• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

h3c f1000-E v5.2 版本的防火墙 透明模式配置

2021-06-29提问
  • 1关注
  • 1收藏,2440浏览
温杰 零段
粉丝:0人 关注:0人

问题描述:

h3c f1000-E v5.2 版本的防火墙 透明模式配置希望准确的针对这个版本的谢谢提供一下

组网及组网描述:

h3c  f1000-E     v5.2  版本的防火墙  透明模式配置

上连路由器下接汇聚交换  路由和交换三层接口连接,不改变原因有的拓扑结构加入防火墙

最佳答案

粉丝:38人 关注:3人

实验:

https://zhiliao.h3c.com/theme/details/105021

https://zhiliao.h3c.com/theme/details/105023

手册:

3  普通二层转发配置举例

3.1  组网需求

图1所示,Host A和Server A属于VLAN 10,Host B和Server B属于VLAN 20。要求实现如下功能:

·     允许Host A在周一至周五访问Server A,其他时间不可以访问。

·     Host B只可以访问Server B的FTP服务,其他服务不可以访问。

图1 普通二层转发配置组网图

 

3.2  使用版本

本举例是在SecPath F5000-A5 Feature 3213版本上进行配置和验证的。

3.3  配置注意事项

在配置Firewall子接口加入相应VLAN之前,需保证主接口工作在桥接模式。

3.4  配置步骤

3.4.1  Switch A的配置

# 创建VLAN 10和VLAN 20。

<SwitchA> system-view

[SwitchA] vlan 10

[SwitchA-vlan10] quit

[SwitchA] vlan 20

[SwitchA-vlan20] quit

# 将接口加入相应VLAN。

[SwitchA] interface gigabitethernet 0/1

[SwitchA-GigabitEthernet0/1] port access vlan 10

[SwitchA-GigabitEthernet0/1] quit

[SwitchA] interface gigabitethernet 0/2

[SwitchA-GigabitEthernet0/2] port access vlan 20

[SwitchA-GigabitEthernet0/2] quit

[SwitchA] interface gigabitethernet 0/3

[SwitchA-GigabitEthernet0/3] port link-type trunk

[SwitchA-GigabitEthernet0/3] port trunk permit vlan 1 10 20

[SwitchA-GigabitEthernet0/3] quit

3.4.2  Switch B的配置

# 创建VLAN 10和VLAN 20。

<SwitchB> system-view

[SwitchB] vlan 10

[SwitchB-vlan10] quit

[SwitchB] vlan 20

[SwitchB-vlan20] quit

# 将接口加入相应VLAN。

[SwitchB] interface gigabitethernet 0/1

[SwitchB-GigabitEthernet0/1] port access vlan 10

[SwitchB-GigabitEthernet0/1] quit

[SwitchB] interface gigabitethernet 0/2

[SwitchB-GigabitEthernet0/2] port access vlan 20

[SwitchB-GigabitEthernet0/2] quit

[SwitchB] interface gigabitethernet 0/3

[SwitchB-GigabitEthernet0/3] port link-type trunk

[SwitchB-GigabitEthernet0/3] port trunk permit vlan 1 10 20

[SwitchB-GigabitEthernet0/3] quit

3.4.3  Firewall的配置

1. 通过Web方式配置Firewall

# 在左侧导航栏选择“网络管理 > VLAN > VLAN”,进入“VLAN 配置”页面,然后点击<新建>按钮,新建VLAN10和VLAN20,点击<确定>按钮完成配置。

图2 新建VLAN

 

# 在左侧导航栏选择“设备管理 > 接口管理”,然后点击<新建>按钮,创建子接口GigabitEthernet1/1.10、GigabitEthernet1/1.20、GigabitEthernet1/2.10、GigabitEthernet1/2.20。GigabitEthernet1/1.10和GigabitEthernet1/2.10 同属于VLAN 10,GigabitEthernet1/1.20和GigabitEthernet1/2.20同属于VLAN 20。以GigabitEthernet1/1.10为例。

图3 创建子接口GigabitEthernet1/1.10,并加入VLAN 10

 

# 在导航栏中选择“设备管理 > 安全域”页面,点击<新建>按钮,创建如下安全域,然后编辑安全域,把接口GigabitEthernet1/1.10加入vlan10-untrust、GigabitEthernet1/2.10加入vlan10-trust;GigabitEthernet1/1.20加入vlan20-untrust、GigabitEthernet1/2.20加入vlan20-trust。

图4 创建安全域

 

# 在导航栏中选择“资源管理 > 时间段”页面,点击<新建>按钮,创建如下时间段。

图5 创建时间段

 

