H3C防火墻2區域配置案例

H3C防火墻2區域配置案例

　　基于多年參與電力行業信息化的經驗，H3C公司推出電力信息網絡安全加固解決方案，該解決方案主要由對終端安全防護和安全管理中心等關鍵部件組成。那么H3C防火墻2區域是怎么配置的呢?下面跟yjbys小編一起來看看!

　　1、配置要求

　　1)防火墻的E0/2接口為TRUST區域，ip地址是：192.168.254.1/29;

　　2)防火墻的E1/2接口為UNTRUST區域，ip地址是：202.111.0.1/27;

　　3)內網服務器對外網做一對一的地址映射，192.168.254.2、192.168.254.3分別映射為202.111.0.2、202.111.0.3;

　　4)內網服務器訪問外網不做限制，外網訪問內網只放通公網地址211.101.5.49訪問192.168.254.2的1433端口和192.168.254.3的80端口。

　　2、防火墻的配置腳本如下

　　dis cur

　　#

　　sysname H3CF100A

　　#

　　super password level 3 cipher 6aQ>Q57-$.I)0;4:\(I41!!!

　　#

　　firewall packet-filter enable

　　firewall packet-filter default permit

　　#

　　insulate

　　#

　　nat static inside ip 192.168.254.2 global ip 202.111.0.2

　　nat static inside ip 192.168.254.3 global ip 202.111.0.3

　　#

　　firewall statistic system enable

　　#

　　radius scheme system

　　server-type extended

　　#

　　domain system

　　#

　　local-user net1980

　　password cipher ######

　　service-type telnet

　　level 2

　　#

　　aspf-policy 1

　　detect h323

　　detect sqlnet

　　detect rtsp

　　detect http

　　detect smtp

　　detect ftp

　　detect tcp

　　detect udp

　　#

　　object address 192.168.254.2/32 192.168.254.2 255.255.255.255

　　object address 192.168.254.3/32 192.168.254.3 255.255.255.255

　　#

　　acl number 3001

　　description out-inside

　　rule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0destination-port eq 1433

　　rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0destination-port eq www

　　rule 1000 deny ip

　　acl number 3002

　　description inside-to-outside

　　rule 1 permit ip source 192.168.254.2 0

　　rule 2 permit ip source 192.168.254.3 0

　　rule 1000 deny ip

　　#

　　interface Aux0

　　async mode flow

　　#

　　interface Ethernet0/0

　　shutdown

　　#

　　interface Ethernet0/1

　　shutdown

　　#

　　interface Ethernet0/2

　　speed 100

　　duplex full

　　description to server

　　ip address 192.168.254.1 255.255.255.248

　　firewall packet-filter 3002 inbound

　　firewall aspf 1 outbound

　　#

　　interface Ethernet0/3

　　shutdown

　　#

　　interface Ethernet1/0

　　shutdown

　　#

　　interface Ethernet1/1

　　shutdown

　　#

　　interface Ethernet1/2

　　speed 100

　　duplex full

　　description to internet

　　ip address 202.111.0.1 255.255.255.224

　　firewall packet-filter 3001 inbound

　　firewall aspf 1 outbound

　　nat outbound static

　　#

　　interface NULL0

　　#

　　firewall zone local

　　set priority 100

　　#

　　firewall zone trust

　　add interface Ethernet0/2

　　set priority 85

　　#

　　firewall zone untrust

　　add interface Ethernet1/2

　　set priority 5

　　#

　　firewall zone DMZ

　　add interface Ethernet0/3

　　set priority 50

　　#

　　firewall interzone local trust

　　#

　　firewall interzone local untrust

　　#

　　firewall interzone local DMZ

　　#

　　firewall interzone trust untrust

　　#

　　firewall interzone trust DMZ

　　#

　　firewall interzone DMZ untrust

　　#

　　ip route-static 0.0.0.0 0.0.0.0 202.111.0.30 preference 60

　　#

　　user-interface con 0

　　user-interface aux 0

　　user-interface vty 0 4

　　authentication-mode scheme

　　#

【H3C防火墻2區域配置案例】相關文章：

H3C認證GRE典型配置案例12-28

H3C交換機簡單配置案例08-16

在Cisco IOS中配置IPv6防火墻案例教程12-31

H3C用戶認證配置08-25

h3c交換機配置telnet配置教程07-31

h3c路由器配置01-22

思科與H3C配置命令對比10-13

H3C常用查詢配置命令大全01-22

H3C核心交換機配置09-07