h3c防火墙双出口配置原理

1.路由器防火墙配置指导

防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问，另一方面可以作为一个访问因特网的权限控制关口，控制内部网络用户对因特网进行Web访问或收发E-mail等。通过合理的配置防火墙可以大大提高网络的安全性和稳定性。防火墙配置指导防火墙的基本配置顺序如下： 首先使能防火墙：

1.ipv4：系统视图下输入 firewall enable

ipv6：系统视图下输入 firewall ipv6 enable 然后配置acl

2.acl number 2000

rule 0 permit ip source 192.168.1.0 0.0.0.255 rule 1 deny ip

3.然后在接口上根据需要应用防火墙

interface Ethernet0/1 port link-mode route

firewall packet-filter2000 inbound ip address 5.0.0.2 255.255.255.0 基础配置举例：

如前所说，在使能了防火墙后，就要按需求配置acl并应用在接口上，下面给出几个常见的需求的配置方法：

1.禁止内网访问外网的某些地址

用途：限制上网。比如禁止访问100.0

安全区域

2.1.1 安全区域的概念

安全区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于路由器的主要特征。

对于路由器，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进行一定程度的安全检查，也是在接口上完成的。这样，一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查（入接口的安全检查和出接口的安全检查），以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙来说不很适合，因为防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害，因而有着明确的内外之分。

当一个数据流通过secpath防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于这种安全级别上的差别，再采用在接口上检查安全策略的方式已经不适用，将造成用户在配置上的混乱。因此，secpath防火墙提出了安全区域的概念。

一个安全区域包括一个或多个接口的组合，具有一个安全级别。在设备内部，安全级别通过0～100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区域。只有当数据在分属于两个不同安全级别的区域（或区域包含的接口）之间流动的时候，才会激

初始化配置

〈H3C〉system-view 开启防火墙功能

[H3C]firewall packet-filter enable

[H3C]firewall packet-filter default permit 分配端口区域

[H3C] firewall zone untrust

[H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust

[H3C-zone-trust] add interface GigabitEthernet0/1 工作模式

firewall mode transparent 透明传输 firewall mode route 路由模式 http 服务器

使能HTTP 服务器 undo ip http shutdown 关闭HTTP 服务器 ip http shutdown 添加WEB用户

[H3C] local-user admin

[H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] l

测试手册（H3C NGFW）

Copyright ?2015杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。本文档中的信息可能变动，恕不另行通知。

目录

T01设备自身安全性 ····································································································· 2 T02访问控制 ············································································································ 13 T03 NAT功能 ············································································································ 25 T04日志功能 ····································

