设为首页 收藏本站

运维网

查看: 210|回复: 1

[经验分享] H3C防火墙应用

[复制链接]

尚未签到

发表于 2018-1-22 11:30:33 | 显示全部楼层 |阅读模式
1、H3C secPath F1000-A-E1防火墙:
支持外部攻击防范、内网安全、流量监测、邮件过滤、网页过滤、应用层过滤。
安全区域优先级:
非受信区(untrust): 5
非军事化区(dmz): 50
受信区(trust): 85
本地区域(local): 100
管理区域(manage): 100
2、ipsec vpn的配置:实现两个内网互访
①配置访问控制列表,匹配保护的数据流
[R1]acl number 3000
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0
0.0.0.255
rule deny ip source any destination any
②创建安全提议(传输集)
ipsec proposal hanming-set
encapsulation-mode tunnel (隧道模式,默认)
transform esp(|ah|ah-esp) (安全协议,默认esp)
esp enc des
esp auth sha1
③配置ike对等体、协商模式和秘钥
ike peer bj
pre-share hanming-key
remote-address 201.1.1.1
④配置ike协商方式的安全策略
ipsec policy hmmap 1 isakmp
security acl 3000
proposal hanming-set
ike-peer bj
⑤应用到接口
int e0/1/0
ipsec policy hmmap
3、配置NAPT,实现内网可以访问外网
①配置要NAT转换的acl,排除需要保护的vpn数据流(不转换NAT)
[R1]acl number 3001
rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0
0.0.0.255
rule permit ip any source destination any
②定义NAT转换后的地址池(NAPT只有一个地址)
nat address-group 1 200.0.0.10 200.0.0.10
③在外网接口上配置acl和NAT地址池的关联
int e0/1/0
nat outbound 3001 address-group 1
4、查看ike状态:dis ike sa
查看ipsec状态:dis ipsec sa
查看nat转换: dis nat session|statistics


运维网声明 1、欢迎大家加入本站运维交流群:群①:263444886群②:197202523群③:485755530群④:201730672群⑤:202807635运维网交流群⑥:281548029
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、其他单位或个人使用、转载或引用本文时必须注明原文的出处
4、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
5、运维网 - 服务您的运维操作管理专家!
6、联系人Email:admin@yunvn.com 网址:www.iyunv.com

点击关注更多内容
您需要登录后才可以回帖 登录 | 立即注册  

本版积分规则  允许回帖邮件提醒楼主

关注运维网官方微信X

关注运维网官方微信

扫描二维码关注运维网官方微信,最新一手资源尽在官方微信!快快关注我们吧...

扫描微信二维码查看详情

客服 E-mail:kefu@yunvn.com

本站由青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

京ICP备14039699号-1 Copyright © 2012-2018

使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

Good good study day day up !


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


独家合作伙伴: 青云cloud

快速回复 返回顶部 返回列表