关于多OU的AD认证环境下的防火墙配置范例

防火墙作为出口网关，联通光纤、电信光纤、电信ADSL出口，防火墙接H3C二层交换机，H3C二层交换机接内网服务器和下面的二层交换机（内网用户都接这里）。

由于客户是静态设置地址，所以这里是没有DHCP配置的。

一、上网设置：#域配置zone name Management id 0priority 100zone name Local id 1priority 100zone name Trust id 2priority 85zone name DMZ id 3priority 50zone name Untrust id 4priority 5import interface Dialer1#内网网关ip address 192.168.100.254 255.255.0.0port link-mode routenat outbound 3090#电信出口port link-mode routeip address 219.137.182.2xx 255.255.255.248nat outbound 2000 address-group 1#联通出口port link-mode routeip address 218.107.10.xx 255.255.255.248nat outbound 2000 address-group 2#PPPOE电信ADSLport link-mode routepppoe-client dial-bundle-number 1#设定拨号访问组的拨号控制列表dialer-rule 1 ip permit#PPPOE配置interface Dialer1nat outbound 2000link-protocol pppppp chap userppp chap password cipher$c$3$cft8cT2sYcO4XYUDKRgfw0R0HOSTSDh69HbN KCf9IdG。

东软防火墙配置手册版本历史目录第一章文档说明 (4)1.1 编写目的 (4)1.2 项目背景 (4)第二章配置命令 (5)2.1 通过WEB登录 (5)2.2 虚拟系统 (6)2.2.1 查看虚拟系统信息 (6)2.2.2 创建一个虚拟系统 (6)2.2.3 删除一个虚拟系统 (7)2.2.4 添加描述 (8)2.2.5 启用/ 禁用虚拟系统 (8)2.2.6 切换虚拟系统 (9)2.3 制定安全策略 (10)2.3.1 IP包过滤 (10)2.3.2 安全策略流程 (12)2.4 地址转换NA T (14)2.5 高可用性HA (15)第一章文档说明1.1 编写目的编写该手册的主要目的是针对贵州二次安防项目工程技术人员提供东软防火墙基本的操作规范，同时，也可以作为贵州二次安防项目东软防火墙维护人员的参考阅读手册。

1.2 项目背景本项目是贵州电网公司根据《电力二次系统安全防护规定》（电监会5号令）、《电力系统安全防护总体方案》（国家电力监管委员会[2006]34号文及配套文件）和《南方电网电力二次系统安全防护技术实施规范》等电力二次系统安全防护相关规程规范的要求完成贵州电网公司省/地两级调度中心及220kV及以上电压等级变电站的生产控制大区业务系统接入电力调度数据网系统工程。

通过本项目的实施建立健全贵州电网电力二次系统安全防护体系。

项目的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全，在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害，特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击，能够减轻严重自然灾害造成的损害，并能在系统遭到损害后，迅速恢复绝大部分功能，防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故，保障贵州电网安全稳定运行。

第二章配置命令2.1 通过WEB登录1. 在可通过网络连接到NetEye 的计算机上打开Web 浏览器。

使用域组策略/脚本统一配置防火墙目前企业内网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置；统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法；1 域组策略统一配置防火墙使用域管理员登录域控制器，打开“管理工具>组策略管理”；在目标组织单位右击，新建GPO；1.1 禁用客户端防火墙1.1.1 域策略配置右击目标OU的GPO，选择编辑GPO，选择“计算机配置>策略>Windows设置>安全设置>系统服务”；选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务，并禁用该俩项服务；结果如下；1.1.2 查看客户端结果重启XP客户端查看结果重启Win7客户端查看结果1.2 开放客户端防火墙端口（注：首先将上面组策略中的系统服务设置还原在进行下一步的配置）1.2.1 域策略配置右击目标GPO选择编辑，选择“ 计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”，下面的子集即为客户端防火墙配置项目，此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集，其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用；组策略设置描述Windows 防火墙: 保护所有网络连接用于指定所有网络连接都已启用Windows 防火墙。

