《h3c secpath f100系列防火墙01-入门配置指导-基本配置》由会员分享,可在线阅读,更多相关《h3c secpath f100系列防火墙01-入门配置指导-基本配置(10页珍藏版)》请在金锄头文库上搜索。
1、i 目 录 1 基本配置 1-1 1.1 概述 1-1 1.2 通过Web方式进行设备基本配置 1-1 1.3 通过命令行方式进行设备基本配置 1-8 1.4 业务配置说明 1-9 1-1 1 基本配置基本配置 1.1 概述 设备的基本配置包括: 配置设备名称、 用户登录的密码、 服务管理、 接口的 IP 地址、 NAT (Net Address Translation,网络地址转换)以及安全域等。目前,设备可以通过 Web 和命令行两种方式来完成基 本配置: 设备名称和用户密码:修改系统名称,以及当前登录用户的密码。 服务管理:配置 FTP、Telnet、HTTP 和 HTTPS 等服务的启
2、用状态,以及 HTTP 和 HTTPS 服务的端口号。 接口 IP 地址:配置三层以太网接口和 VLAN 接口的 IP 地址。 NAT:配置接口动态地址转换和内部服务器转换功能及相关参数。 安全域:配置安全域后,可以对接口或者 IP 地址进行安全策略的分层控制。 上述这些基本配置的详细介绍请参见的模块资料,本章重点介绍通过设备 Web 自带的向导功能以 及命令行两种方式来快速完成基本配置。 表1-1 设备基本配置参考信息 配置项 参考章节 设备名称和用户密码 入门配置指导 / 设备管理/ 配置设备名称 入门配置指导 / 用户管理 / 配置本地用户 服务管理 访问控制配置指导 / 服务管理 接口
3、IP地址 网络管理配置指导 / 接口管理 网络管理配置指导 / IPv4 地址 NAT NAT 和 ALG 配置指导 / NAT NAT 和 ALG 配置指导 / ALG 安全域 访问控制配置指导 / 安全域 1.2 通过Web方式进行设备基本配置 (1) 在导航栏中选择“配置向导”,进入配置向导的首页面。 (2) 在配置向导首页面中单击“设备基本配置”超链接,进入基本配置向导首页面,如下图所示。 1-2 图1-1 1/6: 基本配置向导 (3) 在基本配置向导首页面单击按钮,进入基本信息设置页面,如下图所示。 1-3 图1-2 2/6: 基本配置向导(基本信息设置) (4) 配置基本信息,详
4、细配置如下表所示。 表1-2 基本信息的详细配置 配置项 说明 系统名称 设置设备的系统名称 修改当前用户密码 设置是否修改当前用户的登录密码 如要修改当前用户密码,需要设置新密码和确认密码,并且输入的新密码和确认密码 必须一致 “修改当前用户密码”只对采用本地认证的用户生效;远程认证用户不能使用本功能。 如果出现远程认证和本地认证用户重名的情况,则修改的是与当前登录用户名称相同 的本地认证用户的密码 新密码 密码确认 加密方式 设置设备保存用户密码时的加密方式 可逆:表示设备以可逆的加密算法对用户密码加密后保存 不可逆:表示设备以不可逆的加密算法对用户密码加密后保存 (5) 在基本信息设置页
5、面单击按钮,进入服务管理页面,如下图所示。 1-4 图1-3 3/6: 基本配置向导(服务管理) (6) 配置服务管理,详细配置如下表所示。 表1-3 服务管理的详细配置 配置项 说明 FTP服务 设置是否在设备上启用FTP服务 缺省情况下,FTP服务处于关闭状态 Telnet服务 设置是否在设备上启用Telnet服务 缺省情况下,Telnet服务处于关闭状态 HTTP服务 设置是否在设备上启用HTTP服务,并设置HTTP服务端口号 缺省情况下,HTTP服务处于关闭状态 如果当前用户是通过 HTTP 服务登录到 Web, 则关闭 HTTP 服务或修改 HTTP 服 务端口号将导致与设备的连接中
6、断,请谨慎操作 修改端口号时必须保证该端口号没有被其他服务使用 1-5 配置项 说明 HTTPS服务 设置是否在设备上启用HTTPS服务,并设置HTTPS服务端口号 缺省情况下,HTTPS服务处于关闭状态 如果当前用户是通过HTTPS服务登录到Web, 则关闭HTTPS服务或修改HTTPS 服务端口号将导致与设备的连接中断,请谨慎操作 修改端口号时必须保证该端口号没有被其他服务使用 HTTPS 服务所使用的 PKI 域默认为“default”,如果该 PKI 域不存在,则在完成 配置向导时会提示 PKI 域不存在,但不影响其他配置的执行 (7) 在服务管理页面单击按钮,进入接口 IP 地址配置
7、页面,如下图所示。列表中显示所 有三层以太网接口和 VLAN 接口的 IP 地址配置信息。 (8) 点击列表中某接口的取值,可对其进行修改。 图1-4 4/6: 基本配置向导(接口 IP 地址配置) (9) 配置接口 IP 地址,详细配置如下表所示。 1-6 表1-4 接口 IP 地址的详细配置 配置项 说明 IP配置 设置接口获取IP地址的方式,包括: 无 IP 配置: 表示不指定接口的 IP 地址, 接口无 IP 地址 静态地址:表示手动指定接口的 IP 地址,此时需要为 接口指定 IP 地址和网络掩码 DHCP:表示接口通过 DHCP 协议自动获取 IP 地址 保持现有配置:表示保持接口
