H3C F1005防火墙怎么设置成透明模式
1.1 适用的产品系列
本案例适用于软件平台为Comware V7系列防火墙:F100-X-G2、F1000-X-G2、F100-WiNet、F1000-AK、F10X0等
注:本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上进行配置和验证的。
1.2 配置需求
如下组网图所示,在原有的网络中增加防火墙来提高网络安全性,但又不想对原有网络配置进行改动,所以需要防火墙采用透明模式部署;其中GigabitEthernet 1/0/1接口接原有路由器的下联口,GigabitEthernet 1/0/3接口接原有的交换机上联口。
2 组网图
3 配置步骤
3.1配置连接路由器接口
-
把1/0/1端口设置成二层模式
<H3C>system-view [H3C]interface GigabitEthernet 1/0/1 [H3C-GigabitEthernet1/0/1]port link-mode bridge [H3C-GigabitEthernet1/0/1]quit -
将1/0/1端口加入到Untrust域
[H3C]security-zone name Untrust [H3C-security-zone-Untrust]import interface GigabitEthernet1/0/1 vlan 1 to 4094 [H3C-security-zone-Untrust]quit
3.2配置连接核心交换机接口
-
把1/0/3端口设置成二层模式
[H3C]interface GigabitEthernet 1/0/3 [H3C-GigabitEthernet1/0/3]port link-mode bridge [H3C-GigabitEthernet1/0/3]quit -
将1/0/3端口加入到Trust域
[H3C]security-zone name Trust [H3C-security-zone-Trust]import interface GigabitEthernet1/0/3 vlan 1 to 4094 [H3C-security-zone-Trust]import interface Vlan-interface1000 [H3C-security-zone-Trust]quit
3.3 安全策略配置
防火墙目前版本存在两套安全策略,请在放通安全策略前确认设备运行那种类型的安全策略?以下配置任选其一。
- 通过命令
display cu | in security-policy如果查到命令行存在security-policy disable或者没有查到任何信息,则使用下面策略配置。[H3C]display cu | in security-policy security-policy disable
配置安全策略将Trust到Untrust域内网数据放通
-
创建对象策略pass。
[H3C]object-policy ip pass [H3C-object-policy-ip-pass] rule 0 pass [H3C-object-policy-ip-pass]quitacl advanced 3333 rule 5 permit ip -
创建Trust到Untrust域的域间策略调用pass策略。
[H3C]zone-pair security source Trust destination Untrust [H3C-zone-pair-security-Trust-Untrust]object-policy apply ip pass [H3C-zone-pair-security-Trust-Untrust]quit
配置安全策略将Trust到Local域、Local到Trust、Local到Untrust域数据全放通策略
zone-pair security source Trust destination Local
object-policy apply ip pass
packet-filter 3333-
创建Trust到Local域的域间策略调用pass策略。
[H3C]zone-pair security source Trust destination Local [H3C-zone-pair-security-Trust-Local]object-policy apply ip pass [H3C-zone-pair-security-Trust-Local]quit -
创建Local到Trust域的域间策略调用pass策略。
[H3C]zone-pair security source Local destination Trust [H3C-zone-pair-security-Local-Trust]object-policy apply ip pass [H3C-zone-pair-security-Local-Trust]quit -
创建Local到Untrust域的域间策略调用pass策略。
[H3C]zone-pair security source Local destination Untrust [H3C-zone-pair-security-Local-Untrust]object-policy apply ip pass [H3C-zone-pair-security-Local-Untrust]quit
- 通过命令
display cu | in security-policy如果查到命令行存在security-policy ip并且没有查到security-policy disable,则使用下面策略配置。[H3C]display cu | in security-policy security-policy ip
- 创建安全策略并放通local到trust和trust到local的安全策略。
[H3C]security-policy ip [H3C-security-policy-ip]rule 10 name test [H3C-security-policy-ip-10-test]action pass [H3C-security-policy-ip-10-test]source-zone local [H3C-security-policy-ip-10-test]source-zone Trust [H3C-security-policy-ip-10-test]source-zone Untrust [H3C-security-policy-ip-10-test]destination-zone local [H3C-security-policy-ip-10-test]destination-zone Trust [H3C-security-policy-ip-10-test]destination-zone Untrust [H3C-security-policy-ip-10-test]quit
3.4保存配置
<H3C>save force3.5查看与验证
配置完成后终端可以上网,路由器和交换机不需要更改配置
4.防火墙采用透明模式接入现在只能在机房用管理口访问管理,如何设置管理ip内网直接访问
可以使用带外管理的方式来实现。以下是部署要点,请参考:
-
根据现网的管理VLAN和网段,在防火墙上创建VLAN,并配置VLAN IP。
-
将VLAN划分到端口。
-
将VLAN、VLAN虚接口、物理端口加入安全域并放通安全策略。
-
配置默认路由指向到现网的管理VLAN和网段。
-
单独接线到现网管理VLAN和网段所在的设备的端口。
华三模拟器登录防火墙web配置
- 将G1/0/8接口划入安全域,命令如下
[H3C]security-zone name management [H3C-security-zone-Management]import interface GigabitEthernet 1/0/82.创建ACL允许管理流量通过,命令如下
[H3C]acl advanced 3000 [H3C-acl-ipv4-adv-3000]rule permit ip3.创建域间策略
[H3C]zone-pair security source Management destination Local [H3C-zone-pair-security-Management-Local]packet-filter 3000 [H3C]zone-pair security source Local destination Management [H3C-zone-pair-security-Management-Local]packet-filter 30004.开启web服务及用户登录
[H3C]ip http enable [H3C]ip https enable [H3C]local-user admin class manage [H3C-luser-manage-admin]service-type telnet terminal http
微信
支付宝本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。