安全保障之H3C.docVIP

安全保障之H3C-F100防火墙校园实测（转载自IT168） 随着网络信息化的普及，基本上所有中小学都建立了自己的内部校园网络，各种网络服务纷纷在校园网内应用，资源以及教师学生等数据储存在服务器上，因此网络安全问题需要引起各学校网络管理人员的特别重视。在学校外网出口放置一台高品质的防火墙是目前最直接最有效的办法。最近笔者拿到了一款适合中小学以及中小企业的安全产品——H3C SecPath F100-C-EI防火墙，下面我们就来体验一把F100防火墙校园实测，看看他是如何为学校网络安全作出保障的。 　　一，产品简介： 　　H3C SecPath F100-C-EI防火墙设备是H3C公司面向家庭办公、小型办公室以及中小企业开发的新一代专业防火墙产品。该产品拥有五个10/100M自适应以太网接口，可灵活配置为不同的安全域，如Trust安全域、DMZ安全域、Untrust安全域和管理安全域等。 　　产品正面一共有六个接口，从左往右依次是五个以太接口以及一个CONSOLE接口，五个以太接口连接内外网，CONSOLE接口负责初始化和日常参数配置。就自身硬件配置来说H3C SecPath F100-C-EI防火墙使用的内存是SDRAM的，容量为64MB，同时FLASH存储空间为8MB，默认情况下基本被全部占用。(如图1) ? 　　二，实测拓扑结构以及设备初始化： 　　为了更好的测试F100的自身性能，笔者将其放置到一所中学进行实地测试，该中学规模中等，学校内部按照部门分为多个区域，包括网络管理区，服务器群，教师办公室计算机区，学生机房计算机区。在区域划分上比较符合防火墙多区域管理的特点。笔者将F100放置到学校网络中心机房，负责连接各个区域以及外网出口。由于该学校网络出口通过光猫连接光纤访问internet，所以笔者选择LAN4这个接口作为外网接口通过RJ45线缆连接光猫;同时其他几个LAN接口依次连接网络管理区，服务器群，教师办公计算机区，学生机房计算机区。由于学校服务器需要对外发布WWW站点以及CMIS管理信息系统，所以在配置时将服务器群连接的接口添加到DMZ区。(如图2) 　　小提示： 　　F100有五个LAN接口，他们依次编号为LAN0，LAN1，LAN2，LAN3，LAN4。在实际测试时笔者选择最后一个接口LAN4连接外网。 　　规划好网络拓扑以及防火墙的位置后我们就要针对F100进行初始化设置了，首先使用随机CONSOLE线连接F100的CONSOLE接口以及计算机的COM口，然后设置超级终端相关连接，完毕后开启F100电源启动防火墙，在超级终端中应该可以看到防火墙的启动界面以及自检信息。出现“press enter to get started”后我们回车即可进入命令行设置界面。(如图3) 　　进入命令行设置界面后我们执行的操作和H3C其他相关路由器交换机产品是一致的，通过Dis cur我们可以看出各个接口对应的是ethernet0/0到ethernet0/4。同时默认情况下防火墙针对访问权限划分了四个区域，分别是LOCAL，Trust，Untrust以及DMZ区，对应的优先级也各不相同。(如图4)(如图5) 　　三，更加人性——用WEB方式配置防火墙： 　　和之前的路由器交换机不同的是H3C在SecPath F100-C-EI防火墙设备中增加了更加人性的WEB方式配置界面，用户可以通过WEB方式来访问防火墙管理界面并通过图形化方式来配置各种网络参数，这点改进大大降低了防火墙设置的门槛，让用户可以更快的上手进行安全操作。下面我们就来看看如何通过WEB方式来配置SecPath F100-C-EI防火墙，当然默认情况下WEB方式是关闭的，我们需要执行以下几条命令开启他。 　　第一步：进入命令行设置界面将容许访问WEB界面的那个接口IP地址进行设置，例如笔者将Ethernet 0/0的IP地址设置为 。(如图6) 　　第二步：接下来将该接口添加到信任区中，只有信任区的接口才能够通过WEB方式来管理，同时配置防火墙的默认策略为容许数据通过。(如图7) 　　第三步：在防火墙中建立相应的帐户信息以及密码，同时给予该帐户telnet权限，默认权限设置为最大的级别3。因为在SecPath F100-C-EI防火墙中WEB访问权限是与telnet权限一致的，两者共同存在。当然不同的权限级别会对应不同的设置权限，在我们通过WEB访问管理时也能够看到差别。(如图8) 　　第四步：接下来我们将计算机的IP地址设置到与Ethernet 0/0在一个网段，然后通过浏览器访问即可看到SecPath F100-C-EI防火墙的WEB管理登录界面。(如图9) 　　第五步：输入刚刚设置的具备LEVEL 3的帐户信息后顺利近入管理界面，在这里我们可以通过图形化方式