8、 IP 地址的现有配置不变 修改当前接入接口的 IP 地址将导致与设备的连 接中断,请谨慎操作 IP地址 当接口获取IP地址的方式为“静态地址”时,设置接口的IP 地址和网络掩码 网络掩码 (10) 在接口 IP 地址配置页面单击按钮,进入 NAT 配置页面,如下图所示。 图1-5 5/6: 基本配置向导(NAT 配置) (11) 配置 NAT,详细配置如下表所示。 表1-5 NAT 的详细配置 配置项 说明 接口 设置要配置NAT功能的接口 1-7 配置项 说明 动态地址转换 设置是否启用动态地址转换功能 启用动态地址转换功能,则对匹配的报文直接使用接口的IP地址作为转换后的地址 缺省情况下
9、,动态地址转换处于关闭状态 源IP地址/通配符 启用动态地址转换时,设置报文的源IP地址和通配符掩码 目的IP地址/通配符 启用动态地址转换时,设置报文的目的IP地址和通配符掩码 协议类型 启用动态地址转换时,设置报文的IP承载的协议类型,包括TCP、UDP和IP(表示IP 承载的所有协议) 内部服务器 设置是否启用内部服务器功能 启用内部服务器功能,则外部网络的用户访问内部服务器时,NAT将请求报文内的目 的地址转换成内部服务器的私有地址;当内部服务器回应报文时,NAT要将回应报文 的源地址(私有IP地址)转换成公有IP地址 缺省情况下,内部服务器处于关闭状态 配置内部服务器功能可能会导致与
10、设备的连接中断(例如将外部 IP 地址指定为本地主 机的 IP 地址或当前接入接口的 IP 地址时),请谨慎操作 外部IP地址:端口 启用内部服务器时,设置服务器提供给外部访问的合法IP地址和服务端口号 内部IP地址:端口 启用内部服务器时,设置服务器在内部局域网的IP地址和服务端口号 (12) 在 NAT 配置页面单击按钮,进入如下图所示的页面。 图1-6 6/6: 基本配置向导 1-8 (13) 设置在提交配置的同时是否将设备当前的配置保存到下次启动配置文件(包括.cfg 文件和.xml 文件),并确认配置的参数是否正确,如果需要修改,则单击按钮返回到前面的页 面对配置进行修改。 (14)
11、 确认配置的参数正确,单击按钮完成操作。 1.3 通过命令行方式进行设备基本配置 表1-6 防火墙的基本配置 操作 命令 说明 进入系统视图 system-view 必选 该命令在用户视图下执行 修改防火墙名称 sysname sysname 可选 该命令在系统视图下执行 缺省情况下,防火墙名称为H3C 开启防火墙的telnet服务 telnet server enable 可选 该命令在系统视图下执行 缺省情况下,防火墙未开启该服务 进入以太网接口视图 interface interface-type interface-number 可选 该命令在系统视图下执行 配置NAT (可 选其一或
12、者 都不选) 配置NAT静 态转换 配置 NAT 静态转换 nat static local-ip vpn-instance local-name global-ip vpn-instance global-name 使配置在接口上生效 nat outbound static 该命令在系统视图下执行 该命令在接口视图下执行 缺省情况下,接口上未配置NAT地 址转换 配置NAT动 态转换 nat outbound acl-number address-group group-number vpn-instance vpn-instance-name no-pat track vrrp virtu
13、al-router-id 该命令在接口视图下执行 配置NAT Server (可选 其一或者都 不选) 普通NAT Server nat server Index | acl-number protocol pro-type global global-address | current-interface | interface interface-type interface-number global-port1 global-port2 vpn-instance global-name inside local-address1 local-address2 local-port vp
14、n-instance local-name track vrrp virtual-router-id 或者 nat server Index | acl-number protocol pro-type global global-address | current-interface | interface interface-type interface-number global-port vpn-instance global-name inside local-address local-port vpn-instance local-name track vrrp virtual-router-id 该命令在接口视图下执行 1-9 操作 命令 说明
