本文为大家介绍一个H3C防火墙的配置实例,配置内容包括:配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等,组网拓扑及需求如下。
1、网络拓扑图
2、配置要求
1)防火墙的E0/2接口为TRUST区域,ip地址是:;
2)防火墙的E1/2接口为UNTRUST区域,ip地址是:;
3)内网服务器对外网做一对一的地址映射,、分别映射为、;
4)内网服务器访问外网不做限制,外网访问内网只放通公网地址访问的1433端口和的80端口。
3、防火墙的配置脚本如下
#
sysname H3CF100A
#
super password level 3 cipher 6aQ>Q57-$.I)0;4:\(I41!!!
#
firewall packet-filter enable
firewall packet-filter default permit
#
insulate
#
nat static inside ip global ip static inside ip global ip statistic system enable
#
radius scheme system
server-type extended
#
domain system
#
local-user net1980
password cipher ######
service-type telnet
level 2
#
aspf-policy 1
detect h323
detect sqlnet
detect rtsp
detect http
detect smtp
detect ftp
detect tcp
detect udp
#
object address address number 3001
description out-inside
rule 1 permit tcp source 0 destination 0 destination-port eq 1433 rule 2 permit tcp source 0 destination 0 destination-port eq www rule 1000 deny ip
acl number 3002
description inside-to-outside
rule 1 permit ip source 0
rule 2 permit ip source 0
rule 1000 deny ip
#
interface Aux0
async mode flow
#
interface Ethernet0/0
shutdown
#
interface Ethernet0/1
shutdown
#
interface Ethernet0/2
speed 100
duplex full
description to server
ip address packet-filter 3002 inbound
firewall aspf 1 outbound
#
interface Ethernet0/3
shutdown
#
interface Ethernet1/0
shutdown
#
interface Ethernet1/1
shutdown
#
interface Ethernet1/2
speed 100
duplex full
description to internet
ip address packet-filter 3001 inbound firewall aspf 1 outbound
nat outbound static
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet0/2
set priority 85
#
firewall zone untrust
add interface Ethernet1/2
set priority 5
#
firewall zone DMZ
add interface Ethernet0/3
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
ip route-static preference 60
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4 authentication-mode scheme #
return
Cisco ASA5505防火墙详细配置教程及实际配置案例 interface Vlan2 nameif outside ----------------------------------------对端口命名外端口security-level 0 ----------------------------------------设置端口等级 ip address X.X.X.X 255.255.255.224 --------------------调试外网地址! interface Vlan3 nameif inside ----------------------------------------对端口命名内端口 security-level 100 ----------------------------------------调试外网地址ip address 192.168.1.1 255.255.255.0 --------------------设置端口等级! interface Ethernet0/0 switchport access vlan 2 ----------------------------------------设置端口VLAN与VLAN2绑定 ! interface Ethernet0/1 switchport access vlan 3 ----------------------------------------设置端口VLAN与VLAN3绑定 ! interface Ethernet0/2 shutdown ! interface Ethernet0/3 shutdown ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive dns domain-lookup inside dns server-group DefaultDNS
配置要求: 1、分别划分inside(内网)、outside(外网)、dmz(安全区)三个区域。 2、内网可访问外网及dmz内服务器(web),外网可访问dmz内服务器(web)。 3、Dmz服务器分别开放80、21、3389端口。 说明:由于防火墙许可限制“no forward interface Vlan1”dmz内服务器无法访问外网。 具体配置如下:希望对需要的朋友有所帮助 ASA Version 7.2(4) ! hostname asa5505 enable password tDElRpQcbH/qLvnn encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Vlan1 nameif outside security-level 0 ip address 外网IP 外网掩码 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Vlan3 no forward interface Vlan1 nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet0/0 description outside !
