H3C防火墙应用
1、H3C secPath F1000-A-E1防火墙:
支持外部***防范、内网安全、流量监测、邮件过滤、网页过滤、应用层过滤。
安全区域优先级:
非受信区(untrust): 5
非军事化区(dmz): 50
受信区(trust): 85
本地区域(local): 100
管理区域(manage): 100
2、ipsec ***的配置:实现两个内网互访
①配置访问控制列表,匹配保护的数据流
[R1]acl number 3000
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0
0.0.0.255
rule deny ip source any destination any
②创建安全提议(传输集)
ipsec proposal hanming-set
encapsulation-mode tunnel (隧道模式,默认)
transform esp(|ah|ah-esp) (安全协议,默认esp)
esp enc des
esp auth sha1
③配置ike对等体、协商模式和秘钥
ike peer bj
pre-share hanming-key
remote-address 201.1.1.1
④配置ike协商方式的安全策略
ipsec policy hmmap 1 isakmp
security acl 3000
proposal hanming-set
ike-peer bj
⑤应用到接口
int e0/1/0
ipsec policy hmmap
3、配置NAPT,实现内网可以访问外网
①配置要NAT转换的acl,排除需要保护的***数据流(不转换NAT)
[R1]acl number 3001
rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0
0.0.0.255
rule permit ip any source destination any
②定义NAT转换后的地址池(NAPT只有一个地址)
nat address-group 1 200.0.0.10 200.0.0.10
③在外网接口上配置acl和NAT地址池的关联
int e0/1/0
nat outbound 3001 address-group 1
4、查看ike状态:dis ike sa
查看ipsec状态:dis ipsec sa
查看nat转换: dis nat session|statistics
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
