当前位置:文档之家 › H3C 防火墙和UTM系列产品典型配置案例集(V5)-6W302-H3C 防火墙和UTM设备域间策略典型配置举例(V5)

H3C 防火墙和UTM系列产品典型配置案例集(V5)-6W302-H3C 防火墙和UTM设备域间策略典型配置举例(V5)

  • 格式:pdf
  • 大小:729.98 KB
  • 文档页数:12

下载文档原格式

  / 12
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

H3C防火墙和UTM设备域间策略典型配置举例(V5)

Copyright © 2014杭州华三通信技术有限公司版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,

并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。

目录

1 简介 (1)

2 配置前提 (1)

3 配置举例 (1)

3.1 组网需求 (1)

3.2 配置思路 (1)

3.3 使用版本 (1)

3.4 配置注意事项 (1)

3.5 配置步骤 (2)

3.5.1 通过Web方式配置Firewall (2)

3.5.2 通过命令行方式配置Firewall (8)

3.6 验证配置 (9)

3.7 配置文件 (9)

4 相关资料 (10)

1 简介

本文档介绍H3C防火墙和UTM设备域间策略的典型配置举例。

2 配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解VD、安全域、对象管理、域间策略特性。

3 配置举例

3.1 组网需求

如图1所示,公司内部网络通过Firewall与Internet互连。要求:

•正确配置域间策略,允许内部主机Public(IP地址为10.1.1.12/24)在任何时候访问外部网络;

•禁止内部其他主机在上班时间(星期一~星期五的8:00~18:00)访问外部网络。

图1域间策略组网图

3.2 配置思路

•为了使域间策略在规定的时间内生效,要在配置域间策略前按组网要求配置好时间段。

•为了对网络访问行为进行监控,需开启日志功能。

3.3 使用版本

本举例是在SecPath F1000-E Feature 3171P22版本上进行配置和验证的。

3.4 配置注意事项

此举例的所有配置都是在缺省VD下配置的。

3.5 配置步骤

3.5.1 通过Web方式配置Firewall

# 在左侧导航栏中选择“设备管理 > 接口管理”,配置接口GigabitEthernet0/1的地址,进入如下界面。

图2接口管理

# 点击GigabitEthernet0/1栏中的按钮,进入“接口编辑”界面。按照下图设置接口

GigabitEthernet0/1,点击<确定>按钮,返回“接口管理”界面。

图3接口编辑

# 采用相同方法配置接口GigabitEthernet0/2的地址,详细配置略。

# 在左侧导航栏中选择“设备管理 > 安全域”。

图4安全域

# 点击“Untrust”后面的按钮,进入“修改安全域”界面,将接口GigabitEthernet0/1加入Untrust 域,点击<确定>按钮完成配置。

# 点击Trust栏中的按钮,进入“修改安全域”界面。按照下图将接口GigabitEthernet0/2加入

Trust域,点击<确定>按钮完成配置。

# 配置时间段(星期一~星期五的8:00~18:00)。

a. 在左侧导航栏中选择“资源管理 > 时间段”,单击<新建>按钮,进行如图7所示配置。图7配置上班时间段

b. 输入名称为“worktime”。

c. 选中“周期时间段”前的复选框。

d. 设置开始时间为“8:0”。

e. 设置结束时间为“18:0”。

f. 选中“星期一”~“星期五”前的复选框。

g. 单击<确定>按钮完成操作。

# 配置主机地址资源对象。

a. 在左侧导航栏中选择“资源管理 > 地址 > IP 地址”,默认进入“主机地址”页签的页面,

单击<新建>按钮,进行如下配置,如图8所示。

图8配置主机地址资源public

b. 选中“IP地址”前的单选按钮。

c. 输入名称为“public”。

d. 输入IP地址为“10.1.1.12”,单击<添加>按钮将其添加到IP地址列表框中。

e. 单击<确定>按钮完成操作。

# 配置允许主机Public在任何时候访问外部网络的域间策略规则。

a. 在左侧导航栏中选择“防火墙 > 安全策略 > 域间策略”,单击<新建>按钮,进行如下配

置,如图9所示。

图9配置允许主机Public在任何时候访问外部网络的域间策略规则

b. 选择源域为“Trust”。

c. 选择目的域为“Untrust”。

d. 选择源IP地址为“public”。

e. 选择过滤动作为“Permit”。

f. 选中“开启Syslog日志功能”复选框。

g. 选中“启用规则”复选框。

h. 选中“确定后续添加下一条规则”复选框。

i. 单击<确定>按钮完成操作。

# 配置禁止其他主机在上班时间访问外部网络的域间策略规则。

a. 在左侧导航栏中选择“防火墙 > 安全策略 > 域间策略”,单击<新建>按钮,进行如下配

置,如图10所示。

图10配置禁止其他主机在上班时间访问外部网络的域间策略规则

b. 选择过滤动作为“Deny”。

c. 选择时间段为“worktime”。

d. 选中“开启Syslog日志功能”复选框。

e. 选中“启用规则”复选框。

f. 单击<确定>按钮完成操作。

3.5.2 通过命令行方式配置Firewall

# 配置接口GigabitEthernet0/1的地址。

system-view

[Firewall] interface gigabitethernet 0/1

[Firewall-GigabitEthernet0/1] ip address 20.1.1.1 24

[Firewall-GigabitEthernet0/1] quit

# 配置接口GigabitEthernet0/2的地址。

[Firewall] interface gigabitethernet 0/2

[Firewall-GigabitEthernet0/2] ip address 10.1.1.1 24

[Firewall-GigabitEthernet0/2] quit

# 将接口GigabitEthernet0/1加入Untrust域。

[Firewall] zone name untrust

[Firewall-zone-untrust] import interface gigabitethernet 0/1 [Firewall-zone-untrust] quit

# 将接口GigabitEthernet0/2加入Trust域。

[Firewall] zone name trust

[Firewall-zone-trust] import interface gigabitethernet 0/2

[Firewall-zone-trust] quit

# 配置时间段(星期一~星期五的8:00~18:00)。

相关主题