信息网络培训学习第一天,今天主要学习了防火墙的相关配置。
本文学习H3C F1060的相关配置。由于在H3C模拟器中,F1060默认只能进行控制台访问,初始的默认用户与密码均是admin,可以通过下面的设置开启web访问,方便进行配置。
建立网络拓扑
首先确定本地网卡运行中(插着网线,以免模拟器检测不到网卡),然后在模拟器中连接防火墙与Host(本地主机)。
这里注意选择物理网卡,图示另一个选项是VirtualBox的虚拟网卡,其实也可以在拓扑中连接虚拟网卡,在本地适配器选项中桥接该虚拟网卡与物理网卡,效果是一样的,只不过更麻烦一点。
防火墙web配置
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| <FW1>system-view //进入全局视图
[FW1]int g1/0/23 //接口ip,根据所连接的网卡进行改动
[FW1-GigabitEthernet1/0/23]ip address 192.168.0.1 24
[FW1-GigabitEthernet1/0/23]quit
[FW1]security-zone name Trust //安全域
[FW1-security-zone-Trust]import int g1/0/23 //把接口加入安全域
[FW1-security-zone-Trust]quit
[FW1]object-policy ip manage //创建对象策略
[FW1-object-policy-ip-manage]rule pass //规则动作
[FW1-object-policy-ip-manage]quit
[FW1]zone-pair security source trust destination local //域间应用
[FW1-zone-pair-security-Trust-Local]object-policy apply ip manage
[FW1-zone-pair-security-Trust-Local]quit
[FW1]ip http enable //启用http和https的功能
[FW1]ip https enable
[FW1]local-user admin class manage //创建登入web的用户名和密码
[FW1-luser-manage-admin]password simple admin
[FW1-luser-manage-admin]service-type http https
[FW1-luser-manage-admin]authorization-attribute user-role network-admin
|
web登录测试
先在本地适配器中设置与管理地址(192.168.0.1/24)同段的ip,这里设置ip为192.168.0.101,掩码默认,网关可以不设。
然后在浏览器访问前面配置好的管理地址https://192.168.0.1 ,一般会被拦截,选择高级选项中的继续访问即可。用户名与密码均是admin。
由于F1060默认deny一切流量,因此在拓扑中串接的防火墙默认配置下会导致全网不通。
可以在策略中加一条允许一切流量通行的安全策略(注意:该配置纯属为方便模拟器学习配置,实机中该配置会导致防火墙毫无意义。)
