F100-C-EI设置教程
- 0关注
- 0收藏,45浏览
1. 初始配置与访问管理
首先,需要通过 Console 口对防火墙进行初始设置,并开启 Web 管理功能。
① 通过 Console 口进行初始配置
物理连接:使用 Console 线连接电脑的 COM 口和防火墙的 Console 口。使用终端软件(如 PuTTY、SecureCRT),设置参数为:
9600波特率,8数据位,无校验,1停止位,无流控。进入系统视图:连接成功后,进入命令行界面。
<H3C> system-view设置设备名称(可选):
[H3C] sysname F100-C-EI开启防火墙功能:
[F100-C-EI] firewall packet-filter default permit[F100-C-EI] firewall packet-filter enable
注:firewall packet-filter default permit命令设置防火墙默认策略为允许报文通过。如需更严格的安全策略,可改为deny。命令末尾的permit或deny分别对应允许或禁止。
② 开启 Web 管理功能
F100-C-EI 默认关闭 Web 管理,需要通过命令行开启并创建管理账户。
开启 HTTP 服务:
[F100-C-EI] undo ip http shutdown配置管理接口 IP:选择一个接口作为管理口(如 Ethernet0/0),为其配置 IP 地址,并将该接口加入安全域
Trust。[F100-C-EI-Ethernet0/0] ip address 192.168.0.1 24[F100-C-EI] interface Ethernet0/0
[F100-C-EI-Ethernet0/0] quit
[F100-C-EI] firewall zone trust
[F100-C-EI-zone-trust] add interface Ethernet0/0创建 Web 管理员账户:
[F100-C-EI-luser-admin] password simple your_password[F100-C-EI] local-user admin
[F100-C-EI-luser-admin] service-type telnet
[F100-C-EI-luser-admin] level 3
注:Web 访问权限与 Telnet 权限关联,因此需要设置service-type telnet。访问 Web 界面:将电脑 IP 配置为
192.168.0.x/24,在浏览器中输入http://192.168.0.1,使用刚才创建的用户名和密码登录。
2. 基础上网配置 (路由模式)
以内部网络(Trust 区)通过外网口(Untrust 区)访问互联网为例。
① 配置接口并加入安全域
将连接内网的接口加入 Trust 域,连接外网的接口加入 Untrust 域。
[F100-C-EI-Ethernet0/1] quit
[F100-C-EI] interface Ethernet0/2 # 外网口
[F100-C-EI-Ethernet0/2] ip address 10.0.0.1 24
[F100-C-EI-Ethernet0/2] quit
[F100-C-EI] firewall zone trust
[F100-C-EI-zone-trust] add interface Ethernet0/1
[F100-C-EI] firewall zone untrust
[F100-C-EI-zone-untrust] add interface Ethernet0/2
② 配置静态路由
为外网流量配置默认路由。
放行 Trust 到 Untrust 方向的流量。
注:此处的
3000是 ACL 编号,需创建相应的 ACL 来匹配允许通过的流量。
3. 安全策略与访问控制
安全策略通过 zone-pair 实现,可以基于源/目的地址、服务等进行精细控制。
创建 ACL:
[F100-C-EI-acl-ipv4-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination any[F100-C-EI] acl advanced 3000应用到 zone-pair:
[F100-C-EI] zone-pair security source trust destination untrust[F100-C-EI-zone-pair-security] packet-filter 3000
注意:防火墙的域间策略遵循“没有明确允许即禁止”的原则,未配置策略的域间流量将被阻断。
4. 常见业务配置 (NAT/VPN)
① 网络地址转换 (NAT)
动态 NAT (NAPT):让内网多个用户共享一个公网 IP 访问 Internet。
[F100-C-EI-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255[F100-C-EI] acl basic 2000
[F100-C-EI] interface Ethernet0/2
[F100-C-EI-Ethernet0/2] nat outbound 2000NAT Server (端口映射):将内网服务器(如 Web)发布到公网。
[F100-C-EI-Ethernet0/2] nat server protocol tcp global 10.0.0.1 80 inside 192.168.1.100 80[F100-C-EI] interface Ethernet0/2
