H3C防火墙应用

1、H3C secPath F1000-A-E1防火墙：

支持外部攻击防范、内网安全、流量监测、邮件过滤、网页过滤、应用层过滤。

安全区域优先级：

非受信区（untrust）： 5

非军事化区（dmz）： 50

受信区（trust）： 85

本地区域（local）： 100

管理区域（manage）： 100

2、ipsec vpn的配置：实现两个内网互访

①配置访问控制列表网页安全监测，匹配保护的数据流

[R1]acl number 3000

rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0

0.0.0.255

rule deny ip source any destination any

②创建安全提议(传输集)

ipsec proposal hanming-set

encapsulation-mode tunnel （隧道模式，默认）

transform esp(|ah|ah-esp) (安全协议,默认esp）

esp enc des

esp auth sha1

③配置ike对等体、协商模式和秘钥

ike peer bj

pre-share hanming-key

remote-address 201.1.1.1

④配置ike协商方式的安全策略

ipsec policy hmmap 1 isakmp

security acl 3000

proposal hanming-set

ike-peer bj

⑤应用到接口

int e0/1/0

ipsec policy hmmap

3、配置NAPT,实现内网可以访问外网

①配置要NAT转换的acl,排除需要保护的vpn数据流(不转换NAT)

[R1]acl number 3001

rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0

0.0.0.255

rule permit ip any source destination any

②定义NAT转换后的地址池（NAPT只有一个地址）

nat address-group 1 200.0.0.10 200.0.0.10

③在外网接口上配置acl和NAT地址池的关联

int e0/1/0

nat outbound 3001 address-group 1

4、查看ike状态：dis ike sa

查看ipsec状态：dis ipsec sa

查看nat转换： dis nat session|statistics

（编辑：应用网_常德站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!