interface Ethernet0/1 description inside switchport access vlan 2 ! interface Ethernet0/2 description dmz switchport access vlan 3 ! interface Ethernet0/3 description inside switchport access vlan 2 ! interface Ethernet0/4 shutdown ! interface Ethernet0/5 shutdown ! interface Ethernet0/6 shutdown ! interface Ethernet0/7 shutdown ! ftp mode passive object-group service outside-to-dmz tcp port-object eq www port-object eq ftp port-object eq 3389 access-list aaa extended permit tcp any host 外网IP object-group outsid e- to-dmz access-list bbb extended permit tcp host 172.16.1.2 192.168.1.0 255.255. 255.0 ob
防火墙作为出口网关,联通光纤、电信光纤、电信ADSL出口,防火墙接H3C二层交换机,H3C二层交换机接内网服务器和下面的二层交换机(内网用户都接这里)。 由于客户是静态设置地址,所以这里是没有DHCP配置的。 一、上网设置: #域配置 zone name Management id 0 priority 100 zone name Local id 1 priority 100 zone name Trust id 2 priority 85 zone name DMZ id 3 priority 50 zone name Untrust id 4 priority 5 import interface Dialer1 #内网网关 ip address 192.168.100.254 255.255.0.0 port link-mode route nat outbound 3090 #电信出口
port link-mode route ip address 219.137.182.2xx 255.255.255.248 nat outbound 2000 address-group 1 #联通出口 port link-mode route ip address 218.107.10.xx 255.255.255.248 nat outbound 2000 address-group 2 #PPPOE电信ADSL port link-mode route pppoe-client dial-bundle-number 1 #设定拨号访问组的拨号控制列表 dialer-rule 1 ip permit #PPPOE配置 interface Dialer1 nat outbound 2000 link-protocol ppp ppp chap user ppp chap password cipher $c$3$cft8cT2sYcO4XYUDKRgfw0R0HOSTSDh69HbN KCf9IdG。mGA1KBi。hCB9ahz。 ppp pap local-user password cipher
建筑内防火墙设置的一般规定 英文词条名: 1 防火墙应直接设置在基础上或钢筋混凝土的框架上。 防火墙应截断燃烧体或难燃烧体的屋顶结构,且应高出非燃烧体屋面不小于40CM,高出燃烧体或难燃烧体屋面不小于50CM。 当建筑物的屋盖为耐火极限不低于H的非燃烧体时、高层工业建筑屋盖为耐火极限不低于1H的非燃烧体时,防火墙(包括纵向防火墙)可砌至屋面基层的底部,不高出屋面。 2 防火墙中心距天窗端面的水平距离小于4M,且天窗端面为燃烧体时,应采取防止火势蔓延的设施。 3 建筑物的外墙如为难燃烧体时,防火墙应突出难燃烧体墙的外表面40CM;防火带的宽度,从防火墙中心线起每侧不应小于2M。 4 防火墙内不应设置排气道,民用建筑如必须设置时,其两侧的墙身截面厚度均不应小于12CM。 防火墙上不应开门窗洞口,如必须开设时,应采用甲级防火门窗,并应能自行关闭。 可燃气体和甲、乙、丙类液体管道不应穿过防火墙。其他管道如必须穿过时,应用非燃烧材料将缝隙紧密填塞。 5 建筑物内的防火墙不应设在转角处。如设在转角附近,内转角两侧上的门窗洞口之间最近的水平距离不应小于4M。 紧靠防火墙两侧的门窗洞口之间最近的水平距离不应小于2M,如装有耐火极限不低于H的非燃烧体固定窗扇的采光窗(包括转角墙上的窗洞),可不受距离的限制。 6 设计防火墙时,应考虑防火墙一侧的屋架、梁、楼板等受到火灾的影响而破坏时,不致使防火墙倒塌。 防火墙
