F100-C-G5
- 0关注
- 0收藏,526浏览
问题描述:
新装网关,不太懂设置求指点,0口管理,1口光猫,2口3口连接服务器,要求策略为禁止外网访问,但是可以访问外网,4口5口接路由器,连接其余电脑,没啥要求,但是要可以访问2口3口服务器
组网及组网描述:
连接方向:光猫-网关-路由器(123)
- 2023-11-13提问
- 举报
-
(0)
接入加入安全区域,策略放通需要的区域即可
3.5 配置外网接口加入Untrust安全区域
#将1/0/3外网接口加入Untrust区域。
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust]import interface GigabitEthernet 1/0/3
[H3C-security-zone-Untrust]quit
3.6 配置内网接口加入Trust安全区域
#将1/0/4内网接口加入Trust区域。
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/4
[H3C-security-zone-Trust]quit
3.7 安全策略配置
防火墙目前版本存在两套安全策略,请在放通安全策略前确认设备运行那种类型的安全策略?以下配置任选其一。
1. 通过命令“display cu | in security-policy”如果查到命令行存在“security-policy disable”或者没有查到任何信息,则使用下面策略配置。
[H3C]display cu | in security-policy
security-policy disable
配置安全策略将Trust到Untrust域内网数据放通
#创建对象策略pass。
[H3C]object-policy ip pass
[H3C-object-policy-ip-pass] rule 0 pass
[H3C-object-policy-ip-pass]quit
创建Trust到Untrust域的域间策略调用pass策略。
[H3C]zone-pair security source Trust destination Untrust
[H3C-zone-pair-security-Trust-Untrust]object-policy apply ip pass
[H3C-zone-pair-security-Trust-Untrust]quit
配置安全策略将Trust到Local域、Local到Trust、Local到Untrust域数据全放通策略
#创建Trust到Local域的域间策略调用pass策略。
[H3C]zone-pair security source Trust destination Local
[H3C-zone-pair-security-Trust-Local]object-policy apply ip pass
[H3C-zone-pair-security-Trust-Local]quit
#创建Local到Trust域的域间策略调用pass策略。
[H3C]zone-pair security source Local destination Trust
[H3C-zone-pair-security-Local-Trust]object-policy apply ip pass
[H3C-zone-pair-security-Local-Trust]quit
#创建Local到Untrust域的域间策略调用pass策略。
[H3C]zone-pair security source Local destination Untrust
[H3C-zone-pair-security-Local-Untrust]object-policy apply ip pass
[H3C-zone-pair-security-Local-Untrust]quit
2. 通过命令“display cu | in security-policy”如果查到命令行存在“security-policy ip”并且没有查到“security-policy disable”,则使用下面策略配置。
[H3C]display cu | in security-policy
security-policy ip
创建安全策略并放通local到trust和trust到local的安全策略。
[H3C]security-policy ip
[H3C-security-policy-ip]rule 10 name test
[H3C-security-policy-ip-10-test]action pass
[H3C-security-policy-ip-10-test]source-zone local
[H3C-security-policy-ip-10-test]source-zone Trust
[H3C-security-policy-ip-10-test]source-zone Untrust
[H3C-security-policy-ip-10-test]destination-zone local
[H3C-security-policy-ip-10-test]destination-zone Trust
[H3C-security-policy-ip-10-test]destination-zone Untrust
[H3C-security-policy-ip-10-test]quit
- 2023-11-13回答
- 评论(0)
- 举报
-
(0)
我可以帮你配置你的H3C F100-C-G5防火墙,让你的网络满足你的要求。根据你的描述,你需要做以下的步骤:
- 首先,你需要给你的防火墙接口分配IP地址,并设置0口为管理口,1口为外网口,2口和3口为内网口,4口和5口为客户端口。你可以参考以下的命令:
- [Device] interface GigabitEthernet 0/0
- [Device-GigabitEthernet0/0] ip address 192.168.0.1 24
- [Device-GigabitEthernet0/0] management enable
- [Device] interface GigabitEthernet 0/1
- [Device-GigabitEthernet0/1] ip address dhcp-alloc
- [Device] interface GigabitEthernet 0/2
- [Device-GigabitEthernet0/2] ip address 10.0.0.1 24
- [Device] interface GigabitEthernet 0/3
- [Device-GigabitEthernet0/3] ip address 10.0.1.1 24
- [Device] interface GigabitEthernet 0/4
- [Device-GigabitEthernet0/4] ip address 10.0.2.1 24
- [Device] interface GigabitEthernet 0/5
- [Device-GigabitEthernet0/5] ip address 10.0.3.1 24
- 然后,你需要把你的防火墙接口加入到相应的安全域中,例如,1口加入到Untrust域,2口和3口加入到Trust域,4口和5口加入到Local域。你可以参考以下的命令:
- [Device] firewall zone Untrust
- [Device-zone-Untrust] add interface GigabitEthernet 0/1
- [Device] firewall zone Trust
- [Device-zone-Trust] add interface GigabitEthernet 0/2
- [Device-zone-Trust] add interface GigabitEthernet 0/3
- [Device] firewall zone Local
- [Device-zone-Local] add interface GigabitEthernet 0/4
- [Device-zone-Local] add interface GigabitEthernet 0/5
- 接着,你需要配置安全策略,控制不同域之间的流量。你的要求是禁止外网访问内网,但是允许内网访问外网,以及允许客户端访问内网。你可以参考以下的命令:
- [Device] firewall interzone Untrust Trust deny
- [Device] firewall interzone Trust Untrust permit
- [Device] firewall interzone Local Trust permit
- [Device] firewall interzone Trust Local permit
- 最后,你需要配置NAT,让你的内网和客户端可以通过外网口访问互联网。你可以参考以下的命令:
- [Device] nat address-group 1 1.1.1.1 1.1.1.10
- [Device] nat outbound 2000 address-group 1
- [Device] interface GigabitEthernet 0/2
- [Device-GigabitEthernet0/2] nat outbound 2000
- [Device] interface GigabitEthernet 0/3
- [Device-GigabitEthernet0/3] nat outbound 2000
- [Device] interface GigabitEthernet 0/4
- [Device-GigabitEthernet0/4] nat outbound 2000
- [Device] interface GigabitEthernet 0/5
- [Device-GigabitEthernet0/5] nat outbound 2000
这样,你就可以完成你的防火墙配置,实现你的网络需求。你可以参考以下的网页,了解更多关于H3C F100-C-G5防火墙的配置和使用的信息123456
- 2023-11-13回答
- 评论(1)
- 举报
-
(0)
45口加入local好像没有看到选项啊,web界面
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明