拿到這個防火牆先觀(端)察(詳)一下,面板上一共12個千兆電口,兩個光口跟ge0 ge1形成combo。反正這專案也不用光口,暫且放下。還乙個hdd擴充套件口,用於插擴充套件硬碟。還兩個usb,暫時不知道有啥用。最後還乙個console口,熟悉的套路這玩意是接串列埠的。
起初以為ge3~ge11這些個埠是交換機作用,於是接兩個計算機互相ping,結果不通。
先將計算機上的串列埠通過專用轉接線(買防火牆的時候會送一根)接到防火牆的console埠上。
開啟securecrt,配置一下串列埠連線9600-8-n-1,然後按下回車,會看到login字樣。
使用者名稱和密碼預設都是admin,登陸進去。
開始配置前的一些基本概念。我在經歷了無數次ping不通之後才弄清楚的幾個簡單的概念
1、埠可以屬於乙個安全域。如果此埠不屬於任何安全域則此埠收到的任何報文將被丟棄。
2、系統預設有trust untrust dmz management local 這5個安全域。
3、ge0 ge1 ge2預設屬於management安全域
4、跨安全域訪問需要通過安全域間的規則進行過濾,如果跨的兩個域之間沒有過濾規則則不可以訪問(還有一種說法是可以訪問的,沒弄明白,暫時這麼認為)
這個防火牆埠的一些特性
1、防火牆的埠有兩種工作模式,二層模式和三層模式。
2、二層模式埠有三種工作模式 access trunk hybrid 不懂這三個模式的區別的話,h3c的參考手冊上面有詳細的。
3、三層模式埠的ip位址可以手工指定也可以dhcp獲取。
4、如果埠工作於二層模式,在加入安全域時需要指定vlan id
大致了解了之後,開始配置埠所屬的安全域。這裡用了ge9 和 ge10。
1、ge9接乙個計算機pc1網口,配置此計算機ip位址為192.168.1.2/24
2、ge10接另乙個計算機pc2網口,配置此計算機ip位址為192.168.1.3/24
3、配置ge9埠為二層模式,access型別,vlan10
4、配置ge10埠為二層模式,access型別,vlan10
5、將ge9加入trust安全域 vlan10
6、將ge10加入untrust安全域 vlan 10
7、配置acl2000 源安全域trust到目的安全域untrust 允許源ip 192.168.1.0 0.0.0.255
驗證配置:
pc1 ping pc2 可以通過。
pc2 ping pc1 通不過。
H3C防火牆基礎配置1 登入配置 安全域配置
新增管理類本地使用者 local user test class manage password string service type 新增網路接入類本地使用者 local user test2 class network password string service type 預設密碼admi...
防火牆五個安全域和三種工作模式
報文從低階別的安全區域向高階別的安全區域流動時為入方向 inbound 報文從由高階別的安全區域向低階別的安全區域流動時為出方向 outbound 低階安全區域,安全優先順序為5 通常用來定義internet等不安全的網路,用於網路入口線的接入。中級安全區域,安全優先順序為50 通常用來定義內部伺服...
網路安全中防火牆和IDS的作用
網路安全中防火牆和ids的作用 業界的同行曾經說過 安全,是一種意識,而不是某種的技術就能實現真正的安全。隨著工作的時間漸長,對這句話的體會就越深。再防守嚴密的網路,利用人為的疏忽,管理員的懶惰和社會工程學也可能被輕易攻破。因此,在這裡我介紹的防火牆和ids技術,只是我們在網路安全環節中進行的乙個防...