防火墙是由不燃烧材料构成的,为减小或避免建筑、结构、设备遭受热辐射危害和防止火灾蔓延,设置的竖向分隔体或直接设置在建筑物基础上或钢筋混凝土框架上具有耐火性的墙。 防火墙是防火分区的主要建筑构件。通常防火墙有内防火墙、外防火墙和室外独立墙几种类型。 防火墙的耐火极限、燃烧性能、设置部位和构造应符合下列要求: 1.防火墙应为不燃烧体,其耐火极限目前《建规》的规定为 4h,《高规》的规定为3h。 2.防火墙应直接砌筑在基础上或钢筋混凝土框架上,当防火墙一侧的屋架、梁和楼板等因火灾影响而破坏时,不至使防火墙倒塌。 3.防火墙应截断燃烧体或难燃烧体的屋顶结构,且应高出燃烧体或难燃烧体的屋面不小于500mm。防火墙应高出不燃烧体屋面不小于400mm。但当建筑物的屋盖为耐火极限不低于的不燃烧体时,高层建筑屋盖为耐火极限不低于1h的不燃烧体时,防火墙(包括纵向防火墙)可砌至屋面基层的底部,不必高出屋面。 4.建筑物的外墙如为难燃烧体时,防火墙突出难燃烧体墙的外表面400mm。防火带的宽度,从防火墙中心线起每侧不应小于2m。 5.防火墙距天窗端面的水平距离小于4m,且天窗端面为燃烧体时,应将防火墙加高,使之超过天窗结构400-500mm,以防止火势蔓延。 6.防火墙内不应设置排气道,民用建筑如必须设置时,其两侧的墙身截面厚度均不应小于120mm。 7.防火墙上不应开设门、窗、孔洞,如必须开设时,应采用甲级防火门、窗,并应能自关闭。 8.输送可燃气体和甲、乙、丙类液体的管道不应穿过(高层民用建筑为严禁穿过)防火墙。其他管道不宜穿过防火墙,如必须穿过时,应采用不燃烧体将缝隙填塞密实。穿过防火墙处的管道保温材料,应采用不燃烧体材料。 9.建筑物内的防火墙宜设在转角处。如设在转角附近,内转角两侧上的门、窗、洞口之间最近边缘的水平距离不应小于4m,当相邻一侧装有固定乙级防火窗时,距离可不限。10.紧靠防火墙两侧的门、窗、洞口之间最近边缘的水平距离不应小于2m,如装有固定乙
华为USG防火墙配置实例脚本-PPPOE PPPOE分两部分: PPPOE-Server(例如ADSL局端)和PPPoE Client(ADSL拨号上网。客户端)PPPOE-Server: G0/0接WAN、G0/1接局域网。客户端通过PPPOE拨号拿IP上网。 公网IP 129.7.66.2/24、网关129.7.66.1,局域网拨到拿1.1.1.2/8-100的IP 典型应用:小区宽带、酒店等。 ============================ firewall mode route interface GigabitEthernet 0/0 ip address 129.7.66.2 24 ip route-static 0.0.0.0 0.0.0.0 129.7.66.1 firewall zone trust add interface GigabitEthernet 0/1 firewall zone untrust add interface GigabitEthernet 0/0 firewall packet-filter default permit all #------------------------------------ interface Virtual-Template 1 ppp authentication-mode pap ip address 1.1.1.1 255.0.0.0 remote address pool 1 firewall zone trust add interface Virtual-Template 1 interface GigabitEthernet 0/1 pppoe-server bind Virtual-Template 1 #------------------------------------ aaa local-user usg3000 password simple usg3000 ip pool 1 1.1.1.2 1.1.1.100 #----------------------------------- acl 2001 rule 0 permit source 1.1.1.0 0.255.255.255 firewall interzone trust untrust nat outbound 2001
本文为大家介绍一个H3C防火墙的配置实例,配置内容包括:配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等,组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 1)防火墙的E0/2接口为TRUST区域,ip地址是:; 2)防火墙的E1/2接口为UNTRUST区域,ip地址是:; 3)内网服务器对外网做一对一的地址映射,、分别映射为、; 4)内网服务器访问外网不做限制,外网访问内网只放通公网地址访问的1433端口和的80端口。 3、防火墙的配置脚本如下
