H3C防火墙应用(一部分案例知识点)

1、H3C secpath
F1000-A-E1防火墙

Secpath F1000-A-EI是H3C公司面向大型企业和运营商用户开发的新一代电信级别防火墙设备。支持外部攻击防范、内网安全、流量监测、邮件过滤、网页过滤、应用层过滤。

安全区域优先级:

非受信区(untrust):  5

非军事化区(dmz):    50

受信区(trust):      85

本地区域(local):    100

管理区域(manage):   100

2、ipsec vpn的配置:实现两个内网互访

1)配置访问控制列表,匹配保护的数据流

[R1]acl  number 3000

rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0
0.0.0.255

rule deny ip source any destination any

2)创建安全提议(传输集)

ipsec proposal ycq-set

encapsulation-mode tunnel (隧道模式,默认)

transform esp(|ah|ah-esp)  (安全协议,默认esp)

esp enc  des

esp auth sha1

3)配置ike对等体、协商模式和秘钥

ike peer bj

pre-share ycq-key

remote-address 201.1.1.1

4)配置ike协商方式的安全策略

ipsec policy ycqmap 1 isakmp

security acl 3000

proposal ycq-set

ike-peer bj

4)应用到接口

int e0/1/0

ipsec policy ycqmap

3、配置NAPT,实现内网可以访问外网

1)配置要NAT转换的acl,排除需要保护的vpn数据流(不转换NAT)

[R1]acl number 3001

rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0
0.0.0.255

rule permit ip any source destination any

2)定义NAT转换后的地址池(NAPT只有一个地址)

nat  address-group 1 200.0.0.10
200.0.0.10

3)在外网接口上配置acl和NAT地址池的关联

int e0/1/0

nat outbound 3001 address-group 1

4、查看ike状态:dis ike sa

查看ipsec状态:dis ipsec
sa

查看nat转换: dis nat
session|statistics

时间: 2024-08-03 06:13:55

H3C防火墙应用(一部分案例知识点)的相关文章

H3C防火墙F1000-C-G通过命令行配置,开启对设备的Web管理

H3C F1000-C-G防火墙初始配置: IP地址:192.168.0.1; web功能已开启; 用户名和密码均为:admin; H3C防火墙买回来准备使用,按配置文档操作,ping 默认地址192.168.0.1不通;通过web浏览器访问http://192.168.0.1也访问不到. 那么通过下面方便就可以打开web用图形化界面配置防火墙设备了. 通过命令行设置管理口,实现对设备的Web管理 # 通过Console 口登录设备. # 系统默认将管理口加入到Management 域.如果未加

H3C防火墙实现NAT+DHCP

实验要求:使用防火墙,使内网中的PC自动获得IP地址,而且经过NAT转换,使内网内的主机能够正常访问因特网. 实验设备:H3C防火墙 拓扑图: 由于网络环境是处于局域网(192.168.102.0/24)内,局域网内用户可以访问Internet,因此使用192.168.102.0/24网段模拟因特网. 配置防火墙: interface Ethernet0/0 ip address 192.168.30.1 24 quit interface Ethernet0/4 ip address 192.

(原创)大数据时代:数据分析之基于微软案例数据库数据挖掘案例知识点总结

随着大数据时代的到来,数据挖掘的重要性就变得显而易见,几种作为最低层的简单的数据挖掘算法,现在利用微软数据案例库做一个简要总结. 应用场景介绍 其实数据挖掘应用的场景无处不在,很多的环境都会应用到数据挖掘,之前我们没有应用是因为还没有学会利用数据,或者说还没有体会到数据的重要性,现在随着IT行业中大数据时代的到来,让我一起去拥抱大数据,闲言少叙,此处我们就列举一个最简单的场景,一个销售厂商根据以往的销售记录单,通过数据挖掘技术预测出一份可能会购买该厂商产品的客户名单,我相信这也是很多销售机构想要

H3C防火墙——回环流量问题(内网终端通过外网IP访问内部服务器)

拓扑如下: 环境描述: 内网两个网段通过防火墙的NAT功能上网,内部WEB服务器:10.1.20.200 映射到公网80端口,配置信息如下: acl number 2000  description NAT_SOURCE  rule 5 permit source 10.1.20.0 0.0.0.255  rule 10 permit source 192.168.10.0 0.0.0.255 interface GigabitEthernet0/0  port link-mode route

H3C防火墙开启路由跟踪

有时为了排查网络的连通性需要用到Traceroute,然而有的设备默认并不开启路由跟踪,在排查故障的时候有时会要用到tracert来判断路由的正确性.  机房里有一台 H3C SecPath 和天融信防火墙相连,其他还有几台路由设备.在天融信上做了路由,访问的时候不通,由于路由设备较多,排查的时候使用tracert到H3C的设备就不通了,SecPath 没有ip ttl-expires enable.ip unreachables enable.ip df-unreachables enable

H3C防火墙端口开启二层模式,网络不通的解决方法

近日因工作关系需要配置一台H3C F100AG2的防火墙,由于该防火墙端口众多,我就想节约一台交换机,直接把防火墙剩余端口开启二层模式,然后划归同一VLAN下,当作交换端口使用.以下是简要配置要点:1.开启端口二层模式,之后端口默认划入了默认VLAN12.将VLAN虚接口和二层物理接口同时加入安全域,切记,否则会出现跨域不能访问.3.如果需要访问外网等需要,需要做NAT4.最重要的一点,需要开启域内策略,否则即使做了上面的所有配置,同一VLAN,同一安全域,同一网段照样不通.命令如下:secur

H3C防火墙sslvpn配置

第一步.配置PKI域sslvpn.<Sysname> system-view[Sysname] pki domain sslvpn        定义pki域名称sslvpn[Sysname-pki-domain-sslvpn] public-key rsa general name sslvpn 公钥名称sslvpn[Sysname-pki-domain-sslvpn] undo crl check enable   crl不检查[Sysname-pki-domain-sslvpn] qui

H3C WLAN wx3010 配置案例

H3C psk认证. 在ac上的配置. sysname ac#vlan 2 to 5 dhcp server ip-pool 3 network 192.168.3.0 mask 255.255.255.0 gateway-list 192.168.3.254#               dhcp server ip-pool 4 network 192.168.4.0 mask 255.255.255.0 gateway-list 192.168.4.254#               d

H3C防火墙系统升级

首先下载一个3cdaemon的FTP的软件. 第一步.打开3cdaemon的FTP的软件,点击-->"设置TFTP服务器" 第二步.点击-->TFTP设置-->选择需要升级的系统文件夹 第三步.系统文件名后缀一定要加上,否则上传不了 <H3C>tftp 1.1.1.1 get  XXXX.ipe                   上传完成后,执行<H3C>boot-loader file slot1#flash:/XXXX.ipe all m