新增管理類本地使用者
local-user test class manage
password ****** string
service-type
新增網路接入類本地使用者
local-user test2 class network
password ****** string
service-type
預設密碼admin/admin
配置認證方式
line console 0
authentication-mode shceme
user-role network-adimin
line vty 0 4
authentication-mode scheme
user-role network-adimin
line console 0
authentication-mode password
set authentication password ****** password
配置telnet:
telnet server enable
line vty 0 4
authentication-mode scheme //或者protocol inbound
user-role network-adimin
2.1 安全域簡介
v7防火牆預設安全域有trust、dmz、untrust和management,g1/0/0預設加入management區域。此外,裝置上所有介面都預設屬於local區域,不需要將介面加入local域。
security-zone name test
import inte***ce g1/0/1
//將真正用於**的介面加入安全域,如聚合口、vlan虛介面、reth口等。
import ip 192.168.1.0 24 //新增ipv4子網
import inte***ce g1/0/2 vlan 10 //二層口加入安全域時需要增加vlan引數
import service-chain path path-id //新增服務鏈成員
security-zone intra-zone default permit //預設情況下,同一安全域內報文過濾的預設動作為拒絕
display security-zone
2.2 安全域間例項
安全域間例項用於指定安全控制策略(如包過濾策略、aspf 策略、物件策略等)需要檢測的業務流的源安全域和目的安全域,它們分別描述了經過網路裝置的業務流的首個資料報要進入的安全域和要離開的安全域。在安全域間例項上應用安全控制策略可實現對指定的業務流進行安全控制策略檢查。
有具體安全域的安全域間例項的匹配優先順序高於 any 到 any 的安全域間例項。
management 和 local 安全域間之間的報文預設被允許。
management 和 local 安全域間之間的報文只能匹配 management 與 local 安全域之間的安全域間例項。當安全域間例項上同時應用了物件策略和包過濾策略時,物件策略的優先順序高於包過濾策略。
配置放行trust域到destination域的所有報文:
acl adv 3000
rule permit ip
zone-pair security source trust destination untrust
packet-filter 3000
dis zone-pair security
安全域配置例項
實驗案例:
目的:pc_3能ping通pc_5,但pc_5無法ping通pc_3
pc_3位址設定為dhcp獲取,pc_5配置位址為100.2.2.5,閘道器為100.2.2.254
s5820v2:
dhcp server enable
dhcp server ip-pool vlan100
gateway-list 192.168.1.254
network 192.168.1.0 mask 255.255.255.0
address range 192.168.1.1 192.168.1.253
dns-list 10.100.1.10
quit
vlan 100
inte***ce vlan 100
ip address 192.168.1.254 255.255.255.0
inte***ce g1/0/1
port access vlan 100
quit
inte***ce ten1/0/51
port link-mode route
ip address 10.100.1.2 255.255.255.0
quit
ip route-static 0.0.0.0 0.0.0.0 10.100.1.254
msr36-20:
inte***ce g0/0
ip address 200.2.2.254 255.255.255.0
inte***ce g0/1
ip address 100.2.2.254 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 200.2.2.10
f1060-1:
inte***ce g1/0/2
ip address 200.2.2.10 24
inte***ce g1/0/3
ip address 10.100.1.254 24
ip route-static 0.0.0.0 0.0.0.0 200.2.2.254
ip route-static 192.168.1.0 0.0.0.255 10.100.1.2
將對應埠加入安全域:
security-zone name trust
import inte***ce gigabitethernet1/0/3
security-zone name untrust
import inte***ce gigabitethernet1/0/2
配置放行trust域到destination域的所有報文:
acl adv 3000
rule permit ip
zone-pair security source trust destination untrust
packet-filter 3000
dis zone-pair security
拓展:上述配置後,就pc_3可以單向ping通pc_5,但其他裝置是無法ping通防火牆上配置的ip位址,防火牆也無法ping通其他裝置的位址,原因是防火牆上的ip位址屬於local域,必須要配置local域與其他域之間的域間例項,才能ping通
配置其他域與local域的之間的報文,否則防火牆和其他裝置無法ping通:
zone-pair security source local destination any
packet-filter 3000
zone-pair security source trust destination local
packet-filter 3000
H3C防火牆DHCP配置
1,配置安全策略將trust到local域 local到trust域資料全放通策略 在 安全策略 中點選 新建 建立策略名稱為互通,源安全域 目的安全域選擇多選,並選中local ttrust。策略配置如下圖所示,點選 確定 完成策略配置。2,配置dhcp服務 在 網路 dhcp 服務 中開啟dhc...
H3C防火牆的登入及管理
裝置介面 位址host 1 192.168.0.2 24 f1060 1 gigabitethernet1 0 0 12.0.0.1 24 gigabitethernet1 0 1 192.168.0.1 24 gigabitethernet1 0 2 33.0.0.1 24 msr36 20 2 ...
nginx 防火牆基本配置
nginx基本配置 啟動使用者 user nobody worker processes 1 錯誤日誌列印 linux防火牆常用操作 開啟防火牆 systemctl start firewalld 關閉防火牆 systemctl stop firewalld 檢視埠開放情況 firewall cmd...