admin [H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3 在 PC上启动浏览器(建议使用IE5.0及以上版本),在地址栏中输入IP地址“192.168.0.1”后回车,即可进入防火墙Web登录页面,使用之前创建的 admin帐户登录防火墙,单击 内部主机通过域名区分并访问对应的内部服务器组网应用 1)配置easy ip(不用配地址池,直接通过接口地址做转换) nat outbound acl-number 2)DNS MAP nat dns-map domain-name global-addr global-port [ tcp | udp ] 实例: # 在Ethernet0/0/0 接口上配置FTP 及WWW内部服务器。 [H3C] interface ethernet0/0/0 [H3C-Ethernet0/0/0] ip address 1.1.1.1 255.0.0.0 [H3C-Ethernet0/0/0] nat outbound 2000 [H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 inside 10.0.0.2 [H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.3 ftp [H3C-Ethernet0/0/0] quit # 配置访问控制列表,允许10.0.0.0/8 网段访问Internet。 [H3C] acl number 2000 [H3C-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255 [H3C-acl-basic-2000] rule 1 deny # 配置ethernet1/0/0。 [H3C] interface ethernet1/0/0 [H3C-Ethernet1/0/0] ip address 10.0.0.1 255.0.0.0 加上如下配置后,内部主机也可以通过域名[url].zc.[/url] 和ftp.zc. 访问其对应 的内部服务器。 # 配置域名与外部地址、端口号、协议类型之间的映射。 [H3C] nat dns-map [url].zc.[/url] 1.1.1.1 80 tcp [H3C] nat dns-map ftp.zc. 1.1.1.1 21 tcp 此时外部主机可以通过域名[url].zc.[/url] 和ftp.zc. 访问其对应的内部服务器 H3C SecPath“F”系列防火墙基本配置 SECPATH“F”系列基本出典型配置: 内网------------(e0/0)-Secpath100F-(e1/0)------------internet 192.168.1.1/24 202.10.1.194/24 sys System View: return to User View with Ctrl+Z. [Quidway]int e0/0 [Quidway-Ethernet0/0]ip add 192.168.1.1 255.255.255.0 [Quidway-Ethernet0/0]int e1/0 [Quidway-Ethernet1/0]ip add 202.10.1.194 255.255.255.0 [Quidway]fire zone untrust [Quidway-zone-untrust]add int e1/0 [Quidway-zone-untrust]fire zone trust [Quidway-zone-trust]add int e0/0 [Quidway-zone-trust]quit [Quidway]acl num 2000 [Quidway-acl-basic-2000]rule per source 192.168.1.0 0.0.0.255 [Quidway-acl-basic-2000]rule deny [Quidway]int e1/0 [Quidway-Ethernet1/0]nat outbound 2000 [Quidway]ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 preference 60 内网------------(g0/0)-Secpath1000F-(g0/1)------------internet 192.168.1.1/24 202.10.1.194/24 sys System View: return to User View with Ctrl+Z. [Quidway]int g0/0 [Quidway-GigabitEthernet0/0]ip add 192.168.1.1 255.255.255.0 [Quidway-GigabitEthernet0/0]int g0/1 [Quidway-GigabitEthernet0/1]ip add 202.10.1.194 255.255.255.0 [Quidway]fire zone untrust [Quidway-zone-untrust]add int g0/1 [Quidway-zone-untrust]fire zone trust [Quidway-zone-trust]add int g0/0 [Quidway-zone-trust]quit [Quidway]acl num 2000 [Quidway-acl-basic-2000]rule per source 192.168.1.0 0.0.0.255 [Quidway-acl-basic-2000]rule deny [Quidway]int g0/1 [Quidway-GigabitEthernet0/1]nat outbound 2000 [Quidway]ip route-static 0.0.0.0 0.0.0.0 202.10.1.193 preference 60 内网------------(e0/0)-Secpath100F-(e0/1)-----ADSLMODEM-------internet 192.168.1.1/24 sys System View: return to User View with Ctrl+Z. [Quidway]int e0/0 [Quidway-Ethernet0/0]ip add 192.168.1.1 255.255.255.0 [Quidway-Ethernet0/0]quit [Quidway]fire zone untrust [Quidway-zone-untrust]add int e0/1 [Quidway-zone-untrust]fire zone trust [Quidway-zone-trust]add int e0/0 [Quidway-zone-trust]quit [Quidway]acl num 2000 [Quidway-acl-basic-2000]rule per source 192.168.1.0 0.0.0.255 [Quidway-acl-basic-2000]rule deny [Quidway]int e0/1 [Quidway-Ethernet0/1]nat outbound 2000 # 配置Dialer接口 [Quidway] dialer-rule 1 ip permit [Quidway] interface dialer 1 [Quidway-Dialer1] dialer-group 1 [Quidway-Dialer1] dialer bundle 1 [Quidway-Dialer1] ip address ppp-negotiate [Quidway-Dialer1] ppp pap local-user huawei password cipher 123456 (这里的用户名和密码就是从运营商提供的) [Quidway-Dialer1]nat outbound 2000 # 配置PPPoE会话 [Quidway] interface ethernet 0/1 [Quidway-Ethernet0/1] pppoe-client dial-bundle-number 1 [Quidway]ip route-static 0.0.0.0 0.0.0.0 dialer 1 preference 60下载本文