level 2 # aspf-policy 1 detect h323 detect sqlnet detect rtsp detect http detect smtp detect ftp detect tcp detect udp # object address address number 3001 description out-inside rule 1 permit tcp source 0 destination 0 destination-port eq 1433 rule 2 permit tcp source 0 destination 0 destination-port eq www rule 1000 deny ip acl number 3002 description inside-to-outside rule 1 permit ip source 0 rule 2 permit ip source 0 rule 1000 deny ip # interface Aux0 async mode flow # interface Ethernet0/0 shutdown # interface Ethernet0/1 shutdown # interface Ethernet0/2 speed 100 duplex full description to server ip address packet-filter 3002 inbound firewall aspf 1 outbound # interface Ethernet0/3 shutdown # interface Ethernet1/0 shutdown
建筑内防火墙设置的一 般规定 -CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN
建筑内防火墙设置的一般规定 英文词条名: 1 防火墙应直接设置在基础上或钢筋混凝土的框架上。 防火墙应截断燃烧体或难燃烧体的屋顶结构,且应高出非燃烧体屋面不小于40CM,高出燃烧体或难燃烧体屋面不小于50CM。 当建筑物的屋盖为耐火极限不低于H的非燃烧体时、高层工业建筑屋盖为耐火极限不低于1H的非燃烧体时,防火墙(包括纵向防火墙)可砌至屋面基层的底部,不高出屋面。 2 防火墙中心距天窗端面的水平距离小于4M,且天窗端面为燃烧体时,应采取防止火势蔓延的设施。 3 建筑物的外墙如为难燃烧体时,防火墙应突出难燃烧体墙的外表面40CM;防火带的宽度,从防火墙中心线起每侧不应小于2M。 4 防火墙内不应设置排气道,民用建筑如必须设置时,其两侧的墙身截面厚度均不应小于12CM。 防火墙上不应开门窗洞口,如必须开设时,应采用甲级防火门窗,并应能自行关闭。 可燃气体和甲、乙、丙类液体管道不应穿过防火墙。其他管道如必须穿过时,应用非燃烧材料将缝隙紧密填塞。 5 建筑物内的防火墙不应设在转角处。如设在转角附近,内转角两侧上的门窗洞口之间最近的水平距离不应小于4M。 紧靠防火墙两侧的门窗洞口之间最近的水平距离不应小于2M,如装有耐火极限不低于H的非燃烧体固定窗扇的采光窗(包括转角墙上的窗洞),可不受距离的限制。 6 设计防火墙时,应考虑防火墙一侧的屋架、梁、楼板等受到火灾的影响而破坏时,不致使防火墙倒塌。 防火墙 防火墙是由不燃烧材料构成的,为减小或避免建筑、结构、设备遭受热辐射危害和防止火灾蔓延,设置的竖向分隔体或直接设置在建筑物基础上或钢筋混凝土框架上具有耐火性的墙。 防火墙是防火分区的主要建筑构件。通常防火墙有内防火墙、外防火墙和室外独立墙几种类型。 防火墙的耐火极限、燃烧性能、设置部位和构造应符合下列要求: 1.防火墙应为不燃烧体,其耐火极限目前《建规》的规定为 4h,《高规》的规定为3h。 2.防火墙应直接砌筑在基础上或钢筋混凝土框架上,当防火墙一侧的屋架、梁和楼板等因火灾影响而破坏时,不至使防火墙倒塌。 3.防火墙应截断燃烧体或难燃烧体的屋顶结构,且应高出燃烧体或难燃烧体的屋面不小于500mm。防火墙应高出不燃烧体屋面不小于400mm。但当建筑
H3C SecPath F100系列防火墙配置教程初始化配置 〈H3C〉system-view 开启防火墙功能 [H3C]firewall packet-filter enable [H3C]firewall packet-filter default permit 分配端口区域 [H3C] firewall zone untrust [H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/1 工作模式 firewall mode transparent 透明传输 firewall mode route 路由模式 http 服务器
使能HTTP 服务器 undo ip http shutdown 关闭HTTP 服务器 ip http shutdown 添加WEB用户 [H3C] local-user admin [H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3 开启防范功能 firewall defend all 打开所有防范 切换为中文模式 language-mode chinese 设置防火墙的名称 sysname sysname 配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date 设置所在的时区 clock timezone time-zone-name { add | minus } time 取消时区设置 undo clock timezone