华为H3C防火墙配置命令

2009-03-28 09:28:26

标签：华为 H3C 防火墙配置

H3CF100S配置

172.18.100.1

255.255.255.0

255.255.255.0

初始化配置

〈H3C〉system-view

开启防火墙功能

[H3C]firewall packet-filter enable

[H3C]firewall packet-filter default permit

分配端口区域

[H3C] firewall zone untrust

[H3C-zone-trust] add interface GigabitEthernet0/0

[H3C] firewall zone trust

[H3C-zone-trust] add interface GigabitEthernet0/1

工作模式

firewall mode transparent 透明传输

firewall mode route 路由模式

http 服务器

使能HTTP 服务器 undo ip http shutdown

关闭HTTP 服务器 ip http shutdown

添加WEB用户

[H3C] local-user admin

[H3C-luser-admin] pas

华为H3C防火墙配置命令

2009-03-28 09:28:26

标签：华为 H3C 防火墙配置

H3CF100S配置

172.18.100.1

255.255.255.0

255.255.255.0

初始化配置

〈H3C〉system-view

开启防火墙功能

[H3C]firewall packet-filter enable

[H3C]firewall packet-filter default permit

分配端口区域

[H3C] firewall zone untrust

[H3C-zone-trust] add interface GigabitEthernet0/0

[H3C] firewall zone trust

[H3C-zone-trust] add interface GigabitEthernet0/1

工作模式

firewall mode transparent 透明传输

firewall mode route 路由模式

http 服务器

使能HTTP 服务器 undo ip http shutdown

关闭HTTP 服务器 ip http shutdown

添加WEB用户

[H3C] local-user admin

[H3C-luser-admin] pas

H3C防火墙安全加固之设备篇（一）

防火墙作为保障网络安全的基础设备，往往部署在网络的边界位置，起到隔离不同安全区域的作用，这使得防火墙成为保护内部网络的一道屏障，此时防火墙作为重要的网络节点，自身一旦被攻破，用户的内部网络便暴露在攻击者面前，所以防火墙自身的安全需要引起我们的重视。今天我们就来了解一下H3C防火墙的常用安全加固手段。

对于网络维护人员而言，最常接触并最应该重视的就是防火墙的口令。H3C防火墙的缺省用户名密码通常为h3c/h3c或者admin/admin, 由于缺省密码的安全级别非常低，在完成初始化部署后，必须修改缺省账户的密码或者禁用缺省账号。这里通常建议密码的长度至少为8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类，每类多于4个，账户口令的生存期要低于90天，并实效前提前7天发出告警。例如在设备上可以通过以下方式设定口令规范：

system-view

[H3C] password-control enable [H3C] password-control length 8

[H3C] password-control composition type-number 2 type-length 4 [H3C]

H3C 双互联网接入负载分担及备份【解决方案及配置实例】

#

version 5.20, Alpha 1011 #

sysname H3C #

bfd echo-source-ip 1.1.1.1 # acl number 3000

rule 0 permit ip source 192.168.1.0 0.0.0.255 acl number 3001

rule 0 permit ip source 192.168.2.0 0.0.0.255 #

interface Ethernet0/1/0 port link-mode route

ip address 192.168.100.254 255.255.255.0 ip policy-based-route internet #

interface Ethernet0/1/1 port link-mode route

ip address 10.10.10.1 255.255.255.0 #

interface Ethernet0/1/2 port link-mode route

ip address 10.10.20.1 255.25

H3C防火墙路由器配置内部服务器多个公网ip

H3C防火墙路由器配置公网静态IP上网

2011-01-12 08:28:11 阅读140 评论0 订阅

【杭州IT外包服务】【杭州硬盘数据恢复】【杭州电脑维修】【杭州笔记本维修】 system-view

dns server enable

dns server x.x.x.x //设置DNS地址

firewall packet-filter enable

firewall packet-filter default permit

quit

interface Ethernet0/0 // 内网接口地址

ip address 192.168.1.1 255.255.255.0

quit

interface Ethernet0/1 ip address x.x.x.x x.x.x.x //公网IP和子网掩码

quit

firewall zone trust

add interface Ethernet0/0

set priority 85

quit

firewall

H3C SecPath U200-CS web界面设置vpn L2TP步骤：

在左边点击导航菜单中的虚拟专用网，在子菜单中选中L2TP。接着在右边输入的信息如下

L2TP配置

L2TP用户组：输入公司或者单位的名称，比如ncjk 对端隧道名称：空 本端隧道名称：空 隧道验证：禁用 隧道验证密码：空

PPP认证配置

PPP认证方式：CHAP

ISP域名：system 也可以新建一个

PPP地址配置

PPP Server 地址/掩码：192.168.2.1/255.255.255.0 这个地址是防火墙设置的虚拟服务器的IP

地址，可以和本地局域网的ip地址不在一个段。

PPP Server所属安全域：trust 指192.168.2.0 段

用户地址：pool 10 （点击新建，然后输入地址池名称pool 10地址段

192.168.2.2-192.168.2.254）

强制分配地址：禁用 画面如图1 图2 图1

图2

下面是拨入的用户的隧道信息

接下来需要在功能菜单中选择用户管理中的本地用户，创建远端拨入用户的信息，点击新建，然后输入用户名如user1，访问等级如management，用户类型选择ppp。下图是新建的用户。

用代码