问

F100-A-G2防火墙，在4口创建了一个区域，并且把端口也加入到该区域了

2022-05-12提问

0关注
1收藏，736浏览

zhiliao_OtfbA5

zhiliao_OtfbA5 零段

粉丝：0人关注：3人

问题描述：

F100-A-G2防火墙，在4口创建了一个区域，并且把端口也加入到该区域了，想通过PC能够ping通这个端口地址。

PC和防火墙的这个端口都在一个网段地址了，就是ping不通防火墙端口的地址，还需要配置其他的策略吗，怎么配，

组网及组网描述：

2 个回答

按时间按赞数

叫我靓仔

叫我靓仔九段

粉丝：146人关注：1人

1、吧PC关联的防火墙接口也加入到同一个安全域

2、关闭终端的防火墙再试试

已经把端口加入到该区域了

zhiliao_OtfbA5 发表时间：2022-05-12 更多>>

已经把端口加入到该区域了

zhiliao_OtfbA5 发表时间：2022-05-12

IT钟点工

IT钟点工九段

粉丝：97人关注：1人

放通该区域到该区域的安全策略

参考

安全策略基于IP地址的典型配置举例

1. 组网需求

· 某公司内的各部门之间通过Device实现互连，该公司的工作时间为每周工作日的8点到18点。

· 通过配置安全策略规则，允许总裁办在任意时间、财务部在工作时间通过HTTP协议访问财务数据库服务器的Web服务，禁止其它部门在任何时间、财务部在非工作时间通过HTTP协议访问该服务器的Web服务。

2. 组网图

图1-3 安全策略基于IP地址的配置组网图

3. 配置步骤

(1) 配置时间段

# 创建名为work的时间段，其时间范围为每周工作日的8点到18点。

<Device> system-view

[Device] time-range work 08:00 to 18:00 working-day

(2) 配置安全域

# 创建名为database的安全域，并将接口GigabitEthernet1/0/1加入该安全域中。

[Device] security-zone name database

[Device-security-zone-database] import interface gigabitethernet 1/0/1

[Device-security-zone-database] quit

# 创建名为president的安全域，并将接口GigabitEthernet1/0/2加入该安全域中。

[Device] security-zone name president

[Device-security-zone-president] import interface gigabitethernet 1/0/2

[Device-security-zone-president] quit

# 创建名为finance的安全域，并将接口GigabitEthernet1/0/3加入该安全域中。

[Device] security-zone name finance

[Device-security-zone-finance] import interface gigabitethernet 1/0/3

[Device-security-zone-finance] quit

# 创建名为market的安全域，并将接口GigabitEthernet1/0/4加入该安全域中。

[Device] security-zone name market

[Device-security-zone-market] import interface gigabitethernet 1/0/4

[Device-security-zone-market] quit

(3) 配置对象

# 创建名为database的IP地址对象组，并定义其子网地址为192.168.0.0/24。

[Device] object-group ip address database

[Device-obj-grp-ip-database] network subnet 192.168.0.0 24

[Device-obj-grp-ip-database] quit

# 创建名为president的IP地址对象组，并定义其子网地址为192.168.1.0/24。

[Device] object-group ip address president

[Device-obj-grp-ip-president] network subnet 192.168.1.0 24

[Device-obj-grp-ip-president] quit

# 创建名为finance的IP地址对象组，并定义其子网地址为192.168.2.0/24。

[Device] object-group ip address finance

[Device-obj-grp-ip-finance] network subnet 192.168.2.0 24

[Device-obj-grp-ip-finance] quit

# 创建名为market的IP地址对象组，并定义其子网地址为192.168.3.0/24。

[Device] object-group ip address market

[Device-obj-grp-ip-market] network subnet 192.168.3.0 24

[Device-obj-grp-ip-market] quit

# 创建名为web的服务对象组，并定义其支持的服务为HTTP。

[Device] object-group service web

[Device-obj-grp-service-web] service 6 destination eq 80

[Device-obj-grp-service-web] quit

(4) 配置安全策略及规则

# 进入IPv4安全策略视图。

[Device] security-policy ip

[Device-security-policy-ip]

# 制订允许总裁办在任意时间通过HTTP协议访问财务数据库服务器的安全策略规则，其规则名称为president-database。

[Device-security-policy-ip] rule 0 name president-database

[Device-security-policy-ip-0-president-database] source-zone president

[Device-security-policy-ip-0-president-database] destination-zone database

[Device-security-policy-ip-0-president-database] source-ip president

[Device-security-policy-ip-0-president-database] destination-ip database

[Device-security-policy-ip-0-president-database] service web

[Device-security-policy-ip-0-president-database] action pass

[Device-security-policy-ip-0-president-database] quit

# 制订只允许财务部在工作时间通过HTTP协议访问财务数据库服务器的安全策略规则，其规则名称为finance-database。

[Device-security-policy-ip] rule 1 name finance-database

[Device-security-policy-ip-1-finance-database] source-zone finance

[Device-security-policy-ip-1-finance-database] destination-zone database

[Device-security-policy-ip-1-finance-database] source-ip finance

[Device-security-policy-ip-1-finance-database] destination-ip database

[Device-security-policy-ip-1-finance-database] service web

[Device-security-policy-ip-1-finance-database] action pass

[Device-security-policy-ip-1-finance-database] time-range work

[Device-security-policy-ip-1-finance-database] quit

# 制订禁止市场部在任何时间通过HTTP协议访问财务数据库服务器的安全策略规则，其规则名称为market-database。

[Device-security-policy-ip] rule 2 name market-database

[Device-security-policy-ip-2-market-database] source-zone market

[Device-security-policy-ip-2-market-database] destination-zone database

[Device-security-policy-ip-2-market-database] source-ip market

[Device-security-policy-ip-2-market-database] destination-ip database

[Device-security-policy-ip-2-market-database] service web

[Device-security-policy-ip-2-market-database] action drop

[Device-security-policy-ip-2-market-database] quit

# 激活安全策略规则的加速功能。

[Device-security-policy-ip] accelerate enhanced enable

[Device-security-policy-ip] quit

4. 验证配置

配置完成后，总裁办可以在任意时间访问财务数据库服务器的Web服务，财务部仅可以在工作时间访问财务数据库服务器的Web服务，其他部门任何时间均不可以访问财务数据库服务器的Web服务。

编辑答案

分享扩散:

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

侵犯我的权益 >

对根叔社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

F100-A-G2防火墙，在4口创建了一个区域，并且把端口也加入到该区域了

问题描述：

组网及组网描述：

安全策略基于IP地址的典型配置举例

1. 组网需求

2. 组网图

3. 配置步骤

4. 验证配置

编辑答案

提出建议