CISCO 5520防火墙配置实例 本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢! CD-ASA5520# show run : Saved : ASA Version 7.2(2) ! hostname CD-ASA5520 &nb sp; //给防火墙命名domain-name default.domain.invalid //定义工作域 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口:
full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ip address 192.168.1.1 255.255.255.0 //设置本端口的IP地址 ! interface GigabitEthernet0/1 //外网接口nameif outside //为外部端口命名:外部接口outside security-level 0 ip address 202.98.131.122 255.255.255.0 //IP地址配置 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ip address 192.168.2.1 255.255.255.0 ! interface GigabitEthernet0/3
防火墙设置要求 1、防火墙应直接设置在建筑的基础或框架、梁等承重结构上,框架、梁等承重结构的耐火极限不应低于防火墙的耐火极限。 防火墙应从楼地面基层隔断至梁、楼板或屋面板的底面基层。当高层厂房(仓库)屋顶承重结构和屋面板的耐火极限低于l∙00h,其他建筑屋顶承重结构和屋面板的耐火极限低于0∙50h时,防火墙应高出屋面0.5m以上。 2、防火墙横截面中心线水平距离天窗端面小于4.0m ,且天窗端面为可燃性墙体时,应采取防止火势蔓延的措施。 3、建筑外墙为难燃性或可燃性墙体时,防火墙应凸出墙的外表面0.4m以上,且防火墙两侧的外墙均应为宽度均不小于 2.0m的不燃性墙体,其耐火极限不应低于外墙的耐火极限。 建筑外墙为不燃性墙体时,防火墙可不凸出墙的外表面,紧靠防火墙两侧的门、窗、洞口之间最近边缘的水平距离不应小于 2.0m ;采取设置乙级防火窗等防止火灾水平蔓延的措施时,该距离不限。 4、建筑内的防火墙不宜设置在转角处,确需设置时,内转角两侧墙上的门、窗、洞口之间最近边缘的水平距离不应小于4.0m ;采取设置乙级防火窗等防止火灾 水平蔓延的措施时,该距离不限。
5、防火墙上不应开设门、窗、洞口,确需开设时,应设置不可开启或火灾时能 自动关闭的甲级防火门、窗。 可燃气体和甲、乙、丙类液体的管道严禁穿过防火墙。防火墙内不应设置排气道。 6、除本规范第6.1.5条规定外的其他管道不宜穿过防火墙,确需穿过时,应采 用防火封堵材料将墙与管道之间的空隙紧密填实,穿过防火墙处的管道保温材料, 应采用不燃材料;当管道为难燃及可燃材料时,应在防火墙两侧的管道上采取防火措施。 7、防火墙的构造应能在防火墙任意一侧的屋架、梁、楼板等受到火灾的影响而 破坏时,不会导致防火墙倒塌。
linux 防火墙ip段范围写法 随着网络技术的不断发展,网络安全变得越来越重要。在Linux系统中,防火墙是保障网络安全的关键组件之一。本文将介绍Linux防火墙的IP段范围写法,并通过实例演示如何配置防火墙。 一、Linux防火墙概述 Linux防火墙主要用于防止未经授权的访问和恶意攻击。它可以通过限制网络流量,保护内部网络设备和用户数据安全。Linux防火墙常用的工具有iptables和firewalld。本文以iptables为例进行介绍。 二、IP段范围写法介绍 在iptables中,IP段范围写法有两种: 1.通配符匹配:使用“/”分隔的IP地址和掩码,如:19 2.168.1.0/24。 2.范围表示法:使用“-”分隔的IP地址起始点和结束点,如: 192.168.1.1-192.168.1.10。 需要注意的是,iptables中的IP段范围写法与传统意义上的CIDR表示法略有不同。在iptables中,掩码部分需要写成反掩码,如:/24表示掩码为255.255.255.0,反掩码为0.0.0.255。 三、防火墙配置实例 以下是一个简单的iptables防火墙配置实例: 1.打开防火墙配置文件: ``` sudo nano /etc/iptables/iptables.conf
``` 2.添加允许指定IP段访问的规则:``` Chain INPUT (policy DROP) { # 允许本地回环地址 允许local-loopback # 允许指定IP段访问 允许192.168.1.0/24 } ``` 3.添加拒绝指定IP段访问的规则:``` Chain OUTPUT (policy ACCEPT) { # 拒绝指定IP段访问 拒绝192.168.2.0/24 } ``` 4.保存并应用配置: ``` sudo iptables -F sudo iptables -A ```
