精华内容
下载资源
问答
  • H3C防火墙出厂存在的确省安全域:Local 、DMZ、Trust、Untrust、Management。 缺省安全域不可删除,且域中没有端口。 [H3C]security-zone name ? STRING<1-31> Security zone name Loc

    安全域相关介绍

    1. 安全域(Security Zone),用于管理防火墙设备上安全需求的一些接口。
      管理员将安全需求相同的接口进行分类,并划分到不同安全域,从而实现安全策略的统一管理。

    2. 防火墙出厂的确省安全域
      H3C防火墙出厂存在的确省安全域:LocalDMZTrustUntrustManagement
      缺省安全域不可删除,且域中没有端口。

    [H3C]security-zone name ?
      STRING<1-31>  Security zone name 
      Local
      Trust
      DMZ
      Untrust
      Management
    
    1. 安全域说明及安全等级
      Trust(信任) 安全等级是85,一般连接是连接内网的端口。
      Untrust(非信任) 安全等级是5,一般用于连接外网的端口。
      DMZ(Demilitarized Zone,隔离区或非军事区) 安全等级是50,一般为连接服务器的端口。
      Local(本地) 安全等级为100,指的是防火墙的哥哥各个端口,用户不可改变Local区域本身的任何配置,包括向其添加接口。
      Management(管理) 安全等级是100,指的是通过Telnet、http或https等方式管理防火墙的端口。
    2. 安全域接口下的报文转发规则
      i. 一个安全域中的接口与一个不属于任何安全域的接口之间的报文,将被丢弃。
      ii. 属于同一个安全域的各接口之间的报文缺省会被丢弃。
      iii. 安全域之间的报文由安全控制策略进行安全检查,并根据检查结果放行或丢弃。如若安全策略不存在或不生效,则报文被丢弃。
      iiii.非安全域的接口之间的报文被丢弃。
      iiiii.目的地址或源地址为本机的地址,缺省会被丢弃;如若该报文匹配安全策略,则根据策略判断丢弃或放行。

    实验拓扑

    在这里插入图片描述
    实验要求

    1. 搭建如图拓扑,并连接。
    2. 配置相关IP地址。
        interface GigabitEthernet1/0/0   //配置相关IP
         ip address 192.168.56.2 255.255.255.0
    
    
    1. 创建安全域,将GE_0/0端口配置为Management端口。
        security-zone name management    //创建Management安全域
         import interface g1/0/1    //域中添加接口
    
    1. 创建ACL作为安全策略检测
        acl basic 2000   //创建ACL,抓取相关数据流
         rule permit source 192.168.56.0 0.0.0.255
    
    1. 配置Management到Local安全域之间的域间实例
        zone-pair security source Management destination Local  //创建域间实例
         packet-filter 2000  //绑定ACL
    
    
    1. 配置Telnet、http协议。
        telnet server enable
        ip http enable
        ip https enable     //全部默认开启
    
      local-user admin class manage   //用户admin为默认配置
     password hash $h$6$UbIhNnPevy    //密码为admin
     service-type telnet terminal http  //服务类型默认为Telnet、http
     authorization-attribute user-role level-3
     authorization-attribute user-role network-admin
     authorization-attribute user-role network-operator
    
    

    实验效果

    1. 在物理机上测试Telnet登陆,用户名与密码均为admin。

    在这里插入图片描述
    在这里插入图片描述
    2. web http页面登陆,用户名密码均为admin。

    在这里插入图片描述

    在这里插入图片描述

    1. web https登陆
          local-user admin class manage   
         service-type  https    //增加服务类型https 
    

    在这里插入图片描述

    展开全文
  • H3C防火墙-安全

    千次阅读 2020-10-19 10:19:36
    安全域:是一个逻辑概念,用于管理安全防护设备上的安全需求相 同的多个接口,便于实现安全控制策略的统一管理。 缺省安全域:当首次创建安全策略或域间策略时,系统会自动创建 以下安全域:local、trust、DMZ,...

    一. 基本概念

    1. 安全域:是一个逻辑概念,用于管理安全防护设备上的安全需求相 同的多个接口,便于实现安全控制策略的统一管理。
    2. 缺省安全域:当首次创建安全策略或域间策略时,系统会自动创建 以下安全域:local、trust、DMZ,Management和untrust。缺省安全域不能被删掉。
    3. DMZ:指介于严格的军事管制区域和松散的公共区域之间的一种有 着部分管制的区域。安全域中引用这一术语,指代一个逻辑上和物理 上都与内部网络和外部网络分离的区域。通常部署网络时,将那些需 要被公共访问的设备(如 Web server、FTP server 等)放置于此。

    二. 基于安全域的报文处理规则
    创建安全域之后,设备上各接口的报文转发遵循以下规则:

    1. 一个安全域中的接口与一个不属于任何安全域接口之间的报文,会被丢弃。
    2. 属于同一个安全域接口之间的报文缺省会被丢弃。
    3. 安全域之间的报文由域间策略进行安全检查,并根据检查结果放行或丢弃。若域间策略不存在或不生效,则报文会被丢弃。
    4. 非安全区域之间的报文会被丢弃。
    5. 目的地址与或源地址为本机的报文,缺省丢弃。若该报文与域间策略匹配,则由域间策略进行安全检查,并根据检查结果放行或丢弃。

    三. 安全域的安全级别

    数字越大表示该区域的网络越可靠

    展开全文
  • H3C防火墙-安全域配置举例

    千次阅读 2020-10-19 16:02:39
    1. 组网需求 某公司以 Device 作为网络边界安全防护设备,连接公司内部网络和 Internet。...• 与接口 GigabitEthernet1/0/3 相连的外部网络属于不可信任网络,部署在 Untrust 安全域,不能访问公司内

    1. 组网需求
    某公司以 Device 作为网络边界安全防护设备,连接公司内部网络和 Internet。公司只对内部提供Web 服务,不对外提供这些服务。现需要在设备上部署安全域,并基于以下安全需求进行域间策略
    的配置。
    • 与接口 GigabitEthernet1/0/1 相连的公司内部网络属于可信任网络,部署在 Trust 安全域,可以自由访问 Web 服务器和外部网络。
    • 与接口 GigabitEthernet1/0/3 相连的外部网络属于不可信任网络,部署在 Untrust 安全域,不能访问公司内部网络和 Web 服务器。
    • 与接口 GigabitEthernet1/0/2 相连的 Web server、FTP server 部署在 DMZ 安全域,可以被Trust 安全域的主机自由访问,但不允许访问处于 Trust 域的公司内部网络。
    2. 组网图
    在这里插入图片描述
    3. 配置步骤
    (1) 配置接口 IP 地址、路由保证网络可达,具体配置步骤略。
    (2) 将接口加入安全域

    向安全域 Trust 中添加接口 GigabitEthernet1/0/1。

    system-view
    [Device] security-zone name trust
    [Device-security-zone-Trust] import interface gigabitethernet 1/0/1
    [Device-security-zone-Trust] quit

    向安全域 DMZ 中添加接口 GigabitEthernet1/0/2。

    [Device] security-zone name dmz
    [Device-security-zone-DMZ] import interface gigabitethernet 1/0/2
    [Device-security-zone-DMZ] quit

    向安全域 Untrust 中添加接口 GigabitEthernet1/0/3。

    [Device] security-zone name untrust
    [Device-security-zone-Untrust] import interface gigabitethernet 1/0/3
    [Device-security-zone-Untrust] quit

    (3) 配置 ACL
    # 配置 ACL 3500,定义规则:允许 IP 流量。

    [Device] acl advanced 3500
    [Device-acl-ipv4-adv-3500] rule permit ip
    [Device-acl-ipv4-adv-3500] quit

    (4) 配置域间策略
    # 创建源安全域 Trust 到目的安全域 Untrust 的安全域间实例,并在该安全域间实例上应用包过滤,可以拒绝 Untrust 域用户对 Trust 的访问,但 Trust 域用户访问 Untrust 域以及返回的报文可以通过。

    [Device] zone-pair security source trust destination untrust
    [Device-zone-pair-security-Trust-Untrust] packet-filter 3500
    [Device-zone-pair-security-Trust-Untrust] quit
    # 创建源安全域 Trust 到目的安全域 DMZ 的安全域间实例,并在该安全域间实例上应用包过滤,可以拒绝 DMZ 域用户对 Trust 的访问,但 Trust 域用户访问 DMZ 域以及返回的报文可以通过。

    [Device] zone-pair security source trust destination dmz
    [Device-zone-pair-security-Trust-DMZ] packet-filter 3500
    [Device-zone-pair-security-Trust-DMZ] quit

    4. 验证配置
    以上配置完成后,内网主机可访问外部网络以及 DMZ 安全域内的 Web 服务器资源。外部网络向内部网络和 DMZ 安全域主动发起的连接请求将被拒绝。

    展开全文
  •  安全域间实例用于指定安全控制策略(如包过滤策略、ASPF 策略、对象策略等)需要检测的业务流的源安全域和目的安全域,它们分别描述了经过网络设备的业务流的首个数据包要进入的安全域和要离开的安全域。在安全域...

