思科防火墙基本配置命令

一、基本配置

#hostname name //名字的设置

#interface gigabitethernet0/0 //进入接口0/0

#nameif outside //配置接口名为outside

#security-level 0 //设置安全级别。 级别从0--100，级别越高安全级别越高 #ip address 218.xxx.xxx.xxx 255.255.255.248 //设置外部ip地址 #no shutdown

#interface ethernet0/1 //进入接口0/1

#nameif inside //配置接口名为inside

#security-level 100 //设置安全级别。 级别从0--100，级别越高安全级别越高 #ip address 192.168.10.1 255.

Juniper防火墙基本命令 常用查看命令 Get int查看接口配置信息

Get int ethx/x查看指定接口配置信息 Get mip查看映射ip关系 Get route查看路由表 Get policy id x查看指定策略

Get nsrp查看nsrp信息，后可接参数查看具体vsd组、端口监控设置等 Get per cpu de查看cpu利用率信息

Get per sessionde查看每秒新建会话信息 Get session查看当前会话信息，后可匹配源地址、源端口、目的地址、目的端口、协议等选项 Get session info查看当前会话数量

Get system查看系统信息，包括当前os版本，接口信息，设备运行时间等 Get chaiss查看设备及板卡序列号，查看设备运行温度 Get counter stat查看所有接口计数信息 Get counter stat ethx/x查看指定接口计数信息

Get counter flow zone trust/untrust查看指定区域数据流信息

Get counter screen zone untrust/trust查看指定区域攻击防护统计信息

增加一台服务器具体要求。新增一台服务器地址：10.165.127.15/255.255.255.128。需要nat转换成公网地址16.152.91.223 映射出去，并对外开通这台服务器的80端口。

在对外pix525上面增加如下： access-list acl_out permit tcp any host 16.52.91.223 eq www //开放外网对新服务器 80端口

static (inside,outside) 16.152.91.223 10.165.127.15 netmask 255.255.255.255 0 0 ////外高桥新服务器地址转换16.152.91.223

可是为什么转换后，不能访问16.52.91.223的网页，但确可以ping通16.52.91.223，但是访问10.165.127.15的主页是正常的？？

具体配置如下： pix-525> enable Password: ***** pix-525# sh run : Saved :

PIX Version 6.3(5)

interface ethernet0 100full interface ethernet1 100full

name

配置设备介绍：（只为做实验实际应用请根据自己具体情况更改相关参数即可） 核心交换机 4507

提供VLAN3 网关地址：192.168.3.254 提供 DNS 服务器连接：192.168.0.1

接入交换机 2960

提供 VLAN3 TURNK 连接， 可用IP 地址为

192.168.3.0－192.168.3.240 掩码：255.255.255.0 网关：192.168.3.254 DNS: 192.168.0.1

内网实验防火墙 CISCO ASA 5510 E0/0 IP:192.168.3.234 E0/1 IP 10.1.1.1

实现配置策略

1. 动态内部 PC1 DHCP 自动获得IP 地址，可访问INTERNET，并PING 通外部网关。 PC1 Ethernet adapter 本地连接:

Connection-specific DNS Suffix . : gametuzi Description . . .

配置设备介绍：（只为做实验实际应用请根据自己具体情况更改相关参数即可） 核心交换机 4507

提供VLAN3 网关地址：192.168.3.254 提供 DNS 服务器连接：192.168.0.1

接入交换机 2960

提供 VLAN3 TURNK 连接， 可用IP 地址为

192.168.3.0－192.168.3.240 掩码：255.255.255.0 网关：192.168.3.254 DNS: 192.168.0.1

内网实验防火墙 CISCO ASA 5510 E0/0 IP:192.168.3.234 E0/1 IP 10.1.1.1

实现配置策略

1. 动态内部 PC1 DHCP 自动获得IP 地址，可访问INTERNET，并PING 通外部网关。 PC1 Ethernet adapter 本地连接:

Connection-specific DNS Suffix . : gametuzi Description . . .

