h3c 网闸,内端主机访问域名如何配置
- 1关注
- 1收藏,127浏览
问题描述:
内端172.16.230.125,内端接口侧172.16.106.251,外端接口侧192.168.1.251 ,内端机访问外部域名,如***.***。如何实现,固件版本是ESS6002
组网及组网描述:
内端主机172.16.230.125,内端监听172.16.106.251,外端监听192.168.1.251 ,内端机访问外部域名,如***.***。如何实现,固件版本是ESS6002
- 2025-10-21提问
- 举报
-
(0)
最佳答案
给你找下手册
1 简介
本文档介绍了H3C SecPath GAP2000 HTTPS通道类型的配置举例。
H3C SecPath GAP2000 的HTTP通道虽然可以支持WEB应用的访问,但如果WEB应用启用了证书认证来对数据进行加密,那通道就无法对协议内容进行解析过滤了。为了解决这个问题我们设计了HTTPS通道功能。该通道导入证书和密钥后,可以关联HTTP应用策略,能对加密的HTTPS应用数据进行解析和过滤,实现类似HTTP通道的应用层安全过滤功能。
2 配置前提
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文假设您已了解H3C SecPath GAP2000特性。
3 配置举例
3.1 组网需求
外网客户端访问内网HTTPS server。HTTPS server在HTTP server的基础上,通过传输加密和身份认证,保证传输过程的安全性。部署H3C SecPath GAP2000后,配置HTTPS协议通道,使得客户端可以通过H3C SecPath GAP2000,访问HTTPS server的应用服务。
图1 HTTPS配置举例组网图
3.2 配置思路
· 其次,获取HTTPS协议所需的证书文件和私钥。(通常由业主或应用开发人员提供)
· 第二,配置内端机、外端机网络设置。
· 第三,在网闸上配置https通道,并在通道配置中上传证书和私钥。
· 第四,配置HTTP应用层策略,并在通道上关联。
· 实现客户端通过H3C SecPath GAP2000访问HTTPS server的服务。
表1 业务梳理:
访问源IP (源端发起访问的主机地址) | 监听地址 (连接客户端侧的网闸接口地址) | 连接地址 (连接服务器侧的网闸接口地址) | 目的地址 (WEB服务器IP) |
192.168.90.11/24 | 192.168.90.145/24 | 192.168.90.144/24 | 192.168.90.65/24 |
3.3 使用版本
本举例是在H3C i-Ware Software, Version 3.1, ESS 6702P02版本上进行配置和验证的。
3.4 配置步骤
3.4.1 通过B/S方式登录网闸内端
通过网闸内端MAN管理口登录网闸,打开浏览器输入https://192.168.0.1,(MAN口为内端专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 内端登录页面
3.4.2 内端网络配置
点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置网闸内端系统的IP。
图3 设置内端系统IP
设置完后点“保存”退出。
图4 添加、保存内端IP设置
3.4.3 通过B/S方式登录网闸外端
通过网闸外端MAN管理口登录网闸,打开浏览器输入https://192.168.0.2,(MAN口为外端专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图5 外端登录页面
3.4.4 外端网络配置
点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置网闸外端系统的IP。
图6 设置外端系统IP
设置完后点“保存”退出。
图7 添加、保存外端IP设置
3.4.5 通道管理
该配置在内、外端系统的secrecy账户下操作
1. 内端通道管理
添加HTTPS监听通道
表2 必填参数说明:
参数 | 说明 | 注意事项 |
通道ID | 由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 | 内外端同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
类型 | 应用类型:配置应用时请选择对应协议类型 | 内外端同一个应用的协议类型必须一致 |
通道方向 | 监听通道指入口规则 连接通道指出口规则 | 本端靠近访问源,则选择监听通道 本端靠近访问目标,则选择连接通道 |
端口类型 | 选择单个端口或者多个端口 | 内外端同一个应用的端口类型必须一致 |
监听地址 | 映射IP和映射端口。监听地址是连接客户端侧的网闸接口地址。这2个参数用于入口规则监听通道上。当访问的请求,其目标IP、目标端口符合监听地址、监听端口时,受理其访问请求,转发到另一端上。 | 同一个监听IP和监听端口的组合只能对应一个服务 |
监听端口 | ||
上传HTTPS证书 | 点击选择,将证书文件(pem格式)导入。 | 确保导入正确的HTTPS证书 |
上传HTTPS证书私钥 | 点击选择,将证书私钥文件(pem格式)导入。 | 确保导入正确的HTTPS证书私钥 |
图8 HTTPS监听通道配置界面
区别于HTTP通道,HTTPS通道多了4个参数项,下面着重说明:
上传HTTPS证书:点击选择,将证书文件(pem格式)导入。
HTTPS证书内容:无需配置操作,仅显示上面读取的证书内容。
上传HTTPS证书私钥:点击选择,将证书私钥文件(pem格式)导入。
HTTPS证书密码:如果密钥文件设置过密码,则需要填写。如果没有设置过密码,则可以忽略。
保存HTTPS通道
图9 已保存的内端HTTPS通道
2. 外端通道管理
添加HTTPS连接通道
表3 必填参数说明:
参数 | 说明 | 注意事项 |
通道ID | 由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 | 内外端同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
类型 | 应用类型:配置应用时请选择对应协议类型 | 内外端同一个应用的协议类型必须一致 |
通道方向 | 监听通道指入口规则 连接通道指出口规则 | 靠近访问源,则选择监听通道 靠近访问目标,则选择连接通道 |
端口类型 | 选择单个端口或者多个端口 | 内外端同一个应用的端口类型必须一致 |
连接地址 | 出口地址即连接服务器侧的网闸接口地址,重新封装数据包时,会以此IP作为源地址发出。 | 选择连接IP,即选择出口地址。请确保出口地址到目标服务器路由可达。 |
目的地址 | 另一端实际服务器的IP地址 |
|
目的端口 | 另一端实际服务器的服务端口 |
|
图10 HTTPS连接通道配置界面
保存HTTPS连接通道
图11 已保存的外端HTTPS连接通道
3.4.6 配置内端HTTP策略
HTTPS通道配置完成后,监听侧就可以配置HTTP应用策略了。下面我们以HTTP URL策略举例,验证HTTPS通道解析和过滤应用层内容是否生效。
1. 添加HTTP URL白名单策略
内端登录secrecy账号,进入“策略管理”>“HTTP”>“HTTP URL”,点击添加 “策略集”,输入策略集名称并选择过滤类型为“白名单”,然后选中该策略集,点击添加“策略”,输入策略名称和策略内容
图12 HTTP URL策略
在监听通道上勾选此策略,点击“保存并启用”。然后再启用连接通道。
3.5 验证配置
客户端访问https://192.168.90.145下面的1.txt和2.txt文件。
符合HTTP URL白名单策略的请求可以得到正常页面响应。
图13 访问成功
违反HTTP URL白名单策略的请求遭到拦截,无法显示页面。
图14 访问失败
此对比,证明HTTPS通道关联上HTTP应用策略后,可以对HTTPS加密内容进行深度解析和过滤。
- 2025-10-21回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论