    1 登录配置

     

    添加管理类本地用户

    local-user test class manage  

      password simple string

      service-type {ftp|http|https|ssh|telnet|terminal}

     

    添加网络接入类本地用户

    local-user test2 class network

       password simple string

       service-type {advpn|ike|portal|ppp|sslvpn}

     

    默认密码admin/admin

    配置认证方式

    line console 0

      authentication-mode shceme

      user-role network-adimin

    line vty 0 4

      authentication-mode scheme

      user-role network-adimin

     

    line console 0

       authentication-mode password

       set authentication password simple password

     

    配置telnet:

    telnet server enable

    line vty 0 4

      authentication-mode scheme  //或者protocol inbound {all|ssh|telnet}

      user-role network-adimin

     

    2 配置安全域

    2.1 安全域简介

           V7防火墙默认安全域有Trust、DMZ、Untrust和Management,G1/0/0默认加入Management区域。此外,设备上所有接口都默认属于Local区域,不需要将接口加入Local域。

     

    security-zone name test

       import interface g1/0/1

     //将真正用于转发的接口加入安全域,如聚合口、vlan虚接口、reth口等。

       import ip 192.168.1.0 24   //添加ipv4子网

       import interface g1/0/2 vlan 10 //二层口加入安全域时需要增加vlan参数

       import service-chain path path-id    //添加服务链成员

     

    security-zone intra-zone default permit  //缺省情况下,同一安全域内报文过滤的缺省动作为拒绝

    display security-zone

     

    2.2 安全域间实例

         安全域间实例用于指定安全控制策略(如包过滤策略、ASPF 策略、对象策略等)需要检测的业务流的源安全域和目的安全域,它们分别描述了经过网络设备的业务流的首个数据包要进入的安全域和要离开的安全域。在安全域间实例上应用安全控制策略可实现对指定的业务流进行安全控制策略检查。

         有具体安全域的安全域间实例的匹配优先级高于 any 到 any 的安全域间实例。

    Management 和 Local 安全域间之间的报文缺省被允许。

    Management 和 Local 安全域间之间的报文只能匹配 Management 与 Local 安全域之间的安全域间实例。当安全域间实例上同时应用了对象策略和包过滤策略时,对象策略的优先级高于包过滤策略。

    配置放行trust域到destination域的所有报文:

    acl adv 3000

      rule permit ip

    zone-pair security source trust destination untrust

      packet-filter 3000

    dis zone-pair security

    安全域配置实例

    实验案例:

    目的:PC_3能ping通PC_5,但PC_5无法ping通PC_3

    PC_3地址设置为dhcp获取,PC_5配置地址为100.2.2.5,网关为100.2.2.254

    S5820V2:

    dhcp server enable

    dhcp server ip-pool vlan100

    gateway-list 192.168.1.254

     network 192.168.1.0 mask 255.255.255.0

     address range 192.168.1.1 192.168.1.253

     dns-list 10.100.1.10

     quit

    vlan 100

    interface vlan 100

    ip address 192.168.1.254 255.255.255.0

     dhcp server apply ip-pool vlan100

    interface g1/0/1

      port access vlan 100

      quit

    interface Ten1/0/51

      port link-mode route

      ip address 10.100.1.2 255.255.255.0

      quit

    ip route-static 0.0.0.0 0.0.0.0 10.100.1.254

     

    MSR36-20:

    interface g0/0

    ip address 200.2.2.254 255.255.255.0

    interface g0/1

    ip address 100.2.2.254 255.255.255.0

    ip route-static 0.0.0.0 0.0.0.0 200.2.2.10

     

     

    F1060-1:

    interface g1/0/2

      ip address 200.2.2.10 24

    interface g1/0/3

      ip address 10.100.1.254 24

    ip route-static 0.0.0.0 0.0.0.0 200.2.2.254

    ip route-static 192.168.1.0 0.0.0.255 10.100.1.2

    将对应端口加入安全域:

    security-zone name Trust           

     import interface GigabitEthernet1/0/3

    security-zone name Untrust

     import interface GigabitEthernet1/0/2

    配置放行trust域到destination域的所有报文:

    acl adv 3000

      rule permit ip

    zone-pair security source trust destination untrust

      packet-filter 3000

    dis zone-pair security

     

    拓展:

    上述配置后,就PC_3可以单向ping通PC_5,但其他设备是无法ping通防火墙上配置的IP地址,防火墙也无法ping通其他设备的地址,原因是防火墙上的IP地址属于local域,必须要配置local域与其他域之间的域间实例,才能ping通

