Secpath典型配置实例之安全vpn3.40006测试(200603).docVIP

Secpath典型配置实例之安全-vpn3.4-0006测试(2006-03) Secpath典型配置实例之安全-vpn3.4-0006测试(2006-03) PAGE / NUMPAGES Secpath典型配置实例之安全-vpn3.4-0006测试(2006-03) 目录 1 时间段访问控制列表（ ACL ）： 1 2 地址转换（ NAT ）： 2 3 防火墙特性： 2 3.1 透明模式 3 3.2 ASPF 配置 4 3.3 黑名单 4 3.4 MAC 和 IP 地址绑定 5 3.5 Web 地址、内容过滤及 SQL 攻击防范功能 6 3.6 邮件过滤 7 3.7 攻击防范 8 1 时间段访问控制列表（ ACL ）： 功能需求及组网说明 Ftp-server Secpath1000f internet S3026E GigabitEthernet0/0: GigabitEthernet0/1: 『组网需求』 ： 要求内部用户，在 8： 00－ 12： 00 和 13：30－ 18：00 可以出公网，其它的时间都不可以出公网 『配置实例』 ： 1． 在系统视图下配置时间段： [Secpath] time-range huawei1 08:00 to 18:00 daily [Secpath] time-range huawei2 12:00 to 13:30 daily 2． 配置高级访问控制列表： [Secpath] acl number 3001 [Secpath-acl-adv-3001] rule deny ip time-range huawei2 [Secpath-acl-adv-3001] rule permit ip time-range huawei1 [Secpath-acl-adv-3001] rule deny ip 3． 进入内网接口视图，下发时间段 ACL 规则： [Secpath-GigabitEthernet0/1] firewall packet-filter 3001 inbound 4．对于其它的规则配置请查看操作手册。 『注意事项』 ： 1、在同一个名字下可以配置多个时间段，这些时间段是“或”关系。 2、在 SECPATH 系列产品中， 只有 SECPATH10F 是不可以保存系统时间的， 重启设备后， 时间就会丢失。 3、要将基于 MAC 地址的访问控制列表应用到接口上，防火墙必须工作在透明模式下，否则系统会提示“ Please firstly active the Transparent mode ! ”。 地址转换（ NAT ）： 『配置实例』 ： 1．配置域名与外部地址、端口号、协议类型之间的映射。 [Secpath] [Secpath]  nat dns-map 97 80 tcp nat dns-map 97 21 tcp 2．相关  NAT  地址转换及映射配置，请参考手册。 『注意事项』 ： 1、地址池转换方式是实现多对多地址转换 2、 NAPT 的转换方式是多对一地址转换。 3、NAT ALG 是解决特殊协议穿越 NAT 的一种常用方式，此种方式对载荷中的 端口号进行替换，从而实现对该协议的透明中继。目前 VRP 的 NAT ALG  IP 地址和 支持 PPTP、 DNS 、 FTP 、ILS 、 NBT 、 SIP、H.323  等协议。 防火墙特性： 功能需求及组网说明 Ftp-server Secpath1000f internet S3026E GigabitEthernet0/0: GigabitEthernet0/1: Ftp-server 3.1 透明模式 『功能说明』 ： 当防火墙工作在透明模式时， 防火墙表现为透明网桥， 但防火墙和网桥存在不同，因为防火墙收到 IP 报文后，会到上层进行相关过滤处理，此外还可防攻击检查， 如 ACL 规则检查、 ASPF 状态过滤、防攻击检查、流量监控等功能。而网桥是不行的。 『配置实例』 ： 1． 配置防火墙工作在透明模式： （必配） [Secpath]firewall mode transparent 2． 配置防火墙的管理 IP 地址，此地址可用在 TELNET 、 SNMP 等管理中。 3． 配置防火墙对未知目的 MAC 地址的 IP 报文的处理方式。 默认情况单播采用 “ arp ” 方式处理，广播和组播都是采“ drop”方式处理。 [Secpath]firewall unknown-mac flood 4． 配置其它参数，请参考手册。 『注意事项』 ： 1、当透明模式防火墙在某接口接收到广播帧或多播帧时， 会向其它接口进行转发。 （查 找 MAC 地