华三防火墙安全策略配置
1.组网需求
⑴ leadership和staff之间通过FW1实现互连,该公司的工作时间为每周工作日的8点到18点。
⑵ 通过配置安全策略规则,允许leadership在任意时间、staff在工作时间访问外网。
2. 组网图
3. 配置步骤
(1) 配置接口IP地址、路由保证网络可达。
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]nat outbound
[FW1-GigabitEthernet1/0/2]ip address 1.1.1.1 255.255.255.0
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip address 172.16.1.2 255.255.255.0
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip address 172.16.2.2 255.255.255.0
[FW1]ip route-static 0.0.0.0 0 1.1.1.2
(2) 配置时间段
# 创建名为work的时间段,其时间范围为每周工作日的8点到18点。
[FW1] time-range work 08:00 to 18:00 working-day
(3) 配置安全域
[FW1] security-zone name leadership
[FW1-security-zone-leadership]import interface GigabitEthernet 1/0/0
# 创建名为 staff的安全域,并将接口GigabitEthernet1/0/1加入该安全域中。
[FW1]security-zone name staff
[FW1-security-zone-staff]import interface GigabitEthernet 1/0/1
# 创建名为internet的安全域,并将接口GigabitEthernet1/0/2加入该安全域中。
[FW1]security-zone name internet
[FW1-security-zone-internet]import interface GigabitEthernet 1/0/2
(4) 配置对象
# 创建名为 leadership的IP地址对象组,并定义其子网地址为172.16.1.0/24。
[FW1]object-group ip address leadership
[FW1-obj-grp-ip-leadership]network subnet 172.16.1.0 24
# 创建名为staff的IP地址对象组,并定义其子网地址为172.16.2.0/24。
[FW1]object-group ip address staff
[FW1-obj-grp-ip-staff]network subnet 172.16.2.0 24
(5) 配置安全策略及规则
# 进入IPv4安全策略视图。
[FW1]security-policy ip
# 制订允许leadership可以在任意时间访问Internet的安全策略规则,其规则名称为 leadership-internet。
[FW1-security-policy-ip]rule 0 name leadership-internet
[FW1-security-policy-ip-0-leadership-internet]source-zone leadership
[FW1-security-policy-ip-0-leadership-internet]destination-zone internet
[FW1-security-policy-ip-0-leadership-internet]source-ip leadership
[FW1-security-policy-ip-0-leadership-internet]action pass
# 制订只允许staff在工作时间访问Internet的安全策略规则,其规则名称为finance-database。
[FW1]security-policy ip
[FW1-security-policy-ip]rule 5 name staff-internet
[FW1-security-policy-ip-5-staff-internet]source-zone staff
[FW1-security-policy-ip-5-staff-internet]destination-zone internet
[FW1-security-policy-ip-5-staff-internet]source-ip staff
[FW1-security-policy-ip-5-staff-internet]time-range work
[FW1-security-policy-ip-5-staff-internet]action pass
# 制订leadership和staff之间通过FW1实现互连的安全策略规则,其规则名称为leadership-staff。
[FW1]security-policy ip
[FW1-security-policy-ip]rule 10 name leadership-staff
[FW1-security-policy-ip-10-leadership-staff]source-zone leadership
[FW1-security-policy-ip-10-leadership-staff]source-zone staff
[FW1-security-policy-ip-10-leadership-staff]destination-zone leadership
[FW1-security-policy-ip-10-leadership-staff]destination-zone staff
[FW1-security-policy-ip-10-leadership-staff]action pass
4. 验证配置
配置完成后, leadership和staff之间通过FW1实现互连,允许leadership在任意时间、staff在工作时间访问外网
华三防火墙安全策略配置相关推荐
- 华三防火墙h3cf100配置双宽带_华三防火墙冗余口配置 h3c f100防火墙配置教程
防火墙HA接口的用途? Ha是双计算机接口,这意味着防火墙支持双冗余并行操作模式.同一型号的两台机器可以同时连接到上下线,两台机器的HA端口可以用线连接起来,实现协同工作和并行操作的功能. SFP是一 ...