山石网科SG-6000-E5560配置SSL VPN实例网络拓扑 外网 xcthernetO/8 untrust 172.22.43.100 172.22.43.254 trust ^agregatel.3941
需求:使用用户名密码方式认证第一步:创建本地用户
StoneOS 工具” 配蚤 0网络连接 轉NAT S 路由 IPS9C WN 俺主页 厂‘敷信息 2809342140000235 SG-6000 SSL VPN 定制 手故刷新 自动和 U : 律 待征 2.0.150316 2015-03 16 22:50:20 孤库: 二] ___________________ I ±1 L2TP VPN 用户识别 802.IX 無賂负删衢 甌不 不地用户 24 LDAF 用户 Active Director/^户 用户创定 绞件 ▲ version 5.0 5G6000-M-2-5.0R4P5.7.bi — J. 2015/02/03 11:11:14 地址簿 朋务簿 应用筹 时间未 云瞬 £云识别 遂病击讨殘 毎入侵防卻 玫击防护 监控 日志 流屋监控 整机流里 趣 前1。用户24小时济绘 24 24 角色 角色组合 AMK 务器 PK) 监测对鼓 在线用户: 接口 NAT 路虫 70 苗1(1应用24小时泄
S玄地用户 以励旨而删除妙】P7MAC绑定总导入▼ 秸导出.捋宜毛户P 衣潮皤器:I。词±1所有用户用户配赛Q I ---------------------------------------------------- 户到期口基本BZ羞V nP W咽遥 如杲.白用了短信认证功能,德信认证码将发送到用户设逬的电话号码 Q硝走取消 第二步:创建安全域 StoneOS c网络连辖任奔 $談助§ £5 网络 Q H隔连孩▲ 宰 二 O NAT 路由 [Psec VPN SSL VPN L2TP VPN 用户识别 802.IX 逾&负载均衡 云瞬 云识别 安全 »薜过克入倡 防御玫击防护2J 监^ 日志 r) G)♦気建一国编细1&刪完 多全t或•搖□ 枫圏 <第 1页,总鞠1 > >1 rrusc LJ rrusr-i/r untrust L2 trust-i/r dmz L3 trust-vr 12-trust L2 vswitchl 12 entrust L2 vs w itch 1 12-dmN L2 vswtchl VPNHub L3 trust-vr HA L2 trust-vr sslvp n L2 trust-vr 安全坯名称类里戌报路由吾/交換机 務每页显示条日数20 檢索 按口 iP/ftS MAC ± J 向导 网络连接储由模式设杳捋 釆用类讹路由器的方式接 入网络。 网络连搖-溯月榄式 设备将采用类似交换机的 方式接入网络。 RS DN务懐 DHCP列表 DDNS列耒 aggregate 1 aggregatel.3941 ethemetO/O ethemeto/1 prhRmRtn/2 o.o.o.oyo 172.22.43.254/24 0D1C.545A1 001C.545-J o.o.o.o yo o.o.o.o /o n.n.n.n vn □Die.545 001C.545 仃 nic.5^lJ 每页昱示条目数 PPPoEJiJ^ HLAhl 虚拟路由器虑拟 交撫机 Virtual Wire 全局喙参数 目的後傢接口 监控 按口縫监控古仝 咸金毋坯炸
华为防火墙配置使用手册 防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin@123 一、配置案例 1.1 拓扑图 GE 0/0/1:10.10.10.1/24 GE 0/0/2:220.10.10.16/24 GE 0/0/3:10.10.11.1/24 WWW服务器:10.10.11.2/24(DMZ区域) FTP服务器:10.10.11.3/24(DMZ区域) 1.2 Telnet配置 配置VTY 的优先级为3,基于密码验证。 # 进入系统视图。
[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟 [USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。 基于用户名和密码验证 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。 1.3 地址配置 内网: 进入GigabitEthernet 0/0/1视图 [USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网: 进入GigabitEthernet 0/0/2视图 [USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址 [USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit