最新H3C+防火墙配置命令.docx
《最新H3C+防火墙配置命令.docx》由会员分享,可在线阅读,更多相关《最新H3C+防火墙配置命令.docx(9页珍藏版)》请在冰豆网上搜索。
最新H3C+防火墙配置命令
H3C+防火墙配置命令
华为H3C防火墙配置命令
2009-03-2809:
28:
26
标签:
H3CF100S配置
172.18.100.1
255.255.255.0
255.255.255.0
初始化配置
〈H3C〉system-view
开启防火墙功能
[H3C]firewallpacket-filterenable
[H3C]firewallpacket-filterdefaultpermit
分配端口区域
[H3C]firewallzoneuntrust
[H3C-zone-trust]addinterfaceGigabitEthernet0/0
[H3C]firewallzonetrust
[H3C-zone-trust]addinterfaceGigabitEthernet0/1
工作模式
firewallmodetransparent透明传输
firewallmoderoute路由模式
http服务器
使能HTTP服务器undoiphttpshutdown
关闭HTTP服务器iphttpshutdown
添加WEB用户
[H3C]local-useradmin
[H3C-luser-admin]passwordsimpleadmin
[H3C-luser-admin]service-typetelnet
[H3C-luser-admin]level3
开启防范功能
firewalldefendall打开所有防范
切换为中文模式language-modechinese
设置防火墙的名称sysnamesysname
配置防火墙系统IP地址firewallsystem-ipsystem-ip-address[address-mask]
设置标准时间clockdatetimetimedate
设置所在的时区clocktimezonetime-zone-name{add|minus}time
取消时区设置undoclocktimezone
配置切换用户级别的口令superpassword[leveluser-level]{simple|cipher}
password
取消配置的口令undosuperpassword[leveluser-level]
缺缺省情况下,若不指定级别,则设置的为切换到3级的密码。
切换用户级别super[level]
直接重新启动防火墙reboot
开启信息中心info-centerenable
关闭信息中心undoinfo-centerenable
ftpserverenable
显示下次启动时加载的配置文件displaysaved-configuration[by-linenum]
显示系统本次启动及下次启动使用
的配置文件displaystartup
显示当前视图的配置displaythis
显示防火墙的当前的运行配置
displaycurrent-configuration[interface
interface-type[interface-number]|configuration
[isp|zone|interzone|radius-template|system|
user-interface]][by-linenum][|{begin|include|
exclude}string]
保存当前配置save[file-name|safely]
删除Flash中保存的下次启动时加载的配置文件resetsaved-configuration
配置防火墙工作在透明模式firewallmodetransparent
H3CSecPath系列安全产品操作手册(安全)第8章透明防火墙
8-6
操作命令
配置防火墙工作在路由模式firewallmoderoute
恢复防火墙的工作模式为缺省模式undofirewallmode
缺省情况下,防火墙工作在路由模式(route)下。
启动ARP表项自动学习功能firewallarp-learningenable
禁止ARP表项自动学习功能undofirewallarp-learningenable
缺省情况下,当防火墙工作在透明模式下时,防火墙启动ARP表项自动学习功能。
表8-9配置VLANID透传
操作命令
使能接口的VLANID透传功能bridgevlanid-transparent-transmitenable
禁止接口的VLANID透传功能undobridgevlanid-transparent-transmitenable
缺省情况下,禁止接口的VLANID透传功能。
使能ARPFlood攻击防范功能firewalldefendarp-flood[max-rate
rate-number]
关闭ARPFlood攻击防范功能undofirewalldefendarp-flood[max-rate]
缺省为关闭ARPFlood攻击防范功能。
ARP报文的最大连接速率范围为1~
1,000,000,缺省为100。
SecPath系列安全产品支持以HTTP方式登录到系统中,并通过Web管理界面对系
统进行配置和管理。
在使用Web界面登录到系统前,必须先使能HTTP服务器功能。
请在系统视图下进行下列配置。
H3CSecPath系列安全产品操作手册(基础配置)第4章系统维护管理
4-17
表4-17使能/关闭HTTP服务器
操作命令
使能HTTP服务器undoiphttpshutdown
关闭HTTP服务器iphttpshutdown
缺省情况下,系统使能HTTP服务器。
仅当登录用户具有Telnet的服务类型时(service-typetelnet),才允许登录HTTP
服务器,且不同等级的用户在Web界面中的可配置项也会不同。