华为H3C防火墙配置命令

2009-03-28 09:28:26

标签：华为 H3C 防火墙配置

H3CF100S配置

172.18.100.1

255.255.255.0

255.255.255.0

初始化配置

〈H3C〉system-view

开启防火墙功能

[H3C]firewall packet-filter enable

[H3C]firewall packet-filter default permit

分配端口区域

[H3C] firewall zone untrust

[H3C-zone-trust] add interface GigabitEthernet0/0

[H3C] firewall zone trust

[H3C-zone-trust] add interface GigabitEthernet0/1

工作模式

firewall mode transparent 透明传输

firewall mode route 路由模式

http 服务器

使能HTTP 服务器 undo ip http shutdown

关闭HTTP 服务器 ip http shutdown

添加WEB用户

[H3C] local-user admin

[H3C-luser-admin] pas

表29-1：手动同步配置命令列表；HA同步信息show命令手动同步命令；配置信息showconfigurationexe；文件信息showfileexechasyncfi；ARP表项showarpexechasyncrd；DNS配置信息showiphostsexecha；DHCP配置信息showdhcpexechasy；MAC地址表showmacexecha

表 29-1：手动同步配置命令列表 HA 同步信息 show 命令 手动同步命令

配置信息show configuration exec ha sync configuration 文件信息 show file exec ha sync file file-name ARP 表项show arp exec ha sync rdoarp

DNS 配置信息show ip hosts exec ha sync rdodns DHCP 配置信息show dhcp exec ha sync rdodhcp MAC 地址表show mac exec ha sync rdo mac showpki key PKI 配置信息

showpki trust-domain exec ha sync rdopk

表29-1：手动同步配置命令列表；HA同步信息show命令手动同步命令；配置信息showconfigurationexe；文件信息showfileexechasyncfi；ARP表项showarpexechasyncrd；DNS配置信息showiphostsexecha；DHCP配置信息showdhcpexechasy；MAC地址表showmacexecha

表 29-1：手动同步配置命令列表 HA 同步信息 show 命令 手动同步命令

配置信息show configuration exec ha sync configuration 文件信息 show file exec ha sync file file-name ARP 表项show arp exec ha sync rdoarp

DNS 配置信息show ip hosts exec ha sync rdodns DHCP 配置信息show dhcp exec ha sync rdodhcp MAC 地址表show mac exec ha sync rdo mac showpki key PKI 配置信息

showpki trust-domain exec ha sync rdopk

华为H3C防火墙配置命令

2009-03-28 09:28:26

标签：华为 H3C 防火墙配置

H3CF100S配置

172.18.100.1

255.255.255.0

255.255.255.0

初始化配置

〈H3C〉system-view

开启防火墙功能

[H3C]firewall packet-filter enable

[H3C]firewall packet-filter default permit

分配端口区域

[H3C] firewall zone untrust

[H3C-zone-trust] add interface GigabitEthernet0/0

[H3C] firewall zone trust

[H3C-zone-trust] add interface GigabitEthernet0/1

工作模式

firewall mode transparent 透明传输

firewall mode route 路由模式

http 服务器

使能HTTP 服务器 undo ip http shutdown

关闭HTTP 服务器 ip http shutdown

添加WEB用户

[H3C] local-user admin

[H3C-luser-admin] pas

调度数据网迪普防火墙开局指导书

迪普防火墙放置在PE路由器和非实时交换机之间

1、设备缺省的管理口为 meth0/0，IP 地址为192.168.0.1。

初次使用本系统时可用缺省用户登录，用户名是 admin，密码是admin。

2、进入接口管理界面，将连接有网线的网口 改成2层access模式，vlan 1 ；默认为3层；

3、进入vlan 接口管理界面，在vlan1-if上将管理地址配置上去

4、进入静态路由界面，添加确认网关

下一跳出口接口要选择vlan-if接口，非物理接口，一般选择自动。

5、进入安全域界面，将上联路由器的物理接口添加到untrust区域，将下联交换机的物理接口添加到trust区域。

注，缺省情况下 trust区域能够访问untrust区域，untrust区域不能访问trust区域，即高等级区域能否访问低等级区域。 6、防火墙策略

6.1、添加ip地址对象组，无特殊限制可使用默认的ipv4-all；

6.2、进入防火墙-包过滤策略界面，增加untrust 到trust区域的规则

可无视防火墙默认的约定，增加trust到untrust的防火墙全通的规则，从而确保双向通讯。

7、保存配置