hcl

您好，参考

Comware V5防火墙中存在区域优先级的概念，以及默认区域互访策略，即高优先级安全区域可以访问低优先级，低优先级区域不能访问高优先级区域，相同优先级区域可以互访，所有区域都可以访问local区域。

出于安全性的考虑，Comware V7摒弃了V5中区域优先级的概念以及默认域间策略。默认情况下，所有接口不属于任何安全域；区域之间默认无法互访。若要通过HTTP或HTTPS方式配置防火墙，需要在命令行下进行相关配置，下面介绍如何在HCL中通过WEB方式配置防火墙。

将F1060的G1/0/1口与Host_1的NIC网卡相连，若没有网卡，可在VirtualBox中添加，在此不再赘述。

(1) 配置Host_1地址：

打开物理机的网络连接，将VirtualBox Host-Only Network网卡地址配置为192.168.0.2/24，如下图

(2) 配置防火墙地址：

启动命令行终端，以admin/admin登录，查看G1/0/1接口地址默认为192.168.0.1/24，如下图

此时，在物理机下ping 192.168.0.1，无法ping通！

[H3C]security-zone name management

[H3C-security-zone-Management]import interface GigabitEthernet 1/0/1

查看安全域及域下接口：

[H3C]display security-zone

Name: Local

Members:

None

Name: Trust

Members:

None

Name: DMZ

Members:

None

Name: Untrust

Members:

None

Name: Management

Members:

GigabitEthernet1/0/1

上述配置将G1/0/1接口划到management域下，可以根据实际情况更改。

[H3C]acl advanced 3000

[H3C-acl-ipv4-adv-3000]rule permit ip

为了简化配置，在此允许所有ip流量通过。

Management到local策略：

[H3C]zone-pair security source management destination local

[H3C-zone-pair-security-Management-Local]packet-filter 3000

local到management策略：

[H3C]zone-pair security source local destination management

[H3C-zone-pair-security-Management-Local]packet-filter 3000

这时可以看到F1060配置界面：

(1) F1060上默认开启HTTP及HTTPS服务，若未开启，无法通过WEB登录。可以查看相关配置检查HTTP及HTTPS是否打开，也可以在cmd下telnet 192.168.0.1 80和telnet 192.168.0.1 443查看相关端口是否打开。

开启HTTP服务命令：ip http enable

开启HTTPS服务命令：ip https enable

(2) 默认admin用户只可以通HTTP方式登录；若使用其他用户登录，相关用户下必须开启service type http或https。