首页 > 代码库 > H3C防火墙应用(一部分案例知识点)

H3C防火墙应用(一部分案例知识点)

1、H3C secpath F1000-A-E1防火墙

Secpath F1000-A-EIH3C公司面向大型企业和运营商用户开发的新一代电信级别防火墙设备。支持外部攻击防范、内网安全、流量监测、邮件过滤、网页过滤、应用层过滤。

   安全区域优先级:

       非受信区(untrust):  5

       非军事化区(dmz):    50

       受信区(trust):      85

       本地区域(local):    100

       管理区域(manage):   100

2ipsec vpn的配置:实现两个内网互访

   1)配置访问控制列表,匹配保护的数据流

 [R1]acl  number 3000

     rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

     rule deny ip source any destination any

   2)创建安全提议(传输集)

     ipsec proposal ycq-set

     encapsulation-mode tunnel (隧道模式,默认)

     transform esp(|ah|ah-esp)  (安全协议,默认esp

     esp enc  des

     esp auth sha1

   3)配置ike对等体、协商模式和秘钥

     ike peer bj

     pre-share ycq-key

     remote-address 201.1.1.1

   4)配置ike协商方式的安全策略

     ipsec policy ycqmap 1 isakmp

     security acl 3000

     proposal ycq-set

     ike-peer bj

   4)应用到接口

     int e0/1/0

     ipsec policy ycqmap

3、配置NAPT,实现内网可以访问外网

    1)配置要NAT转换的acl,排除需要保护的vpn数据流(不转换NAT)

   [R1]acl number 3001

       rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

       rule permit ip any source destination any

    2)定义NAT转换后的地址池(NAPT只有一个地址)

       nat  address-group 1 200.0.0.10 200.0.0.10

     3)在外网接口上配置aclNAT地址池的关联

       int e0/1/0

       nat outbound 3001 address-group 1

4、查看ike状态:dis ike sa

   查看ipsec状态:dis ipsec sa

   查看nat转换: dis nat session|statistics

 


本文出自 “刘小兔” 博客,转载请与作者联系!

H3C防火墙应用(一部分案例知识点)