配置HTTP服务器的访问限制
可以配置HTTP服务器,使仅具有特定IP地址的用户才可以登录HTTP服务器,对
设备进行配置和管理。
请在系统视图下进行下列配置。
表4-18配置HTTP服务器的访问限制
操作命令
配置HTTP服务器的访问限制iphttpaclacl-number
取消对HTTP服务器的访问限制undoiphttpacl
缺省情况下,未配置HTTP服务器的访问限制。
仅ACL中允许的IP地址才可以访问HTTP服务器。
表3-10显示系统状态信息
操作命令
显示系统版本信息displayversion
显示详细的软件版本信息vrbd
显示系统时钟displayclock
显示终端用户displayusers[all]
显示起始配置信息displaysaved-configuration
显示当前配置信息displaycurrent-configuration
显示调试开关状态displaydebugging[interfaceinterface-type
interface-number][module-name]
显示当前视图的运行配置displaythis
显示技术支持信息displaydiagnostic-information
显示剪贴板的内容displayclipboard
H3CSecPath系列安全产品操作手册(基础配置)第3章Comware的基本配置
3-5
操作命令
显示当前系统内存使用情况displaymemory[limit]
显示CPU占用率的统计信息displaycpu-usage[configuration|number
[offset][verbose][from-device]]
设置CPU占用率统计的周期cpu-usagecycle{5sec|1min|5min|72min}
以图形方式显示CPU占用率统计历史
信息displaycpu-usagehistory[tasktask-id]
对插槽中的插卡进行拔出预处理removeslotslot-id
取消拔出预处理操作undoremoveslotslot-id
显示设备和插卡的信息(任意视图)displaydevice[slot-id]
配置防火墙网页登陆
1.配置防火墙缺省允许报文通过。
system-view
[H3C]firewallpacket-filterdefaultpermit
2.为防火墙的以太网接口(以GigabitEthernet0/0为例)配置IP地址,并将接口加入到安全区域。
[H3C]interfaceGigabitEthernet0/0
[H3C-GigabitEthernet0/0]ipaddress192.168.0.1255.255.255.0
[H3C-GigabitEthernet0/0]quit
[H3C]firewallzonetrust
[H3C-zone-trust]addinterfaceGigabitEthernet0/0
3.为PC配置IP地址。
假设PC的IP地址为192.168.0.2。
4.使用Ping命令验证网络连接性。
ping192.168.0.2
Ping命令成功!
后
5.添加登录用户
为使用户可以通过Web登录,并且有权限对防火墙进行管理,必须为用户添加登录帐户并且赋予其权限。
例如:
建立一个帐户名和密码都为admin,帐户类型为telnet,权限等级为3的管理员用户。
[H3C]local-useradmin
[H3C-luser-admin]passwordsimpleadmin
[H3C-luser-admin]service-typetelnet
[H3C-luser-admin]level3
在PC上启动浏览器(建议使用IE5.0及以上版本),在地址栏中输入IP地址“192.168.0.1”后回车,即可进入防火墙Web登录页面,使用之前创建的admin帐户登录防火墙,单击按钮即可登录。
用户可以通过“Language”下拉框选择界面语言
内部主机通过域名区分并访问对应的内部服务器组网应用
1)配置easyip(不用配地址池,直接通过接口地址做转换)
natoutboundacl-number
2)DNSMAP
natdns-mapdomain-nameglobal-addr
global-port[tcp|udp]
实例:
#在Ethernet0/0/0接口上配置FTP及WWW内部服务器。
[H3C]interfaceethernet0/0/0
[H3C-Ethernet0/0/0]ipaddress1.1.1.1255.0.0.0
[H3C-Ethernet0/0/0]natoutbound2000
[H3C-Ethernet0/0/0]natserverprotocoltcpglobal1.1.1.1wwwinside10.0.0.2
www
[H3C-Ethernet0/0/0]natserverprotocoltcpglobal1.1.1.1ftpinside10.0.0.3
ftp
[H3C-Ethernet0/0/0]quit
#配置访问控制列表,允许10.0.0.0/8网段访问Internet。
[H3C]aclnumber2000
[H3C-acl-basic-2000]rule0permitsource10.0.0.00.0.0.255
[H3C-acl-basic-2000]rule1deny
#配置ethernet1/0/0。
[H3C]interfaceethernet1/0/0
[H3C-Ethernet1/0/0]ipaddress10.0.0.1255.0.0.0
此时外部主机可以通过域名和访问其对应的内部服务器。
加上如下配置后,内部主机也可以通过域名和访问其对应
的内部服务器。
#配置域名与外部地址、端口号、协议类型之间的映射。
[H3C]natdns-map1.1.1.180tcp
[H3C]natdns-map1.1.1.121tcp