② 虚拟专用网 (VPN)
该型号支持 L2TP、IPSec、GRE 等多种 VPN。配置逻辑一般为:配置 IKE 提议/策略 → 配置 IPSec 安全提议 → 配置 IPSec 策略 → 应用到接口。
5. 常用维护命令
保存配置:
save查看接口信息:
display interface Ethernet0/0查看路由表:
display ip routing-table查看安全策略:
display zone-pair security查看 NAT 会话:
display nat session
1. 初始登录:
网线接GE0/0口,本地终端设192.168.0.2/24,浏览器输入https://192.168.0.1,默认账号密码admin/admin,首次登录强制修改密码;Console登录波特率为9600。
2. 核心配置关键命令:
配置外网口(以GE0/1为例)
interface GigabitEthernet0/1
ip address 运营商分配公网IP 子网掩码
nat outbound # 开启出接口Easy IP NAT
配置默认路由
ip route-static 0.0.0.0 0 运营商网关地址
安全域绑定
security-zone name Untrust
import interface G0/1
security-zone name Trust
import interface G0/0 # 其余内网接口按需加入Trust域
放通内网到外网访问策略
security-policy ip
rule name trust_to_untrust
source-zone Trust
destination-zone Untrust
action pass
3. 注意事项:配置完成后执行save命令或Web端点击保存,避免重启配置丢失;如需修改默认192.168.0.0/24段网关,进入interface G0/0修改IP地址即可。
暂无评论
H3C SecPath F100-C-EI 防火墙完整设置教程(Web + 命令行)
F100-C-EI 是 H3C 企业级下一代防火墙(Comware V7),最常用路由模式(网关) 上网,以下从初始化登录→基础上网→安全策略→NAT→高级功能全流程配置,新手可直接照做。
一、出厂默认信息(必看)
管理口:GE1/0/0(标注 MGT)
默认 IP:192.168.0.1/24
Web/Console 账号:admin / admin
串口参数:9600 8N1(波特率 9600、数据位 8、停止位 1、无校验)
二、第一步:登录设备(Web/Console)
方式 1:Web 登录(推荐)
电脑网口设为 192.168.0.x/24(如 192.168.0.2)
网线连电脑 ↔ 防火墙 GE1/0/0(MGT)
浏览器打开:https://192.168.0.1(支持 Chrome/Edge)
输入:admin / admin 登录
方式 2:Console 登录(忘密码 / Web 不可用时)
Console 线连电脑 ↔ 防火墙 Console 口
串口工具(PuTTY/Xshell)参数:9600 8N1
回车 → 输入 admin / admin 登录
三、第二步:接口与区域规划(路由模式)
1. 接口规划(典型)
GE1/0/1(WAN):接光猫 / 运营商(Untrust 区域)
GE1/0/2~GE1/0/4(LAN):接内网交换机(Trust 区域)
GE1/0/0(MGT):保留管理(Management 区域)
2. Web 配置接口
网络 → 接口 → 点击对应接口(如 GE1/0/1)
WAN 口(GE1/0/1)
安全域:Untrust
连接方式:PPPoE / 静态 IP/DHCP(按运营商)
LAN 口(GE1/0/2)
安全域:Trust
IP:192.168.1.1/24(内网网关)
应用 → 保存
3. 命令行等价配置(CLI)
plaintext
<H3C>system-view
[H3C]interface GigabitEthernet 1/0/1
[H3C-GigabitEthernet1/0/1]zone untrust
[H3C-GigabitEthernet1/0/1]pppoe-client dial-bundle-number 1 # PPPoE
[H3C-GigabitEthernet1/0/1]quit
[H3C]interface GigabitEthernet 1/0/2
[H3C-GigabitEthernet1/0/2]zone trust
[H3C-GigabitEthernet1/0/2]ip address 192.168.1.1 255.255.255.0
[H3C-GigabitEthernet1/0/2]quit
# 开启 DHCP(内网自动分配IP)
[H3C]dhcp enable
[H3C]dhcp server ip-pool LAN
[H3C-dhcp-pool-LAN]network 192.168.1.0 mask 255.255.255.0
[H3C-dhcp-pool-LAN]gateway-list 192.168.1.1
[H3C-dhcp-pool-LAN]dns-list 223.5.5.5 223.6.6.6
[H3C-dhcp-pool-LAN]quit
四、第三步:上网配置(3 种方式)
1. PPPoE 拨号(家用 / 商用宽带最常用)
Web
网络 → 接口 → WAN 口(GE1/0/1)
连接类型:PPPoE
用户名 / 密码:运营商提供
