l
随笔笔记

菜单

白菜一颗
发布于 2025-03-21 / 13 阅读
0
0

华三(H3C)防火墙开局指南

#H3C防火墙基础开局

华三(H3C)防火墙的基础配置通常包括 设备初始化、接口配置、远程管理、NAT 配置、安全策略、路由配置等。本指南将详细介绍 H3C SecPath 系列防火墙(如 F1000/F5000 等)的开局配置,并附带命令解析。

一、设备初始化

1. 连接设备

  • Console 连接(SecureCRT / PuTTY / Xshell)

    • 波特率:9600

    • 数据位:8

    • 停止位:1

    • 校验位:无

  • SSH 远程管理(如果已有 IP)

    shell

    复制编辑

    ssh admin@防火墙IP

  • 进入系统视图

    shell

    复制编辑

    system-view

    说明:进入全局配置模式,提示符变为 [H3C]

二、基础配置

1. 设置设备名称

shell

复制编辑

system-view sysname H3C-FW

说明

  • sysname H3C-FW:设置防火墙名称。

2. 关闭 DNS 解析

shell

复制编辑

undo ip domain-lookup

说明:避免误输入命令后,设备尝试解析域名,影响操作。

3. 配置管理 IP

shell

复制编辑

interface GigabitEthernet 1/0/1 ip address 192.168.1.1 255.255.255.0 nameif mgmt undo shutdown exit

说明

  • interface GigabitEthernet 1/0/1:进入管理接口(根据实际情况修改)。

  • ip address 192.168.1.1 255.255.255.0:配置 IP 地址。

  • nameif mgmt:给接口命名(可选)。

  • undo shutdown:激活接口。

三、远程管理

1. 启用 Telnet

shell

复制编辑

telnet server enable user-interface vty 0 4 authentication-mode password set authentication password simple H3C@123 idle-timeout 10 quit

说明

  • telnet server enable:开启 Telnet 服务器。

  • set authentication password simple H3C@123:设置 Telnet 密码。

2. 启用 SSH

shell

复制编辑

local-user admin class manage password simple H3C@123 service-type ssh telnet authorization-attribute level 3 quit ssh server enable

说明

  • local-user admin class manage:创建 SSH 用户 admin

  • password simple H3C@123:设置用户密码。

  • authorization-attribute level 3:管理员权限。

四、WAN 口(PPPoE 拨号)

shell

复制编辑

interface GigabitEthernet 1/0/2 pppoe-client enable pppoe-client dial pppoe1 user H3C password H3C@123 quit

说明

  • pppoe-client enable:开启 PPPoE。

  • pppoe-client dial pppoe1 user H3C password H3C@123:拨号账号和密码。

五、NAT 配置(上网)

1. 配置 ACL

shell

复制编辑

acl number 3001 rule 0 permit ip source 192.168.1.0 0.0.0.255 quit

说明

  • rule 0 permit ip source 192.168.1.0 0.0.0.255:允许该网段 NAT 出口。

2. 配置 NAT 转换

shell

复制编辑

interface GigabitEthernet 1/0/2 nat outbound 3001 quit

说明

  • nat outbound 3001:绑定 ACL 3001 进行 NAT 转换。

六、安全策略(防火墙规则)

1. 放行内部访问外网

shell

复制编辑

security-policy from trust to untrust policy 1 action permit source-zone trust destination-zone untrust service any quit

说明

  • source-zone trust:内部区域(可信)。

  • destination-zone untrust:外部区域(不可信)。

  • service any:允许所有服务。

2. 禁止外部访问内部

shell

复制编辑

security-policy from untrust to trust policy 1 action deny source-zone untrust destination-zone trust quit

说明

  • action deny:拒绝外部访问内部。

七、静态 & 动态路由

1. 配置默认路由

shell

复制编辑

ip route-static 0.0.0.0 0.0.0.0 192.168.1.254

说明

  • ip route-static:添加静态路由。

2. 配置 OSPF 动态路由

shell

复制编辑

ospf 1 router-id 1.1.1.1 area 0 network 192.168.1.0 0.0.0.255 quit

说明

  • ospf 1:启用 OSPF 进程 1。

  • network 192.168.1.0 0.0.0.255:宣告该网段。

八、ACL 访问控制

1. 禁止某 IP 访问外网

shell

复制编辑

acl number 3002 rule 10 deny ip source 192.168.1.100 0 rule 20 permit ip any any quit security-policy from trust to untrust policy 2 action deny source-address 192.168.1.100 0 quit

说明

  • rule 10 deny:禁止 192.168.1.100 访问外网。

九、日志 & 时间同步

1. 配置 NTP

shell

复制编辑

ntp-service enable ntp-service unicast-server 192.168.1.100 clock timezone CST 8

说明

  • ntp-service enable:启用 NTP。

  • clock timezone CST 8:设置时区。

十、保存配置

shell

复制编辑

save

或:

shell

复制编辑

write

说明:保存当前配置,防止设备重启后丢失。

总结

H3C 防火墙的基础配置包括:

  1. 设备初始化

  2. 接口 & IP 配置

  3. 远程管理(Telnet / SSH)

  4. WAN 口 & NAT

  5. 安全策略(防火墙规则)

  6. 静态 & 动态路由

  7. ACL 访问控制

  8. 日志 & 时间同步

  9. 配置保存

H3C交换机密码重置
思科(Cisco)路由器开局指南

评论