# 在导航栏中选择“防火墙 > 安全策略 > 域间策略”,点击<新建>按钮,创建如下域间策略。

图6 创建vlan10_untrust到vlan10_trust的域间策略

 

图7 创建vlan20_untrust到vlan20_trust的域间策略

 

图8 域间策略

 

2. 通过命令行方式配置Firewall

# 配置VLAN 10和VLAN 20。

<Firewall> system-view

[Firewall] vlan 10

[Firewall-vlan10] quit

[Firewall] vlan 20

[Firewall-vlan20] quit

# 创建子接口GigabitEthernet1/1.10、GigabitEthernet1/1.20、GigabitEthernet1/2.10、GigabitEthernet1/2.20。GigabitEthernet1/1.10和GigabitEthernet1/2.10 同属于VLAN 10,GigabitEthernet1/1.20和GigabitEthernet1/2.20同属于VLAN 20。

[Firewall] interface gigabitethernet 1/1.10

[Firewall-GigabitEthernet1/1.10] port access vlan 10

[Firewall-GigabitEthernet1/1.10] quit

[Firewall] interface gigabitethernet 1/1.20

[Firewall-GigabitEthernet1/1.20] port access vlan 20

[Firewall-GigabitEthernet1/1.20] quit

[Firewall] interface gigabitethernet 1/2.10

[Firewall-GigabitEthernet1/2.10] port access vlan 10

[Firewall-GigabitEthernet1/2.10] quit

[Firewall] interface gigabitethernet 1/2.20

[Firewall-GigabitEthernet1/2.20] port access vlan 20

[Firewall-GigabitEthernet1/2.20] quit

# 创建安全域vlan10-trust、vlan10-untrust、vlan20-trust、vlan20-untrust,GigabitEthernet1/1.10加入vlan10-untrust、GigabitEthernet1/2.10加入vlan10-trust;GigabitEthernet1/1.20加入vlan20-untrust、GigabitEthernet1/2.20加入vlan20-trust。

[Firewall] zone name vlan10_trust id 5

[Firewall-zone-vlan10_trust] priority 80

[Firewall-zone-vlan10_trust] import interface gigabitethernet 1/2.10 vlan 10

[Firewall-zone-vlan10_trust] quit

[Firewall] zone name vlan10_untrust id 6

[Firewall-zone-vlan10_untrust] priority 5

[Firewall-zone-vlan10_untrust] import interface gigabitethernet 1/1.10 vlan 10

[Firewall-zone-vlan10_untrust] quit

[Firewall] zone name vlan20_trust id 7

[Firewall-zone-vlan20_trust] priority 90

[Firewall-zone-vlan20_trust] import interface gigabitethernet 1/2.20 vlan 20

[Firewall-zone-vlan20_trust] quit

[Firewall] zone name vlan20_untrust id 8

[Firewall-zone-vlan20_untrust] priority 5

[Firewall-zone-vlan20_untrust] import interface gigabitethernet 1/1.20 vlan 20

[Firewall-zone-vlan20_untrust] quit    

# 创建时间段worktime。

[Firewall] time-range worktime 00:00 to 24:00 working-day   

# 配置子网地址对象。

[Firewall] object network subnet 192.1.1.1/0.0.0.0

[Firewall-object-network-192.1.1.1/0.0.0.0] subnet 192.1.1.1 0.0.0.0

[Firewall-object-network-192.1.1.1/0.0.0.0] quit

[Firewall] object network subnet 192.1.1.2/0.0.0.0

[Firewall-object-network-192.1.1.2/0.0.0.0] subnet 192.1.1.2 0.0.0.0

[Firewall-object-network-192.1.1.2/0.0.0.0] quit

[Firewall] object network subnet 192.1.1.3/0.0.0.0

[Firewall-object-network-192.1.1.3/0.0.0.0] subnet 192.1.1.3 0.0.0.0

[Firewall-object-network-192.1.1.3/0.0.0.0] quit

[Firewall] object network subnet 192.1.1.4/0.0.0.0

[Firewall-object-network-192.1.1.4/0.0.0.0] subnet 192.1.1.4 0.0.0.0

[Firewall-object-network-192.1.1.4/0.0.0.0] quit

# 创建vlan10_untrust到vlan10_trust的域间策略。

[Firewall] interzone source vlan10_untrust destination vlan10_trust

[Firewall-interzone-vlan10_untrust-vlan10_trust] rule 0 permit time-range worktime

[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] source-ip 192.1.1.1/0.0.0.0

[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] destination-ip 192.1.1.2/0.0.0.0

[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] service any_service

[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] rule enable

[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] quit

# 创建vlan20_untrust到vlan20_trust的域间策略。

[Firewall] interzone source vlan20_untrust destination vlan20_trust

[Firewall-interzone-vlan20_untrust-vlan20_trust] rule 0 permit

[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] source-ip 192.1.1.3/0.0.0.0