Windows 防火墙: 不允许例外用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。

Windows 防火墙: 定义程序例外用于通过应用程序文件名定义已添加到例外列表的通信。

Windows 防火墙: 允许本地程序例外用于启用程序例外的本地配置。

实验九、防火墙混合模式配置实验目的1.了解什么是混合模式2.了解如何配置防火墙为混合模式应用环境混合模式即相当于防火墙工作于既工作于路由模式，又工作于透明模式。

实际应用环境中，此类防火墙应用一般最为广泛。

ISP分配外部地址，内部为私有地址，服务器区域和内部地址为同一网段。

这样，内部区域和服务器区域为透明，内部区域和外部区域为路由，服务器区域和外部区域也是路由。

防火墙处于混合工作模式。

实验设备1.防火墙设备一台2.Console线一条3.交叉网络线三条4.直通网络线一条5.PC机三台实验拓扑实验要求1.防火墙初始配置2.配置网络对象3.设置路由及地址转换策略4.配置安全规则实验步骤防火墙初始配置在防火墙的出厂状态下，启动命令行配置模式，进行简单初始配置，如下：# ifconfig if1 192.168.1.77/24# adminhost add 192.168.1.10# apply# save将PC机连接在IF1上，地址配置为192.168.1.10，启动图形化界面进行后续配置。

防火墙端口设置本实验中将LAN（if1）和DMZ（if2）启动为网桥模式，而W AN口与LAN和DMZ 均呈现出路由模式，这样内网和DMZ区呈现出透明的工作模式，而对外网口均为不可见模式。

（本实验将在外网口启动NA T功能）使用前面介绍的方法对防火墙的接口进行IP地址的配置，如下所示：防火墙网桥功能启动我们用前面实验使用的方式启动网桥功能，并将LAN和DMZ口添加进来。

如下所示：使用应用按钮和保存按钮将设置应用在防火墙系统中，并保存配置。

配置网络对象根据拓扑图，我们定义三个网络对象，分别与LAN、DMZ、WAN主机对应。

按照前面介绍的方式配置完成之后得到如下结果界面。

设置路由及地址转换策略我们仍延续实验八的设置目标，将内网的PC1地址动态转换为外网口地址；将DMZ区服务器的地址静态转换为ISP分配的公网地址（假设本实例选择173.24.33.12）。

如何配置防火墙混合工作模式案例一：＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋注：缺省访问权限都允许的情况下，完成如下的配置即可具体的访问控制配置过程参考访问控制操作篇此环境中由路由器完成NAT（源地址转换）功能以实现共享上网＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋〖配置相应网口的工作模式以及IP地址〗TopsecOS# network interface eth0 no switchportTopsecOS# network interface eth0 ip add 192.168.7.165 mask 255.255.255.0 TopsecOS# network interface eth0 no shutdownTopsecOS# network interface eth1 switchportTopsecOS# network interface eth1 switchport mode accessTopsecOS# network interface eth1 switchport access-vlan 1TopsecOS# network interface eth1 no shutdownTopsecOS# network interface eth2 switchportTopsecOS# network interface eth2 switchport mode accessTopsecOS# network interface eth2 switchport access-vlan 1TopsecOS# network interface eth2 no shutdown配置完毕TopsecOS# network interface vlan.1 no shutdown配置完毕〖配置缺省路由〗TopsecOS# network route add dst 0.0.0.0/0 gw 192.168.7.1建议在此不要选择连接端口，让系统自动选择即可〖简单的配置各个网口区域的缺省策略后即可正常通讯〗TopsecOS# define area add name area_eth0 attribute 'eth0 ' access on TopsecOS# define area add name area_eth1 attribute 'eth1 ' access on TopsecOS# define area add name area_eth2 attribute 'eth2 ' access on++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++案例二：＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋注：缺省访问权限都允许的情况下，完成如下的配置即可具体的访问控制配置过程参考访问控制操作篇＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋＋〖配置相应网口的工作模式以及IP地址〗TopsecOS# network interface eth0 no switchportTopsecOS# network interface eth0 ip add 192.168.7.165 mask 255.255.255.0 TopsecOS# network interface eth0 no shutdownTopsecOS# network interface eth1 switchportTopsecOS# network interface eth1 switchport mode TrunkTopsecOS# network interface eth1 switchport trunk encapsulation dot1q TopsecOS# network interface eth1 switchport trunk native-vlan 1 TopsecOS# network interface eth1 switchport access-vlan 10TopsecOS# network interface eth1 switchport trunk allowed-vlan 1-1000 TopsecOS# network interface eth1 no shutdownTopsecOS# network interface eth2 switchportTopsecOS# network interface eth2 switchport mode accessTopsecOS# network interface eth2 switchport trunk encapsulation dot1q TopsecOS# network interface eth2 switchport trunk native-vlan 1 TopsecOS# network interface eth2 switchport access-vlan 30TopsecOS# network interface eth2 switchport trunk allowed-vlan 1-1000 TopsecOS# network interface eth2 no shutdownTopsecOS# network route add dst 0.0.0.0/0 gw 192.168.7.1〖简单的配置各个网口区域的缺省策略后即可正常通讯〗TopsecOS# define area add name area_eth0 attribute 'eth0 ' access on TopsecOS# define area add name area_eth1 attribute 'eth1 ' access on TopsecOS# define area add name area_eth2 attribute 'eth2 ' access on。

