H3C 防火墙和UTM系列产品典型配置案例集(V5)-6W302-H3C 防火墙和UTM设备域间策略典型配置举例(V5)
- 格式:pdf
- 大小:729.98 KB
- 文档页数:12
H3C防火墙和UTM设备域间策略典型配置举例(V5)
Copyright © 2014杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,
并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。
目录
1 简介 (1)
2 配置前提 (1)
3 配置举例 (1)
3.1 组网需求 (1)
3.2 配置思路 (1)
3.3 使用版本 (1)
3.4 配置注意事项 (1)
3.5 配置步骤 (2)
3.5.1 通过Web方式配置Firewall (2)
3.5.2 通过命令行方式配置Firewall (8)
3.6 验证配置 (9)
3.7 配置文件 (9)
4 相关资料 (10)
1 简介
本文档介绍H3C防火墙和UTM设备域间策略的典型配置举例。
2 配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解VD、安全域、对象管理、域间策略特性。
3 配置举例
3.1 组网需求
如图1所示,公司内部网络通过Firewall与Internet互连。要求:
•正确配置域间策略,允许内部主机Public(IP地址为10.1.1.12/24)在任何时候访问外部网络;
•禁止内部其他主机在上班时间(星期一~星期五的8:00~18:00)访问外部网络。
图1域间策略组网图
3.2 配置思路
•为了使域间策略在规定的时间内生效,要在配置域间策略前按组网要求配置好时间段。
•为了对网络访问行为进行监控,需开启日志功能。
3.3 使用版本
本举例是在SecPath F1000-E Feature 3171P22版本上进行配置和验证的。
3.4 配置注意事项
此举例的所有配置都是在缺省VD下配置的。
3.5 配置步骤
3.5.1 通过Web方式配置Firewall
# 在左侧导航栏中选择“设备管理 > 接口管理”,配置接口GigabitEthernet0/1的地址,进入如下界面。
图2接口管理
# 点击GigabitEthernet0/1栏中的按钮,进入“接口编辑”界面。按照下图设置接口
GigabitEthernet0/1,点击<确定>按钮,返回“接口管理”界面。
图3接口编辑
# 采用相同方法配置接口GigabitEthernet0/2的地址,详细配置略。
# 在左侧导航栏中选择“设备管理 > 安全域”。
图4安全域
# 点击“Untrust”后面的按钮,进入“修改安全域”界面,将接口GigabitEthernet0/1加入Untrust 域,点击<确定>按钮完成配置。
# 点击Trust栏中的按钮,进入“修改安全域”界面。按照下图将接口GigabitEthernet0/2加入
Trust域,点击<确定>按钮完成配置。
# 配置时间段(星期一~星期五的8:00~18:00)。
a. 在左侧导航栏中选择“资源管理 > 时间段”,单击<新建>按钮,进行如图7所示配置。图7配置上班时间段
b. 输入名称为“worktime”。
c. 选中“周期时间段”前的复选框。
d. 设置开始时间为“8:0”。
e. 设置结束时间为“18:0”。
f. 选中“星期一”~“星期五”前的复选框。
g. 单击<确定>按钮完成操作。
# 配置主机地址资源对象。
a. 在左侧导航栏中选择“资源管理 > 地址 > IP 地址”,默认进入“主机地址”页签的页面,
单击<新建>按钮,进行如下配置,如图8所示。
图8配置主机地址资源public
b. 选中“IP地址”前的单选按钮。
c. 输入名称为“public”。
d. 输入IP地址为“10.1.1.12”,单击<添加>按钮将其添加到IP地址列表框中。
e. 单击<确定>按钮完成操作。
# 配置允许主机Public在任何时候访问外部网络的域间策略规则。
a. 在左侧导航栏中选择“防火墙 > 安全策略 > 域间策略”,单击<新建>按钮,进行如下配
置,如图9所示。
图9配置允许主机Public在任何时候访问外部网络的域间策略规则
b. 选择源域为“Trust”。
c. 选择目的域为“Untrust”。
d. 选择源IP地址为“public”。
e. 选择过滤动作为“Permit”。
f. 选中“开启Syslog日志功能”复选框。
g. 选中“启用规则”复选框。
h. 选中“确定后续添加下一条规则”复选框。
i. 单击<确定>按钮完成操作。
# 配置禁止其他主机在上班时间访问外部网络的域间策略规则。
a. 在左侧导航栏中选择“防火墙 > 安全策略 > 域间策略”,单击<新建>按钮,进行如下配
置,如图10所示。
图10配置禁止其他主机在上班时间访问外部网络的域间策略规则
b. 选择过滤动作为“Deny”。
c. 选择时间段为“worktime”。
d. 选中“开启Syslog日志功能”复选框。
e. 选中“启用规则”复选框。
f. 单击<确定>按钮完成操作。
3.5.2 通过命令行方式配置Firewall
# 配置接口GigabitEthernet0/1的地址。
[Firewall] interface gigabitethernet 0/1
[Firewall-GigabitEthernet0/1] ip address 20.1.1.1 24
[Firewall-GigabitEthernet0/1] quit
# 配置接口GigabitEthernet0/2的地址。
[Firewall] interface gigabitethernet 0/2
[Firewall-GigabitEthernet0/2] ip address 10.1.1.1 24
[Firewall-GigabitEthernet0/2] quit
# 将接口GigabitEthernet0/1加入Untrust域。
[Firewall] zone name untrust
[Firewall-zone-untrust] import interface gigabitethernet 0/1 [Firewall-zone-untrust] quit
# 将接口GigabitEthernet0/2加入Trust域。
[Firewall] zone name trust
[Firewall-zone-trust] import interface gigabitethernet 0/2
[Firewall-zone-trust] quit
# 配置时间段(星期一~星期五的8:00~18:00)。