H3C SecPath F100系列防火牆配置

初始化配置
〈H3C〉system-view
開啓防火牆功能
[H3C]firewall packet-filter enable
[H3C]firewall packet-filter default permit
分配端口區域
[H3C] firewall zone untrust
[H3C-zone-trust] add interface GigabitEthernet0/0
[H3C] firewall zone trust
[H3C-zone-trust] add interface GigabitEthernet0/1
工作模式
firewall mode transparent 透明傳輸
firewall mode route 路由模式
http 服務器
使能HTTP 服務器 undo ip http shutdown
關閉HTTP 服務器 ip http shutdown
添加WEB用戶
[H3C] local-user admin
[H3C-luser-admin] password simple admin
[H3C-luser-admin] service-type telnet
[H3C-luser-admin] level 3
開啓防範功能
firewall defend all 打開所有防範

切換爲中文模式 language-mode chinese
設置防火牆的名稱 sysname sysname
配置防火牆系統IP 地址 firewall system-ip system-ip-address [ address-mask ]
設置標準時間 clock datetime time date
設置所在的時區 clock timezone time-zone-name { add | minus } time
取消時區設置 undo clock timezone
配置切換用戶級別的口令 super password [ level user-level ] { simple | cipher }
password
取消配置的口令 undo super password [ level user-level ]
缺缺省情況下，若不指定級別，則設置的爲切換到3 級的密碼。
切換用戶級別 super [ level ]
直接重新啓動防火牆 reboot
開啓信息中心 info-center enable
關閉信息中心 undo info-center enable
ftp server enable
顯示下次啓動時加載的配置文件 display saved-configuration [ by-linenum ]
顯示系統本次啓動及下次啓動使用
的配置文件 display startup
顯示當前視圖的配置 display this
顯示防火牆的當前的運行配置
display current-configuration[ interface interface-type [ interface-number ] | configuration[ isp | zone | interzone | radius-template | system |user-interface ] ] [ by-linenum ] [ | { begin | include |exclude } string ]
保存當前配置 save [ file-name | safely ]
刪除Flash 中保存的下次啓動時加載的配置文件 reset saved-configuration
配置防火牆工作在透明模式 firewall mode transparent
H3C SecPath 系列安全產品 操作手冊（安全） 第8 章 透明防火牆操作命令
配置防火牆工作在路由模式 firewall mode route
恢復防火牆的工作模式爲缺省模式 undo firewall mode
缺省情況下，防火牆工作在路由模式（route）下。
啓動ARP 表項自動學習功能 firewall arp-learning enable
禁止ARP 表項自動學習功能 undo firewall arp-learning enable
缺省情況下，當防火牆工作在透明模式下時，防火牆啓動ARP 表項自動學習功能。
配置VLAN ID 透傳操作命令
使能接口的VLAN ID 透傳功能 bridge vlanid-transparent-transmit enable
禁止接口的VLAN ID 透傳功能 undo bridge vlanid-transparent-transmit enable
缺省情況下，禁止接口的VLAN ID 透傳功能。

使能ARP Flood ***防範功能 firewall defend arp-flood [ max-rate
rate-number ]
關閉ARP Flood ***防範功能 undo firewall defend arp-flood [ max-rate ]
缺省爲關閉ARP Flood ***防範功能。ARP 報文的最大連接速率範圍爲1～
1,000,000，缺省爲100。


SecPath 系列安全產品支持以HTTP 方式登錄到系統中，並通過Web 管理界面對系
統進行配置和管理。在使用Web 界面登錄到系統前，必須先使能HTTP 服務器功能。
請在系統視圖下進行下列配置。
H3C SecPath 系列安全產品 操作手冊（基礎配置） 第4 章 系統維護管理

開啓/關閉HTTP 服務器
開啓HTTP 服務器 undo ip http shutdown
關閉HTTP 服務器 ip http shutdown
缺省情況下，系統開啓HTTP 服務器。
僅當登錄用戶具有Telnet 的服務類型時（service-type telnet），才允許登錄HTTP
服務器，且不同等級的用戶在Web 界面中的可配置項也會不同。
配置HTTP 服務器的訪問限制
可以配置HTTP 服務器，使僅具有特定IP 地址的用戶纔可以登錄HTTP 服務器，對
設備進行配置和管理。
請在系統視圖下進行下列配置。
表4-18 配置HTTP 服務器的訪問限制
操作 命令
配置HTTP 服務器的訪問限制 ip http acl acl-number
取消對HTTP 服務器的訪問限制 undo ip http acl
缺省情況下，未配置HTTP 服務器的訪問限制。
僅ACL 中允許的IP 地址纔可以訪問HTTP 服務器。

表3-10 顯示系統狀態信息
操作 命令
顯示系統版本信息 display version
顯示詳細的軟件版本信息 vrbd
顯示系統時鐘 display clock
顯示終端用戶 display users [ all ]
顯示起始配置信息 display saved-configuration
顯示當前配置信息 display current-configuration
顯示調試開關狀態 display debugging [ interface interface-type
interface-number ] [ module-name ]
顯示當前視圖的運行配置 display this
顯示技術支持信息 display diagnostic-information
顯示剪貼板的內容 display clipboard
H3C SecPath 系列安全產品 操作手冊（基礎配置） 第3 章 Comware 的基本配置
操作 命令
顯示當前系統內存使用情況 display memory [ limit ]
顯示CPU 佔用率的統計信息 display cpu-usage [ configuration | number[ offset ] [ verbose ] [ from-device ] ]
設置CPU 佔用率統計的週期 cpu-usage cycle { 5sec | 1min | 5min | 72min }
以圖形方式顯示CPU 佔用率統計歷史
信息 display cpu-usage history [ task task-id ]

對插槽中的插卡進行拔出預處理 remove slot slot-id
取消拔出預處理操作 undo remove slot slot-id
顯示設備和插卡的信息（任意視圖） display device [ slot-id ]

配置防火牆網頁登陸
1. 配置防火牆缺省允許報文通過。
<H3C> system-view
[H3C] firewall packet-filter default permit

2. 爲防火牆的以太網接口（以GigabitEthernet0/0爲例）配置IP地址，並將接口加入到安全區域。
[H3C] interface GigabitEthernet0/0
[H3C-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0
[H3C-GigabitEthernet0/0] quit
[H3C] firewall zone trust
[H3C-zone-trust] add interface GigabitEthernet0/0
3. 爲PC配置IP地址。
假設PC的IP地址爲192.168.0.2。
4. 使用Ping命令驗證網絡連接性。
<H3C> ping 192.168.0.2
Ping命令成功！

5.添加登錄用戶
爲使用戶可以通過Web登錄，並且有權限對防火牆進行管理，必須爲用戶添加登錄帳戶並且賦予其權限。例如：建立一個帳戶名和密碼都爲admin，帳戶類型爲telnet，權限等級爲3的管理員用戶。
[H3C] local-user admin
[H3C-luser-admin] password simple admin
[H3C-luser-admin] service-type telnet
[H3C-luser-admin] level 3

在PC上啓動瀏覽器（建議使用IE5.0及以上版本），在地址欄中輸入IP地址“192.168.0.1”後回車，即可進入防火牆Web登錄頁面，使用之前創建的 admin帳戶登錄防火牆，單擊<Login>按鈕即可登錄。用戶可以通過“Language”下拉框選擇界面語言

內部主機通過域名區分並訪問對應的內部服務器組網應用
1)配置easy ip（不用配地址池，直接通過接口地址做轉換）
nat outbound acl-number

2)DNS MAP
nat dns-map domain-name global-addr
global-port [ tcp | udp ]

實例：

# 在Ethernet0/0/0 接口上配置FTP 及WWW內部服務器。
[H3C] interface ethernet0/0/0
[H3C-Ethernet0/0/0] ip address 1.1.1.1 255.0.0.0
[H3C-Ethernet0/0/0] nat outbound 2000
[H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 www inside 10.0.0.2
www
[H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.3
ftp
[H3C-Ethernet0/0/0] quit

# 配置訪問控制列表，允許10.0.0.0/8 網段訪問Internet。
[H3C] acl number 2000
[H3C-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255
[H3C-acl-basic-2000] rule 1 deny
# 配置ethernet1/0/0。
[H3C] interface ethernet1/0/0
[H3C-Ethernet1/0/0] ip address 10.0.0.1 255.0.0.0
加上如下配置後，內部主機也可以通過域名[url]www.zc.com[/url] 和ftp.zc.com 訪問其對應
的內部服務器。
# 配置域名與外部地址、端口號、協議類型之間的映射。
[H3C] nat dns-map [url]www.zc.com[/url] 1.1.1.1 80 tcp
[H3C] nat dns-map ftp.zc.com 1.1.1.1 21 tcp

此時外部主機可以通過域名[url]www.zc.com[/url] 和ftp.zc.com 訪問其對應的內部服務器。