H3C防火牆基礎配置1-登錄配置、安全域配置

1 登錄配置

 

添加管理類本地用戶

local-user test class manage  

  password simple string

  service-type {ftp|http|https|ssh|telnet|terminal}

 

添加網絡接入類本地用戶

local-user test2 class network

   password simple string

   service-type {advpn|ike|portal|ppp|sslvpn}

 

默認密碼admin/admin

配置認證方式

line console 0

  authentication-mode shceme

  user-role network-adimin

line vty 0 4

  authentication-mode scheme

  user-role network-adimin

 

line console 0

   authentication-mode password

   set authentication password simple password

 

配置telnet：

telnet server enable

line vty 0 4

  authentication-mode scheme  //或者protocol inbound {all|ssh|telnet}

  user-role network-adimin

 

2 配置安全域

2.1 安全域簡介

       V7防火牆默認安全域有Trust、DMZ、Untrust和Management，G1/0/0默認加入Management區域。此外，設備上所有接口都默認屬於Local區域，不需要將接口加入Local域。

 

security-zone name test

   import interface g1/0/1

 //將真正用於轉發的接口加入安全域，如聚合口、vlan虛接口、reth口等。

   import ip 192.168.1.0 24   //添加ipv4子網

   import interface g1/0/2 vlan 10 //二層口加入安全域時需要增加vlan參數

   import service-chain path path-id    //添加服務鏈成員

 

security-zone intra-zone default permit  //缺省情況下，同一安全域內報文過濾的缺省動作爲拒絕

display security-zone

 

2.2 安全域間實例

     安全域間實例用於指定安全控制策略（如包過濾策略、ASPF 策略、對象策略等）需要檢測的業務流的源安全域和目的安全域，它們分別描述了經過網絡設備的業務流的首個數據包要進入的安全域和要離開的安全域。在安全域間實例上應用安全控制策略可實現對指定的業務流進行安全控制策略檢查。

     有具體安全域的安全域間實例的匹配優先級高於 any 到 any 的安全域間實例。

Management 和 Local 安全域間之間的報文缺省被允許。

Management 和 Local 安全域間之間的報文只能匹配 Management 與 Local 安全域之間的安全域間實例。當安全域間實例上同時應用了對象策略和包過濾策略時，對象策略的優先級高於包過濾策略。

配置放行trust域到destination域的所有報文：

acl adv 3000

  rule permit ip

zone-pair security source trust destination untrust

  packet-filter 3000

dis zone-pair security

安全域配置實例

實驗案例：

目的：PC_3能ping通PC_5，但PC_5無法ping通PC_3

PC_3地址設置爲dhcp獲取，PC_5配置地址爲100.2.2.5，網關爲100.2.2.254

S5820V2：

dhcp server enable

dhcp server ip-pool vlan100

gateway-list 192.168.1.254

 network 192.168.1.0 mask 255.255.255.0

 address range 192.168.1.1 192.168.1.253

 dns-list 10.100.1.10

 quit

vlan 100

interface vlan 100

ip address 192.168.1.254 255.255.255.0

 dhcp server apply ip-pool vlan100

interface g1/0/1

  port access vlan 100

  quit

interface Ten1/0/51

  port link-mode route

  ip address 10.100.1.2 255.255.255.0

  quit

ip route-static 0.0.0.0 0.0.0.0 10.100.1.254

 

MSR36-20：

interface g0/0

ip address 200.2.2.254 255.255.255.0

interface g0/1

ip address 100.2.2.254 255.255.255.0

ip route-static 0.0.0.0 0.0.0.0 200.2.2.10

 

 

F1060-1：

interface g1/0/2

  ip address 200.2.2.10 24

interface g1/0/3

  ip address 10.100.1.254 24

ip route-static 0.0.0.0 0.0.0.0 200.2.2.254

ip route-static 192.168.1.0 0.0.0.255 10.100.1.2

將對應端口加入安全域：

security-zone name Trust           

 import interface GigabitEthernet1/0/3

security-zone name Untrust

 import interface GigabitEthernet1/0/2

配置放行trust域到destination域的所有報文：

acl adv 3000

  rule permit ip

zone-pair security source trust destination untrust

  packet-filter 3000

dis zone-pair security

 

拓展：

上述配置後，就PC_3可以單向ping通PC_5，但其他設備是無法ping通防火牆上配置的IP地址，防火牆也無法ping通其他設備的地址，原因是防火牆上的IP地址屬於local域，必須要配置local域與其他域之間的域間實例，才能ping通

 

配置其他域與local域的之間的報文，否則防火牆和其他設備無法ping通：

zone-pair security source Local destination Any

 packet-filter 3000

zone-pair security source Trust destination Local

 packet-filter 3000