- 华三防火墙h3cf100配置双宽带_华三防火墙H3 F100基本配置说明.doc
华三防火墙H3 F100基本配置说明 华三防火墙H3C F100配置说明 开通网口 用超级终端开通GE0/0网口 先输入〈H3C〉system-view 初始化配置? 再输入 [H3C] interz ...
- 华三防火墙h3cf100配置双宽带_华三防火墙主备配置 h3c f100防火墙配置教程
怎么进入H3C的防火墙配置? 使用discur命令查看当前配置 1.首先进入H3C防火墙界面,然后进入web将界面改为两层模式.2将二层模式的接口转移到信任安全域.三.单击界面左侧快捷菜单栏中的防火墙 ...
- 华三防火墙h3cf100配置双宽带_H3C新一代F100系列防火墙评测报告
[IT168评测]随着网络应用在中小企业的深入发展,中小企业对于网络安全的需求也越来越强烈.而传统的网络安全设备可以帮助中小企业防御病毒.蠕虫及应用层攻击,但是由于缺乏有效的监管,中小企业内网用户的P ...
- 华三防火墙NAT配置CLI
web界面NAT策略配置位置 策略-->NAT动态转换-->策略配置 如图所示,有两种NAT的配置方式,一种是基于对象组,另一种是传统的ACL,其实两者并没有什么十分大的区别,对象组是人为 ...
- 华三防火墙h3cf100配置双宽带_华三F100系列、华为USG6300系列防火墙 策略路由配置实例...
acl advanced 3860 ----配置ACL ,用户源IP地址的匹配 rule 5 permit ip source 10.*.*.* 0 rule 10 permit ip sour ...
- 华三防火墙配置端口地址转换_华三防火墙双向nat配置 防火墙端口映射
华三防火墙配置? 1.将路由器的线路连接到防火墙的WLAN端口,然后将防火墙的LAN端口连接到内部交换机.2进入防火墙web配置页面,配置WLAN ip192.168.1.2网关192.168.1.1 ...
- 新华三防火墙简单配置安全域
实现简单的核心交换机与出口路由的隔离 华三防火墙默认账户密码为admin/admin 让g1/0/1口为连接核心交换的接口 [H3C]int g1/0/1 //进入g1/0/1接口 [ ...
- 华三防火墙web端口_华三防火墙开放端口 华三防火墙怎么登录
h3cf100-s华三防火墙怎么设置? 路由器的电线连接到防火墙WLAN端口.然后防火墙LAN端口连接到内部交换机.进入防火墙web配置页面,配置WLAN ip192.168.1.2网关192.168 ...
最新文章
- C# 中的Async 和 Await 的用法详解
- 如何检查字符串是否包含特定单词?
- mysql 开源 ~ canal+otter系列(2)
- 【VS开发】Return与Exit的区别
- 四则运算2+psp0
- sql数据库 订阅发布_如何使用中央发布者和多个订阅者数据库设置自定义SQL Server事务复制
- 2022-2028年中国差旅管理行业市场全景调查及投资潜力研究报告
- c语言ip地址转16进制,点分十进制形式的ip地址转化为十六进制数
- itextpdf 给pdf文档添加图片
- 一个简单的Python暴力破解网站登录密码脚本
- android api 和版本对应表汇总
- 新零售全渠道营销,线上经营,线下成长
- selenium对弹窗(alert)的处理
- Mybatis开启驼峰命名,作用
- NL80211使用笔记
- 蓝松AE模板SDK使用介绍.
- 谷歌浏览器上传图片或任何文件都卡死
- Python学习 day03
- JobManager 内存简介
- 《万历十五年》笔记——皇权与相权的博弈
热门文章
- 外贸须知:和各国客户做生意需要注意的点
- java 实现dns劫持_什么是HTTP劫持和DNS劫持
- 【功能】:前台上传文件(txt,xls,xlsx,csv,pdf)五种格式的文件 后台java解析文件,并且判断文件内容是否为零字节
- Javaweb开发学习笔记(三)
- Vue进阶(二十): 请求方式详解
- 读《码农翻身:用故事给技术加点料》
- POM 文件中 licenses 许可证的定义
- VSCode中调试flutter遇到Android licenses not accepted的错误提示
- 纽约大学理工学院:MULTIMEDIA SIGNAL COMPRESSION: SPEECH AND
- 移动硬盘数据莫名丢失,如何才能恢复