F1000-S-AI V5.20
- 0关注
- 1收藏,1116浏览
问题描述:
问题:192.168.0.2的电脑,无法打开和PING通 防火墙192.168.0.1的IP,更不能使用WEB管理防火墙.
解决目的: 使 192.168.0.2 的电脑可以使用WEB管理防火墙.
防火墙刚恢复初厂值. HTTP是打开的, IP地址也都正确.
GigabitEthernet0/0
ip address 192.168.0.1 255.255.255.0
系统是F1000-S-AI V5.20
域间策略和安全域这些都没有做设置.
本人小白,劳烦将命令行提供下.谢谢!
组网及组网描述:
isp===F1000-S-AI===HOST
- 2021-10-30提问
- 举报
-
(0)
最佳答案
可以参考如下示例:
1.3.8 安全域典型配置举例
1. 组网需求
某公司以设备Firewall作为网络边界防火墙,连接公司内部网络和Internet。公司需要对外提供WWW和FTP服务。现需要对防火墙进行一些安全域的基本配置,为后面的安全策略的设置做好准备。
· 公司内部网络属于可信任网络,可以自由访问服务器和外部网络。可以将内部网络部署在优先级相对较高的Trust域,由Firewall的接口GigabitEthernet0/3与之相连。
· 外部网络属于不可信任网络,需要使用严格的安全策略来限制外部网络对公司内部网络和服务器的访问。可以将外部网络部署在优先级相对较低的Untrust域,由Firewall的接口GigabitEthernet0/2与之相连。
· 公司对外提供服务的WWW server、FTP server等,如果将这些服务器放置于外部网络则它们的安全性无法保障;如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。可以将服务器部署在优先级处于Trust和Untrust之间的DMZ域,由Firewall的接口GigabitEthernet0/1与之相连。这样,处于DMZ域的服务器可以自由访问处于优先级较低的Untrust域的外部网络,但在访问处于优先级较高的Trust域的公司内部网络时,则要受到严格的安全策略的限制。
要求公司内部网络主动向外部网络以及DMZ域发起的连接请求可以被正常处理,且禁止外部网络主动访问内部网络。
2. 组网图
3. 配置步骤
# 缺省情况下,系统已经创建了Trust、DMZ和Untrust安全域。因此不需要创建这些安全域,只需对其进行部署即可。
# 向安全域DMZ中添加接口GigabitEthernet0/1。
[Firewall] zone name DMZ
[Firewall-zone-DMZ] import interface gigabitethernet 0/1
[Firewall-zone-DMZ] quit
# 向安全域Untrust中添加接口GigabitEthernet0/2。
[Firewall] zone name Untrust
[Firewall-zone-Untrust] import interface gigabitethernet 0/2
[Firewall-zone-Untrust] quit
# 向安全域Trust中添加接口GigabitEthernet0/3。
<Firewall> system-view
[Firewall] zone name Trust
[Firewall-zone-Trust] import interface gigabitethernet 0/3
[Firewall-zone-Trust] quit
# 创建源安全域Trust到目的安全域Untrust的域间实例,并在该域间实例上开启ASPF检测功能。
[Firewall] interzone source Trust destination Untrust
[Firewall-interzone-Trust-Untrust] firewall aspf enable
[Firewall-interzone-Trust-Untrust] quit
# 创建源安全域Trust到目的安全域DMZ的域间实例,并在该域间实例上开启ASPF检测功能。
[Firewall] interzone source Trust destination DMZ
[Firewall-interzone-Trust-DMZ] firewall aspf enable
[Firewall-interzone-Trust-DMZ] quit
# 配置域间策略默认转发规则,允许高优先级安全域访问低优先级安全域,不允许低优先级安全域访问高优先级安全域。
[Firewall] interzone policy default by-priority
4. 验证配置结果
以上配置完成后,内网主机可访问外部网络以及DMZ域内的服务器资源。外部网络向内部网络主动发起的连接请求将被拒绝。
- 2021-10-30回答
- 评论(4)
- 举报
-
(0)
非常感谢你的方案,现在主机与防火墙可以PING通了.但是WEB管理页面还是打不开. self-service-url disable 是不是与这个有关? 打不开管理页面,网页提示:无法访问此页面.
[H3C]dis cu # version 5.20, Release 3734P13 # sysname H3C # undo voice vlan mac-address 00e0-bb00-0000 # interzone policy default by-priority # domain default enable system # ip http acl 2001 # undo alg dns undo alg rtsp undo alg h323 undo alg sip undo alg sqlnet undo alg pptp undo alg ils undo alg nbt undo alg msn undo alg qq undo alg tftp undo alg sccp undo alg gtp # session synchronization enable # password-recovery enable # acl number 2001 rule 0 permit source 0.0.0.0 255.255.255.0 # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # pki domain default crl check disable # user-group system group-attribute allow-guest # local-user admin password cipher $c$3$WsAAlGJUJReBQkjoLNVtGdz3//f8S7+NhQ== authorization-attribute level 3 service-type telnet service-type web # interface NULL0 # interface GigabitEthernet0/0 port link-mode route ip address 192.168.0.1 255.255.255.0 # interface GigabitEthernet0/1 port link-mode route # interface GigabitEthernet0/2 port link-mode route # interface GigabitEthernet0/3 port link-mode route # interface GigabitEthernet0/4 port link-mode route # interface GigabitEthernet0/5 port link-mode route # interface GigabitEthernet0/6 port link-mode route # interface GigabitEthernet0/7 port link-mode route # interface GigabitEthernet0/8 port link-mode route # interface GigabitEthernet0/9 port link-mode route # interface GigabitEthernet0/10 port link-mode route # interface GigabitEthernet0/11 port link-mode route # vd Root id 1 # zone name Management id 0 priority 100 import interface GigabitEthernet0/0 zone name Local id 1 priority 100 zone name Trust id 2 priority 85 zone name DMZ id 3 priority 50 import interface GigabitEthernet0/1 zone name Untrust id 4 priority 5 import interface GigabitEthernet0/11 switchto vd Root zone name Management id 0 ip virtual-reassembly zone name Local id 1 ip virtual-reassembly zone name Trust id 2 ip virtual-reassembly zone name DMZ id 3 ip virtual-reassembly zone name Untrust id 4 ip virtual-reassembly interzone source Management destination Untrust firewall aspf enable interzone source Trust destination DMZ firewall aspf enable interzone source Trust destination Untrust firewall aspf enable # load xml-configuration # load tr069-configuration # user-interface con 0 authentication-mode password set authentication password cipher $c$3$/sqbV+O3XBaHvFs0svkpR4dBSIcdBygQYQ== user-interface vty 0 4 authentication-mode scheme # return 老师,帮我看一下,现在可以PING通.可是还是无法打开192.168.0.1的WEB管理页面.提示网页无法打开. 谢谢!
我按你上面的配置. GI 0/0 是TRUST GI 0/1是DMZ GI 0/11 是Untrust 可是WEB是启动的,能PING通,就是打不开管理的那个页面.
ip http enable / ip https enable 都需要开启一下
电脑改为192.168.0.0/24段接在0口,web采用https登录
https://192.168.0.1
电脑改为192.168.1.0/24段接在2口,web采用https登录
https://192.168.1.1
- 2021-10-30回答
- 评论(0)
- 举报
-
(0)
参考这两个文档。
http://www.h3c.com/cn/Service/Document_Software/Document_Center/IP_Security/Comware_V5/F1000-S-AI/?category=139288
- 2021-10-30回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
ip http enable / ip https enable 都需要开启一下