[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] destination-ip 192.1.1.4/0.0.0.0

[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] service ftp

[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] rule enable

[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] quit



暂无评论

1 个回答
粉丝:133人 关注:6人

您好,请知:

以下是透明模式配置举例,请参考:

3  普通二层转发配置举例

3.1  组网需求

图1所示,Host A和Server A属于VLAN 10,Host B和Server B属于VLAN 20。要求实现如下功能:

·     允许Host A在周一至周五访问Server A,其他时间不可以访问。

·     Host B只可以访问Server B的FTP服务,其他服务不可以访问。

图1 普通二层转发配置组网图

 

3.2  使用版本

本举例是在SecPath F5000-A5 Feature 3213版本上进行配置和验证的。

3.3  配置注意事项

在配置Firewall子接口加入相应VLAN之前,需保证主接口工作在桥接模式。

3.4  配置步骤

3.4.1  Switch A的配置

# 创建VLAN 10和VLAN 20。

<SwitchA> system-view

[SwitchA] vlan 10

[SwitchA-vlan10] quit

[SwitchA] vlan 20

[SwitchA-vlan20] quit

# 将接口加入相应VLAN。

[SwitchA] interface gigabitethernet 0/1

[SwitchA-GigabitEthernet0/1] port access vlan 10

[SwitchA-GigabitEthernet0/1] quit

[SwitchA] interface gigabitethernet 0/2

[SwitchA-GigabitEthernet0/2] port access vlan 20

[SwitchA-GigabitEthernet0/2] quit

[SwitchA] interface gigabitethernet 0/3

[SwitchA-GigabitEthernet0/3] port link-type trunk

[SwitchA-GigabitEthernet0/3] port trunk permit vlan 1 10 20

[SwitchA-GigabitEthernet0/3] quit

3.4.2  Switch B的配置

# 创建VLAN 10和VLAN 20。

<SwitchB> system-view

[SwitchB] vlan 10

[SwitchB-vlan10] quit

[SwitchB] vlan 20

[SwitchB-vlan20] quit

# 将接口加入相应VLAN。

[SwitchB] interface gigabitethernet 0/1

[SwitchB-GigabitEthernet0/1] port access vlan 10

[SwitchB-GigabitEthernet0/1] quit

[SwitchB] interface gigabitethernet 0/2

[SwitchB-GigabitEthernet0/2] port access vlan 20

[SwitchB-GigabitEthernet0/2] quit

[SwitchB] interface gigabitethernet 0/3

[SwitchB-GigabitEthernet0/3] port link-type trunk

[SwitchB-GigabitEthernet0/3] port trunk permit vlan 1 10 20

[SwitchB-GigabitEthernet0/3] quit

3.4.3  Firewall的配置

1. 通过Web方式配置Firewall

# 在左侧导航栏选择“网络管理 > VLAN > VLAN”,进入“VLAN 配置”页面,然后点击<新建>按钮,新建VLAN10和VLAN20,点击<确定>按钮完成配置。

图2 新建VLAN

 

# 在左侧导航栏选择“设备管理 > 接口管理”,然后点击<新建>按钮,创建子接口GigabitEthernet1/1.10、GigabitEthernet1/1.20、GigabitEthernet1/2.10、GigabitEthernet1/2.20。GigabitEthernet1/1.10和GigabitEthernet1/2.10 同属于VLAN 10,GigabitEthernet1/1.20和GigabitEthernet1/2.20同属于VLAN 20。以GigabitEthernet1/1.10为例。

图3 创建子接口GigabitEthernet1/1.10,并加入VLAN 10

 

# 在导航栏中选择“设备管理 > 安全域”页面,点击<新建>按钮,创建如下安全域,然后编辑安全域,把接口GigabitEthernet1/1.10加入vlan10-untrust、GigabitEthernet1/2.10加入vlan10-trust;GigabitEthernet1/1.20加入vlan20-untrust、GigabitEthernet1/2.20加入vlan20-trust。

图4 创建安全域

 

# 在导航栏中选择“资源管理 > 时间段”页面,点击<新建>按钮,创建如下时间段。

图5 创建时间段

 

# 在导航栏中选择“防火墙 > 安全策略 > 域间策略”,点击<新建>按钮,创建如下域间策略。

图6 创建vlan10_untrust到vlan10_trust的域间策略

 

图7 创建vlan20_untrust到vlan20_trust的域间策略

 

图8 域间策略

 

