华三防火墙安全策略配置

1.组网需求

⑴ leadership和staff之间通过FW1实现互连，该公司的工作时间为每周工作日的8点到18点。

⑵ 通过配置安全策略规则，允许leadership在任意时间、staff在工作时间访问外网。

2. 组网图

3. 配置步骤

(1) 配置接口IP地址、路由保证网络可达。

[FW1]int g1/0/2

[FW1-GigabitEthernet1/0/2]nat outbound

[FW1-GigabitEthernet1/0/2]ip address 1.1.1.1 255.255.255.0

[FW1]int g1/0/0

[FW1-GigabitEthernet1/0/0]ip address 172.16.1.2 255.255.255.0

[FW1]int g1/0/1

[FW1-GigabitEthernet1/0/1]ip address 172.16.2.2 255.255.255.0

[FW1]ip route-static 0.0.0.0 0 1.1.1.2

(2) 配置时间段

# 创建名为work的时间段，其时间范围为每周工作日的8点到18点。

[FW1] time-range work 08:00 to 18:00 working-day

(3) 配置安全域

[FW1] security-zone name leadership

[FW1-security-zone-leadership]import interface GigabitEthernet 1/0/0

# 创建名为 staff的安全域，并将接口GigabitEthernet1/0/1加入该安全域中。

[FW1]security-zone name staff

[FW1-security-zone-staff]import interface GigabitEthernet 1/0/1

# 创建名为internet的安全域，并将接口GigabitEthernet1/0/2加入该安全域中。

[FW1]security-zone name internet

[FW1-security-zone-internet]import interface GigabitEthernet 1/0/2

(4) 配置对象

# 创建名为 leadership的IP地址对象组，并定义其子网地址为172.16.1.0/24。

[FW1]object-group ip address leadership

[FW1-obj-grp-ip-leadership]network subnet 172.16.1.0 24

# 创建名为staff的IP地址对象组，并定义其子网地址为172.16.2.0/24。

[FW1]object-group ip address staff

[FW1-obj-grp-ip-staff]network subnet 172.16.2.0 24

(5) 配置安全策略及规则

# 进入IPv4安全策略视图。

[FW1]security-policy ip

# 制订允许leadership可以在任意时间访问Internet的安全策略规则，其规则名称为 leadership-internet。

[FW1-security-policy-ip]rule 0 name leadership-internet

[FW1-security-policy-ip-0-leadership-internet]source-zone leadership

[FW1-security-policy-ip-0-leadership-internet]destination-zone internet

[FW1-security-policy-ip-0-leadership-internet]source-ip leadership

[FW1-security-policy-ip-0-leadership-internet]action pass

# 制订只允许staff在工作时间访问Internet的安全策略规则，其规则名称为finance-database。

[FW1]security-policy ip

[FW1-security-policy-ip]rule 5 name staff-internet

[FW1-security-policy-ip-5-staff-internet]source-zone staff

[FW1-security-policy-ip-5-staff-internet]destination-zone internet

[FW1-security-policy-ip-5-staff-internet]source-ip staff

[FW1-security-policy-ip-5-staff-internet]time-range work

[FW1-security-policy-ip-5-staff-internet]action pass

# 制订leadership和staff之间通过FW1实现互连的安全策略规则，其规则名称为leadership-staff。

[FW1]security-policy ip

[FW1-security-policy-ip]rule 10 name leadership-staff

[FW1-security-policy-ip-10-leadership-staff]source-zone leadership

[FW1-security-policy-ip-10-leadership-staff]source-zone staff

[FW1-security-policy-ip-10-leadership-staff]destination-zone leadership

[FW1-security-policy-ip-10-leadership-staff]destination-zone staff

[FW1-security-policy-ip-10-leadership-staff]action pass

4. 验证配置

配置完成后， leadership和staff之间通过FW1实现互连，允许leadership在任意时间、staff在工作时间访问外网

华三防火墙安全策略配置相关推荐

华三防火墙h3cf100配置双宽带_华三防火墙冗余口配置 h3c f100防火墙配置教程
防火墙HA接口的用途? Ha是双计算机接口,这意味着防火墙支持双冗余并行操作模式.同一型号的两台机器可以同时连接到上下线,两台机器的HA端口可以用线连接起来,实现协同工作和并行操作的功能. SFP是一 ...
华三防火墙h3cf100配置双宽带_华三防火墙H3 F100基本配置说明.doc
华三防火墙H3 F100基本配置说明华三防火墙H3C F100配置说明开通网口用超级终端开通GE0/0网口先输入〈H3C〉system-view 初始化配置? 再输入 [H3C] interz ...
华三防火墙h3cf100配置双宽带_华三防火墙主备配置 h3c f100防火墙配置教程
怎么进入H3C的防火墙配置? 使用discur命令查看当前配置 1.首先进入H3C防火墙界面,然后进入web将界面改为两层模式.2将二层模式的接口转移到信任安全域.三.单击界面左侧快捷菜单栏中的防火墙 ...
华三防火墙h3cf100配置双宽带_H3C新一代F100系列防火墙评测报告
[IT168评测]随着网络应用在中小企业的深入发展,中小企业对于网络安全的需求也越来越强烈.而传统的网络安全设备可以帮助中小企业防御病毒.蠕虫及应用层攻击,但是由于缺乏有效的监管,中小企业内网用户的P ...
华三防火墙NAT配置CLI
web界面NAT策略配置位置策略-->NAT动态转换-->策略配置如图所示,有两种NAT的配置方式,一种是基于对象组,另一种是传统的ACL,其实两者并没有什么十分大的区别,对象组是人为 ...
华三防火墙h3cf100配置双宽带_华三F100系列、华为USG6300系列防火墙策略路由配置实例...
acl advanced 3860 ----配置ACL ,用户源IP地址的匹配 rule 5 permit ip source 10.*.*.* 0 rule 10 permit ip sour ...
华三防火墙配置端口地址转换_华三防火墙双向nat配置防火墙端口映射
华三防火墙配置? 1.将路由器的线路连接到防火墙的WLAN端口,然后将防火墙的LAN端口连接到内部交换机.2进入防火墙web配置页面,配置WLAN ip192.168.1.2网关192.168.1.1 ...
新华三防火墙简单配置安全域
实现简单的核心交换机与出口路由的隔离华三防火墙默认账户密码为admin/admin 让g1/0/1口为连接核心交换的接口 [H3C]int g1/0/1 //进入g1/0/1接口 [ ...
华三防火墙web端口_华三防火墙开放端口华三防火墙怎么登录
h3cf100-s华三防火墙怎么设置? 路由器的电线连接到防火墙WLAN端口.然后防火墙LAN端口连接到内部交换机.进入防火墙web配置页面,配置WLAN ip192.168.1.2网关192.168 ...

华三防火墙安全策略配置

华三防火墙安全策略配置相关推荐

最新文章

热门文章