CF防火墻配置

1、連接好電腦到-防火墻的console線，打開putty（默認賬戶和密碼admin,admin）進入特權模式，命令：system-view<H3C-L>system-viewSystemView:returntoUserViewwithCttl+3.H3C-10.148.6D.91inH3C-10,148.60.91hoH3C-1hostnaneH3C-10.143.SO.91|建立管理員賬號，并設置密碼：manageDevicemanagementuser（管理用戶）建立管理賬戶沒設超級密碼情況下開啟HTTPS服務設立超級密碼.類似cis

2、co的特權密碼登錄驗證在全局模式下。輸入命令：superlevel-?進入特權模式，輸入設置好的特權密碼，密碼隱藏HcU-10.bO.91>super1kB3C-J0lL4S»0.91>aupeilevel-15Passiicrd:口3已工prj.vj.lrgeicleislevel-L5faudonlyth.n3-=cojunandsLhatauthoELZ-r1toth-rule二mbeused.SyetejiViewsEettsEatorH3C-10,L48.60,91intig*rVlcwvlth.CmJL+E.rilX-lD,L4B,d0«»

3、1LntecCace?Ft!dge-AggrsgatiattEridgs-Aggregsitlanisttrfacs-DIMerDl-ilermcetraceCigraMtEthemetCigabitEthcmetintesfasc1。濾ackLoDtpBackinterfaceKULLKULLiDLELfaUERadiEth*rn*tints-rfa?*fqqlw-Aggr娉gationFoijte-Aggtegationin«rcaceSSLVPWACSSLVPWAccesaInterfaceTen-GiasbitEgmetTen-Gia&bitEthtruetTuiml

4、LTunnelinCECfacsVi-rtiwl-PPTVirtiiRL-PPPintmrfm#victual-TempiacevictualTeaplate|vtiitei:cacsVIan-inteelac日VLMTintecfecelancreConfiuureaninteifacetanae開啟h3c防火墻HTTPS服務打開WEB界面，輸入IP,登錄防火墻，如圖選擇設備-管理員用戶名1彝色1可用夠admin1eve1-3,network-admin,netwo1-.HTTPS.SSHMminalHCC1eve1-work-operatorSSHInetXU時HgJlevel-O.ine

5、twork-operartorHTTP5.SSH返回到xshell界面，保存配置，命令:saveH3C-1JsaveThecurrentconfiauracionwilltewrittencothedevice.Areyousure?Y/W：7Pleaseinput-thefilenajaecfcf：ad:/stattup.cfg(ToleaveHieexistingfilenameunciianed；pressUieenterkey);yThetilenueisinvalid(doesnotendwith.cf).進接口配置IP。命令與Cisco沒多大出入（全局下）查看

6、接口的配置，命令如下；g1/0/0接口默認的配置，為了方便使用暫留不動，以及VRRP的配置。1. portlink-moderoute類似Cisco的iprouting（三層）進入到H3C防火墻的區(qū)域，命令如下把對應的接口劃分到對應的區(qū)域，命令如下dissecurity-zone查看安全域狀態(tài)信息默認路由做NAT先抓取需要IP地址轉換的IP段的流量，做ACL建立動態(tài)地址池。tH3C-LO.148.60.91nacH5C-1nat?ConfigureaNATaddies?groupalpEnableALCdns-wapaWATDNSujapplngicnp-etEci:IC

7、MPertorm&ssagelogNATloggingtunctianitapping-bMappinghehaviarnodetorPATport-blockConfigurepottbiookparametersport-blqck-graupCqiifigiTE巳aMATporthlcckgroupport-load-taLanccPcutLoadbalanceserver-ffraupaninternalservetgroupstaticStaticHATciniestampTimestampH3C-1nacaddH3C-1O.L4S.60.91natad

8、dreas-group?INTEGER<0-65535>WATaddress(jroupnuuoberH3C-L0.L486D.9LiiaL反(JR典MS-grciup1?nuieAddressGtoupName<cr>H3C-10.14fi.60.?lnateddueae-ffLoup1EH5C-1Q.L48,Jl-eddueas-yuoup-J.addH3C-1Q.146.60,9l-&ddre33'yrcup-laddress10-148.6Q.91LU.6Q.95,4.動態(tài)NAT的應用與IP地址的轉換，命令如下：discurrent-config

9、urationinterfacegl/0/1查看g1/0/1的狀況信息建立一條新的拓展ACL,放行IP流量，用于安全區(qū)域的跨區(qū)域的訪問應用，命令如下：創(chuàng)建源區(qū)域到目的區(qū)域過濾包3500diszone-pairsecurity,查看所有區(qū)域的對應關系狀態(tài)security-zoneintra-zonedefaultpermit（缺省是允許流量從trust口至Uuntrust口方向的主動訪問，而不允許untrust口到trust口方向的主動訪問。當從trust口到untrust口有主動訪問時，防火墻會保存這個連接信息，回應數(shù)據(jù)從untrust口到trust方向，防火墻會放行，但是不會允許untrust口到trust口的主動訪問）命令用來配置同一安全域內接口間報文處理的缺省動作為permit。acladvancednameh3crule5permiticmpsource（放行icmp）做VRRP。步驟如下把需要做VRRP的接口設置為bridge（橋接模式）然后把接口設置為trunkdiscurrent-configurationinterfaceg1/0/3配置VRRP,徑接口下）然后在另外一臺防火墻相應的接口進行相應的設置。只是優(yōu)先值設置為100（H3C默認也是100