在线模式:永久在线
确定 → 保存
CLI
plaintext
[H3C]interface Dialer 1
[H3C-Dialer1]link-protocol ppp
[H3C-Dialer1]ppp chap user 宽带账号
[H3C-Dialer1]ppp chap password simple 宽带密码
[H3C-Dialer1]ip address ppp-negotiate
[H3C-Dialer1]dialer bundle 1
[H3C-Dialer1]quit
[H3C]ip route-static 0.0.0.0 0 Dialer 1 # 默认路由
2. 静态 IP(固定公网 IP)
IP / 掩码 / 网关 / DNS 按运营商填写
默认路由指向运营商网关
3. DHCP(光猫自动分配)
连接类型选 DHCP → 应用
五、第四步:安全策略(放通内网→互联网)
Web(关键!默认拒绝全部)
策略 → 安全策略 → 新建
名称:Trust_to_Untrust
源安全域:Trust
目的安全域:Untrust
源 / 目的地址:any
服务:any
动作:允许
确定 → 保存
CLI
plaintext
[H3C]security-policy ip
[H3C-security-policy-ip]rule name Trust_to_Untrust
[H3C-security-policy-ip-rule-Trust_to_Untrust]source-zone trust
[H3C-security-policy-ip-rule-Trust_to_Untrust]destination-zone untrust
[H3C-security-policy-ip-rule-Trust_to_Untrust]action pass
[H3C-security-policy-ip-rule-Trust_to_Untrust]quit
六、第五步:源 NAT(内网上网必备)
Web
策略 → NAT → 源 NAT → 新建
名称:SNAT_LAN
源安全域:Trust
目的安全域:Untrust
源地址:192.168.1.0/24
转换方式:接口地址(Egress Interface)
应用 → 保存
CLI
plaintext
[H3C]nat address-group 1
[H3C-nat-address-group-1]mode no-pat
[H3C-nat-address-group-1]quit
[H3C]nat policy ip
[H3C-nat-policy-ip]rule name SNAT_LAN
[H3C-nat-policy-ip-rule-SNAT_LAN]source-zone trust
[H3C-nat-policy-ip-rule-SNAT_LAN]destination-zone untrust
[H3C-nat-policy-ip-rule-SNAT_LAN]source-address 192.168.1.0 24
[H3C-nat-policy-ip-rule-SNAT_LAN]egress-interface GigabitEthernet 1/0/1
[H3C-nat-policy-ip-rule-SNAT_LAN]action source-nat egress-address
[H3C-nat-policy-ip-rule-SNAT_LAN]quit
七、第六步:端口映射(外网访问内网服务器)
Web(NAT Server)
策略 → NAT → 服务器 → 新建
名称:Web_Server
入接口:WAN 口(GE1/0/1)
协议:TCP
外部端口:80
内部服务器:192.168.1.100:80
确定 → 保存
CLI
plaintext
[H3C]nat server protocol tcp global 1.1.1.1 80 inside 192.168.1.100 80
# 1.1.1.1 为WAN口公网IP
八、第七步:基础管理(必做)
1. 修改管理员密码
plaintext
[H3C]local-user admin class manage
[H3C-luser-manage-admin]password simple NewPass@123
[H3C-luser-manage-admin]service-type ssh telnet terminal http https
[H3C-luser-manage-admin]quit
2. 开启 SSH(远程管理)
plaintext
[H3C]ssh server enable
[H3C]line vty 0 4
[H3C-line-vty0-4]authentication-mode scheme
[H3C-line-vty0-4]protocol inbound ssh
[H3C-line-vty0-4]quit
3. 保存配置
plaintext
<H3C>save force # 必须执行!断电不丢
九、常见问题
能 ping 通网关但不能上网
检查:安全策略是否放通、NAT 是否配置、默认路由是否存在
Web 打不开
确认:电脑与 MGT 口同网段、https://、浏览器兼容
忘记密码
Console 重启 → Ctrl+B → 选 8 跳过认证 → 改密码
十、完整交付
以上为 F100-C-EI 从 0 到上网 + 安全 + 端口映射的完整教程。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论