2. 通过命令行方式配置Firewall

# 配置VLAN 10和VLAN 20。

<Firewall> system-view

[Firewall] vlan 10

[Firewall-vlan10] quit

[Firewall] vlan 20

[Firewall-vlan20] quit

# 创建子接口GigabitEthernet1/1.10、GigabitEthernet1/1.20、GigabitEthernet1/2.10、GigabitEthernet1/2.20。GigabitEthernet1/1.10和GigabitEthernet1/2.10 同属于VLAN 10,GigabitEthernet1/1.20和GigabitEthernet1/2.20同属于VLAN 20。

[Firewall] interface gigabitethernet 1/1.10

[Firewall-GigabitEthernet1/1.10] port access vlan 10

[Firewall-GigabitEthernet1/1.10] quit

[Firewall] interface gigabitethernet 1/1.20

[Firewall-GigabitEthernet1/1.20] port access vlan 20

[Firewall-GigabitEthernet1/1.20] quit

[Firewall] interface gigabitethernet 1/2.10

[Firewall-GigabitEthernet1/2.10] port access vlan 10

[Firewall-GigabitEthernet1/2.10] quit

[Firewall] interface gigabitethernet 1/2.20

[Firewall-GigabitEthernet1/2.20] port access vlan 20

[Firewall-GigabitEthernet1/2.20] quit

# 创建安全域vlan10-trust、vlan10-untrust、vlan20-trust、vlan20-untrust,GigabitEthernet1/1.10加入vlan10-untrust、GigabitEthernet1/2.10加入vlan10-trust;GigabitEthernet1/1.20加入vlan20-untrust、GigabitEthernet1/2.20加入vlan20-trust。

[Firewall] zone name vlan10_trust id 5

[Firewall-zone-vlan10_trust] priority 80

[Firewall-zone-vlan10_trust] import interface gigabitethernet 1/2.10 vlan 10

[Firewall-zone-vlan10_trust] quit

[Firewall] zone name vlan10_untrust id 6

[Firewall-zone-vlan10_untrust] priority 5

[Firewall-zone-vlan10_untrust] import interface gigabitethernet 1/1.10 vlan 10

[Firewall-zone-vlan10_untrust] quit

[Firewall] zone name vlan20_trust id 7

[Firewall-zone-vlan20_trust] priority 90

[Firewall-zone-vlan20_trust] import interface gigabitethernet 1/2.20 vlan 20

[Firewall-zone-vlan20_trust] quit

[Firewall] zone name vlan20_untrust id 8

[Firewall-zone-vlan20_untrust] priority 5

[Firewall-zone-vlan20_untrust] import interface gigabitethernet 1/1.20 vlan 20

[Firewall-zone-vlan20_untrust] quit    

# 创建时间段worktime。

[Firewall] time-range worktime 00:00 to 24:00 working-day   

# 配置子网地址对象。

[Firewall] object network subnet 192.1.1.1/0.0.0.0

[Firewall-object-network-192.1.1.1/0.0.0.0] subnet 192.1.1.1 0.0.0.0

[Firewall-object-network-192.1.1.1/0.0.0.0] quit

[Firewall] object network subnet 192.1.1.2/0.0.0.0

[Firewall-object-network-192.1.1.2/0.0.0.0] subnet 192.1.1.2 0.0.0.0

[Firewall-object-network-192.1.1.2/0.0.0.0] quit

[Firewall] object network subnet 192.1.1.3/0.0.0.0

[Firewall-object-network-192.1.1.3/0.0.0.0] subnet 192.1.1.3 0.0.0.0

[Firewall-object-network-192.1.1.3/0.0.0.0] quit

[Firewall] object network subnet 192.1.1.4/0.0.0.0

[Firewall-object-network-192.1.1.4/0.0.0.0] subnet 192.1.1.4 0.0.0.0

[Firewall-object-network-192.1.1.4/0.0.0.0] quit

# 创建vlan10_untrust到vlan10_trust的域间策略。

[Firewall] interzone source vlan10_untrust destination vlan10_trust

[Firewall-interzone-vlan10_untrust-vlan10_trust] rule 0 permit time-range worktime

[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] source-ip 192.1.1.1/0.0.0.0

[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] destination-ip 192.1.1.2/0.0.0.0

[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] service any_service

[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] rule enable

[Firewall-interzone-vlan10_untrust-vlan10_trust-rule-0] quit

# 创建vlan20_untrust到vlan20_trust的域间策略。

[Firewall] interzone source vlan20_untrust destination vlan20_trust

[Firewall-interzone-vlan20_untrust-vlan20_trust] rule 0 permit

[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] source-ip 192.1.1.3/0.0.0.0

[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] destination-ip 192.1.1.4/0.0.0.0

[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] service ftp

[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] rule enable

[Firewall-interzone-vlan20_untrust-vlan20_trust-rule-0] quit

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明