防火墙LDAP配置公司防火墙LDAP配置1、在全局属性中启用LDAP。

2、创建DC的Host对象：3、新建LDAP Account:Login DN中输入域的DN信息，此处为：cn=administrator,cn=users,DC=sino,DC=intra Password中输入域管理员的密码。

在“Encryption”中，不用选择SSL加密。

在兼容早期版本中选择DC。

在“Objects Management”中，点击“Fetch branches”，系统读取到的LDAP数据如下图所示，由于没有读取到“信诺时代”的OU，我们需要手动修改为下图：把“Users’ default values”修改为“Use user template”。

4、验证SmartDashboard集成选择“Object Tree”下的“Users”选项卡，双击LDAP Account“MS_AD”，会展开为intra――sino――users――1.信诺时代，双击“1.信诺时代”的OU，会读取到该OU下的用户，如下图：可以看到CRMVPN这个Group了。

5、在SmartDirectory中配置AD集成在Users 标签下的Templates中，右键新建“New Template”。

Authentication方式选择“Check Point Password”，其余各项保持默认值。

新建LDAP Group，Account选择“MS_AD”这个LDAP Account，由于只允许CRMVPN这个Group的用户允许使用AD账户来访问SSL VPN，所以，我们选择“Only Group in branch ”,并且配置为“CN=CRMVPN,OU=1.信诺时代,DC=sino,DC=intra”。

6、配置SSL VPN登录7、经测试，使用CRMVPN组中的AD帐号，可以成功登录SSL VPN。

h3c防火墙怎么样设置h3c防火墙设置是怎么样的呢?想让防火墙更有效的防护我的h3c，该怎么办呢?下面由店铺给你做出详细的h3c防火墙设置介绍!希望对你有帮助!h3c防火墙设置一：1、配置要求1)防火墙的E0/2接口为TRUST区域，ip地址是：192.168.254.1/29;2)防火墙的E1/2接口为UNTRUST区域，ip地址是：202.111.0.1/27;3)内网服务器对外网做一对一的地址映射，192.168.254.2、192.168.254.3分别映射为202.111.0.2、202.111.0.3;4)内网服务器访问外网不做限制，外网访问内网只放通公网地址211.101.5.49访问192.168.254.2的1433端口和192.168.254.3的80端口。

2、防火墙的配置脚本如下dis cur#sysname H3CF100A#super password level 3 cipher 6aQ>Q57-$.I)0;4:\(I41#firewall packet-filter enablefirewall packet-filter default permit#insulate#nat static inside ip 192.168.254.2 global ip 202.111.0.2nat static inside ip 192.168.254.3 global ip 202.111.0.3#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user net1980password cipher ######service-type telnetlevel 2#aspf-policy 1detect h323detect sqlnetdetect rtspdetect httpdetect smtpdetect ftpdetect tcpdetect udp#object address 192.168.254.2/32 192.168.254.2 255.255.255.255object address 192.168.254.3/32 192.168.254.3 255.255.255.255#acl number 3001description out-insiderule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0 destination-port eq 1433rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0 destination-port eq wwwrule 1000 deny ipacl number 3002description inside-to-outsiderule 1 permit ip source 192.168.254.2 0rule 2 permit ip source 192.168.254.3 0rule 1000 deny ip#interface Aux0async mode flow#interface Ethernet0/0shutdown#interface Ethernet0/1shutdown#interface Ethernet0/2speed 100duplex fulldescription to serverip address 192.168.254.1 255.255.255.248firewall packet-filter 3002 inboundfirewall aspf 1 outbound#interface Ethernet0/3shutdown#interface Ethernet1/0shutdown#interface Ethernet1/1shutdown#interface Ethernet1/2speed 100duplex fulldescription to internetip address 202.111.0.1 255.255.255.224 firewall packet-filter 3001 inbound firewall aspf 1 outboundnat outbound static#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/2set priority 85#firewall zone untrustadd interface Ethernet1/2set priority 5#firewall zone DMZadd interface Ethernet0/3set priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#ip route-static 0.0.0.0 0.0.0.0 202.111.0.30 preference 60 #user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#h3c防火墙设置二：1、可以找一下买给你设备的人，让他给你找人来上门服务。

