配置防火墙(基本配置-好).docVIP

配置防火墙网络设置注意:

H3CSecPath系列防火墙使用安全区域的概念来表示与其相连接的网络。若要实现防火墙和其它设备的互通,必须先将相应的接口添加到某一安全区域中。

缺省情况下,H3CSecPath系列防火墙使能防火墙的包过滤功能,且缺省的过滤行为为拒绝所有报文通过。若要实现防火墙和其它设备的互通,需先关闭防火墙的包过滤功能,或将缺省的过滤行为改为允许报文通过,或在接口应用访问控制列表ACL以允许相应的报文通过。

关于以上内容的具体描述请参见《H3CSecPath系列安全产品操作手册》中的“安全”部分。

1.1路由模式下的防火墙配置

(1)为使防火墙可以与其它网络设备互通,必须先将相应接口加入到某一安全区域中,

且将缺省的过滤行为设置为允许,并为接口(以GigabitEthernet0/0为例)配置IP地址。

[H3C]firewallzonetrust

[H3C-zone-trust]addinterfaceGigabitEthernet0/0

[H3C-zone-trust]quit

[H3C]firewallpacket-filterdefaultpermit

[H3C]interfaceGigabitEthernet0/0

[H3C-GigabitEthernet0/0]ipaddress192.168.0.1255.255.255.0

(2)为PC配置IP地址。

假设PC的IP地址为192.168.0.2。

(3)使用Ping命令验证网络连接性。

H3Cping192.168.0.2

PING192.168.0.2:56databytes,pressCTRL_Ctobreak

Replyfrom192.168.0.2:bytes=56Sequence=1ttl=128time=30ms

Replyfrom192.168.0.2:bytes=56Sequence=2ttl=128time=10ms

Replyfrom192.168.0.2:bytes=56Sequence=3ttl=128time=10ms

Replyfrom192.168.0.2:bytes=56Sequence=4ttl=128time=10ms

Replyfrom192.168.0.2:bytes=56Sequence=5ttl=128time=10ms

---192.168.0.2pingstatistics---

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=10/14/30ms

Ping命令成功!

1.2透明模式下的防火墙配置

当防火墙工作在透明模式下时,其所有接口都将工作在第二层,即不能为接口配置IP地址。这样,用户若要对防火墙进行Web管理,需在透明模式下为防火墙配置一个系统IP地址(SystemIP)。用户可以通过此地址对防火墙进行Web管理。缺省情况下,防火墙工作在路由模式。

(1)配置防火墙工作在透明模式。

[H3C]firewallmode?

routeRoutemode

transparentTransparentmode

[H3C]firewallmodetransparent

Setsystemipaddresssuccessfully.

AlltheInterfacessipaddresseshavebeendeleted.

Themodeissetsuccessfully.

从以上显示的系统提示信息可以看出,防火墙已经工作在透明模式下,且所有接口上的IP地址已经被删除。

(2)为防火墙配置系统IP地址。

[H3C]firewallsystem-ip192.168.0.1255.255.255.0

Setsystemipaddresssuccessfully.

说明:

当防火墙切换到透明模式时,系统为防火墙分配了一个缺省系统IP地址169.0.0.1/8,可

以使用上述命令更改系统IP地址。

(3)将连接PC的接口加入到安全区域中,且将缺省的过滤行为设置为允许。假设防火墙

连接PC的接口为GigabitEthernet0/0。

[H3C]firewallzonetrust

[H3C-zone-trust]addinterfaceGigabitEtherne