H3C防火墙基本设置,配置IP地址,配置安全域,配置服务器外网映射一、网络拓扑与需求
二、防火墙登录和配置密码 1、登录H3C防火墙,默认H3C防火墙的GE1/0/0口和GE1/0/2口为管理口,GE1/0/0IP地址为192.168.0.1,GE1/0/2IP地址为192.168.1.1。 interface GigabitEthernet1/0/0 port link-moderoute ip address192.168.0.1 255.255.255.0 # interface GigabitEthernet1/0/1 port link-moderoute # interface GigabitEthernet1/0/2 port link-moderoute ip address192.168.1.1 255.255.255.0 2、https://192.168.0.1打开网页进行防火墙配置,输入默认用户名admin,密码admin。
3、登录防火墙配置界面。
4、登录界面后,第一项工作,把防火墙密码重新修改一下。
5、修改密码、管理员角色和可用服务,可用服务包括,Terminal,SSH,HTTPS,FTP,Telnet,PAD,HTTP,按自己需求勾选 。
6、勾选完成后,点击确定,密码更改完成。
三、网络IP地址配置 1、在web界面中,找到网络,接口。可以看到每个接口的IP地址。
2、按需求,配置IP地址,将GE1/0/4IP地址配置为172.30.11.1,点击后面接口的编辑按钮。
3、开始配置IP地址,在配置IP地址之前,需要将此接口必须加入到相应的安全域。由于是连接内部的监控网络,所以将此接口加入DMZ域。
4、设置固定IP地址为172.30.11.1/255.255.255.0,配置完成后,点击确定即可。
5、编辑GE1/0/5,IP地址与GE1/0/4设置相同,此口作为服务器使用,需要将此口加入DMZ安全域,然后设置IP地址为172.30.12.1/255.255.255.0。
6、两个DMZ接口IP地址已经配置完成。
7、配置外网口,将GE1/0/1配置为外网口,加入Untrust安全域。点击后面的编辑按钮,进行编辑。
8、将GE1/0/1加入Untrust域,设置外网的IP地址为192.168.183.101。
9、外网和内网IP地址已经配置完成。
10、在网络的安全域中,可以看相应的接口加入到哪些安全域中。 四、安全策略配置 1、防火墙,必须要设置安全策略,才可以做到相互之前的访问。而且安全域之前的流量是单向的。在策略中,找到安全策略,然后开始新建。
2、新建名称。
3、输入源安全域,选择Local,什么是Local,本地安全域,这个就是防火墙本身自己的接口。
4、输入目的安全域,选择Untrust,Trust,DMZ,Local。
5、动作,选择允许。单击确定。
6、第一条策略已经设置成功。防火墙本地端口到Untrust,Trust,DMZ,Local都可以通信。
7、当我们将服务器接入服务器的GE1/0/5,配置完IP地址后,发现去ping 172.30.12.1无法通信。那是为什么呢?
8、那是因为,防火墙local本身可以ping通DMZ接口172.30.12.1,这个ping可以回来。当我们用服务器去ping 172.30.12.1,数据包是从DMZ到Local的,但是我们发现,没有从DMZ到Local的安全策略。 9、创建,DMZ到Local安全策略。
10、创建完成后,再使用服务器去ping 172.30.12.1发现可以正常ping通。
五、Untrust外网主机,如何可以访问到DMZ中主机呢? 1、配置DMZ到Untrust安全策略,允许通行。然后再配置Untrust到DMZ策略,允许通行,如下所示。
2、安全策略已经放行,如果从Untrust访问内网,必须要配置服务器端口映射。在策略中,找到NAT,然后找到NAT内部服务器--策略配置。 3、名称,可以自定义,选择外部Untrust接口,GE1/0/1,协议类型为TCP,6,映射方式:外网地址单一,未使用外网端口或外网端口单一。
4、外网地址:使用当前接口的主IP地址作为内部服务器的外网地址(Easy IP)。外网端口1082,内部服务器IP地址为监控服务器的IP地址:172.30.11.42,内部服务器端口 1082。
5、创建1082和8000两个端口外网映射。这两个端口都需要映射,才可以进行监控访问。
6、从外网可以正常ping 192.168.183.101
7、使用telnet命令访问外网口映射端口号。
8、可以正常访问映射到内部服务器1082端口。
9、使用web界面,打开外网口IP地址,192.168.183.101:1082发现可以正常打开。
|