1 典型配置案例导读H3C防火墙典型配置案例集共包括6个文档，介绍了防火墙产品常用特性的典型配置案例，包含组网需求、配置步骤、验证配置和配置文件等内容。

1.1 适用款型及软件版本本手册所描述的内容适用于防火墙产品的如下款型及版本：款型软件版本M9006/M9010/M9104 Version 7.1.051, Ess 9105及以上1.2 内容简介典型配置案例中特性的支持情况与产品的款型有关，关于特性支持情况的详细介绍，请参见《H3C SecPath M9000多业务安全网关配置指导》和《H3C SecPath M9000多业务安全网关命令参考》。

手册包含的文档列表如下：编号名称1H3C 防火墙GRE over IPsec虚拟防火墙典型配置案例(V7)2H3C 防火墙IPsec典型配置案例(V7)3H3C 防火墙NAT444典型配置案例(V7)4H3C 防火墙NAT典型配置案例(V7)5H3C 防火墙基于ACL包过滤策略的域间策略典型配置案例(V7)6H3C 防火墙基于对象策略的域间策略典型配置案例(V7)H3C 防火墙GRE over IPsec虚拟防火墙典型配置案例Copyright © 2014 杭州华三通信技术有限公司版权所有，保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

本文档中的信息可能变动，恕不另行通知。

目录1 简介 (1)2 配置前提 (1)3 配置举例 (1)3.1 组网需求 (1)3.2 配置思路 (2)3.3 使用版本 (2)3.4 配置注意事项 (2)3.5 配置步骤 (2)3.5.1 M9000的配置 (2)3.5.2 FW A的配置 (6)3.5.3 FW B的配置 (8)3.6 验证配置 (9)3.7 配置文件 (12)1 简介本文档介绍使用GRE over IPSec 虚拟防火墙的配置案例。

防火墙安全策略配置
一、防火墙设置外网不能访问内网的方法：
1、登录到天融信防火墙集中管理器;
2、打开“高级管理”→“网络对象”→“内网"，在右边窗口空白处点击右键，在弹出的快捷菜单中选择“定义新对象”→“子网”，填入子网名称（自己命名)，如“120段”，地址范围中,输入能够上网机器的所有IP范围（能够上网的电脑IP范围）。

点击确定。

3、在“网络对象"中选择“外网”，在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”→“子网”，填入子网名称（自己命名)，如“外网IP”,地址范围中，输入所有IP范围.点击确定。

4、访问策略设置
A、在“高级管理”中选择“访问策略"→“内网",在右边的窗口中，点击右键，选择“增加”,点击“下一步”。

B、在“策略源”中选择“外网IP”（刚才设置的外网IP）,点击“下一步”。

C、在“策略目的”中选择“内网"和“120段”（刚才设置的上网IP),点击“下一步"。

D、在“策略服务”中，我们不做任何选择,直接点击“下一步”。

(因为我们要限制所有外网对我们内网的访问，在此我们要禁用所有服务，因此不做选择）
E、在“访问控制”中，“访问权限”选择“禁止”（因为我们上一步没有选择服务,在此我们选择禁止，表示我们将禁止外网对我们的所有服务)，“访问时间"选择“任何”,“日志选项"选择“日志会话”，其他的不做修改,点击“下一步”。

F、最后，点击“完成"。

5、至此，我们就完成了对外网访问内网的设置。