     

    配置其他域与local域的之间的报文,否则防火墙和其他设备无法ping通:

    zone-pair security source Local destination Any

     packet-filter 3000

    zone-pair security source Trust destination Local

     packet-filter 3000

    展开全文
  • H3C防火墙基础配置2-配置安全策略

    万次阅读 2019-11-06 10:15:10
    1 安全策略简介 安全策略对报文的控制是通过安全策略规则实现的,规则中可以设置匹配报文的过滤条件,处理报文的动作和对于报文内容进行深度检测等功能。 (1)规则的名称和编号 安全策略中的每条规则都由唯一...
  • 详解H3C交换机“端口安全”功能

    万次阅读 2013-10-16 08:59:04
    H3C交换机中的端口安全主要功能就是用户通过定义各种安全模式,来控制端口上的MAC地址学习或对用户进行认证,从而让设备学习到合法的源MAC地址,以达到相应的网络管理效果。在H3C交换机上启用了端口安全功能之后,...
  • h3c交换机清空配置命令

    千次阅读 2021-01-16 21:11:08
    h3c交换机清空配置命令H3C CAS云计算管理平台融合了华三通信在网络安全领域的积累,通过对IEEE 802.1Qbg(EVB)标准的支持,为虚拟机在安全、可视、可监管的环境下运行奠定了基础。下面是小编收集的h3c交换机清空配置...
  • H3C交换机修改console密码

    千次阅读 2017-11-15 14:24:00
     * H3C S5120-52P-SI BOOTROM, Version 113 *  * *  ************************************************************************  Creation Date : Jun 1 2009  CPU L1 Cache : 32KB  CPU Clock ...
  • H3C S3100V2端口安全配置

    千次阅读 2019-06-03 15:21:57
    一、端口安全简介 端口安全是一种基于MAC地址对网络接入进行控制的安全机制,是对已有的802.1X认证和MAC地址认证的扩充。这种机制通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测从...
  • H3C防火墙-安全策略典型配置举例

    千次阅读 2020-10-21 09:59:08
    基于 IP 地址的安全策略配置举例 组网需求 • 某公司内的各部门之间通过 Device 实现互连,该公司的工作时间为每周工作日的 8 点到 18点。 • 通过配置安全策略规则,允许总裁办在任意时间、财务部在工作时间通过 ...
  • h3c交换机划分vlan命令

    千次阅读 2020-12-19 10:52:33
    h3c交换机划分vlan命令华三通信安全产品线专注于网络安全以及应用安全,为用户提供融合网络和应用的产品与解决方案。yjbys小编收集了一些关于h3c交换机划分vlan命令,希望大家认真阅读!一、基本设置1. console线连接...
  • H3C防火墙的默认配置及console

    千次阅读 2020-06-02 20:58:50
    命令 <H3C>display current-configuration //显示系统配置 # version 7.1.064, Alpha 7164 //版本信息,查看命令为display version # sysname H3C //系统名为H3C,可通过该命令更改 # context Admin id 1 # telnet ...
  • H3C防火墙授权相关问题

    千次阅读 2020-08-03 09:12:26
    上次就H3C防火墙特征库升级的排查做了简单介绍。后来我觉得有必要把一些相关事项做一下说明,如果大家还没搞懂授权有哪些、要怎么用等常见问题还没搞懂,也是不太方便。 所以本文主要就H3C防火墙的授权类型、产品...
  • H3C防火墙基础配置操作

    千次阅读 2020-07-26 08:57:06
    恢复出厂配置 我们常用的恢复设备出厂配置的方法有三种,但是由于安全产品特性有所不同,在实际应用时效果也有所不一样,四种操作方式具体情况对比如下: 1、通过web页面选择恢复出厂配置 设备运行过程中,在“系统...
  • H3C防火墙-SecPath F100-C-A5配置记录

    千次阅读 2019-11-17 15:08:09
    设备型号:H3C SecPath F100-C-A5,软件版本:Version 7.1.064。 需求:网络分为办公,生产,访客三种,利用防火墙进行隔离,同时允许个别办公电脑访问生产网络里的地址。(老板的电脑可访问生产服务器)。 详细...
  • H3C防火墙的登录及管理

    千次阅读 2020-08-13 16:16:42
    3、在 策略>安全策略 中配置trust到untrust、trust到local、local到trust、local到untrust、untrust到trust、untrust到local的六条策略; 第三步:配置路由器 配置路由器接口地址和静态路由: interface ...
  • H3C防火墙NAT类型及处理顺序

    万次阅读 2019-04-19 15:34:22
    H3C防火墙NAT处理顺序 本文主要适用于H3C V7版本防火墙,介绍了NAT的基本类型和执行顺序。相关内容很多援引H3C官方产品文档,NAT类型及相关说明以官方文档为准。 1 NAT类型及配置说明 H3C V7产品支持的NAT按照组网...
  • 项目需求:在H3C S5500上做MAC地址绑定,要求绑定的MAC才能通信,没有绑定的MAC不能接入,请问用什么命令。 解决方案: 1、在接入层端口下进行MAC地址绑定,如下: interface GigabitEthernet1/0/10 //进入...
  • H3C防火墙基础配置3-配置对象策略

    千次阅读 2019-12-02 15:09:20
    对象策略基于全局进行配置,基于安全域间实例进行应用。在安全域间实例上应用对象策略可实现对报文流的检查,并根据检查结果允许或拒绝其通过。对象策略通过配置对象策略规则实现。 一个对象策略中可以包含多条...
  • H3C 不能tracert

    千次阅读 2019-07-25 15:54:56
    昨天做了vpn的试验,做完验证时,发现不能tracert。...原来基于安全的考虑,有些型号禁用了tracert,我们可以在路径上所有的路由器交换机打开即可。命令入下: ip ttl-expires enable ip unreachables enable ...
  • H3C基础配置学习笔记1-端口配置

    千次阅读 2019-08-05 09:24:45
    在认证或安全等服务器上设置允许或禁止携带 Loopback 接口地址的报文通过,就相当于允许或禁止某台设备产生的报文通过,这样可以简化报文过滤规则。但需要注意的是,将 Loopback 接口地址用于 IP 数据包源地址时,需...
  • H3C交换机配置认证方式

    千次阅读 2019-11-06 20:23:23
    注:一般H3C交换机已经默认同时支持telnet和ssh协议,所以不需要再进行配置。 6)、其他可选配置(虚拟终端视图下)  V3/V5/V7:   idle-timeout  用户连接超时分钟数   screen-length  配置终端...
  • 利用H3C ER5100权限绕过漏洞***内网

    千次阅读 2014-04-05 08:11:53
    H3C ER5100 企业级双核宽带路由器 web管理页面存在验证漏洞  ,点开一看。整个一漏洞详细使用手册。现在再喷一喷乌云,这个网站简直就是个奇葩,想学周鸿祎的流氓行径又学不像。搞个漏洞发布平台,整天自我感觉...
  • 4.1 单区域OSPF 实验目的: 在一个小型的网络中采用动态路由协议OSPF生成路由表...H3C交换机三台,双绞线三条。 [R1]sys R1 [R1]int g0/0 [R1-GigabitEthernet0/0]ip add 192.168.1.1 24 [R1-Gig...
  • 以下内容摘自正在全国热销的《Cisco/H3C交换机高级配置与管理技术手册》一书(畅销经典——《Cisco/H3C交换机配置与管理完全手册》(第二版)的配套姊妹篇)。目前京东网和卓越网上都有“满150元减50元,满300元减...
  • 在企业园区网络中,需要结合钉钉实现网络安全准入实名认证,方案中企业网络设备可以是华为(如AC6005、AC6605、三层交换机)或者H3C新华三(WX2510H、WX3540H、WX2560H)或所有支持Portal协议、CMCC协议的任何网络...
  • H3C S5130 SSH公匙免密登录配置

    千次阅读 2019-07-05 18:24:07
    H3C S5130 SSH公匙登录配置前言一、H3C S5130 SSH公匙登录配置流程二、执行服务器端生成SSH密匙对三、H3C S5130导入公匙四、创建H3C S5130公匙登录用户五、执行脚本服务器端SSH私匙免密登录测试 前言 传统登陆交换机...
  • H3C密码

    千次阅读 2019-01-09 09:17:00
    H3C 3100 和 H3600 2. 用翻转线接到console口上 3.保持终端连接交换机,然后重新启动该设备,在启动阶段看到显示“press ctrl-b to enter boot menu”界面时按Ctrl和B键。这样将进入启动菜单,一般这个密码是不会被...
  • h3c防火墙配置基础

    千次阅读 2020-04-06 15:30:36
    防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,...
  • H3C无线终端准入流程

    千次阅读 2018-03-06 08:20:26
    1. 无线用户接入企业...3. 在无线控制器与iMC之间交互RADIUS报文,对接入用户进行身份认证。RADIUS服务器上保存有公司无线用户的信息,AC通过这些信息为依据来进行无线终端准入认证。4. 当身份认证完成后(可...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 363,339
精华内容 145,335
关键字:

h3c安全