• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C S9500 产品配置举例-RELEASE1628及以上版本(V1.21)

06-FIREWALL之包过滤防火墙配置举例

本章节下载  (95.87 KB)

docurl=/cn/Service/Document_Software/Document_Center/Switches/Catalog/S9500/S9500/Configure/Typical_Configuration_Example/S9500_1628_Typical_Configuration_Example(V1.21)/200711/318138_30005_0.htm

06-FIREWALL之包过滤防火墙配置举例

目  录

1 特性简介... 1

2 适用版本... 1

3 注意事项... 1

4 配置举例... 1

4.1 组网需求... 1

4.2 组网图... 2

4.3 配置过程... 2

4.4 完整配置... 3


 

Firewall之包过滤防火墙配置举例

1  特性简介

包过滤应用在SecBlade中,为SecBlade增加了对数据包的过滤功能。对SecBlade需要转发的数据包,先获取数据包的包头信息,包括IP层所承载的上层协议的协议号,数据包的源地址、目的地址、源端口和目的端口等,然后和设定的ACL规则进行比较,根据比较的结果决定对数据包进行转发或者丢弃。

适用版本

软件版本:S9500-CMW310-R1628版本及以后升级版本(R2126及以上版本不支持)

硬件版本:LSB1FW8DB0、LSB2FW8DB0

注意事项

Firewall在缺省默认情况下不转发任何报文,需要执行命令firewall packet-filter default permit使其默认转发;

配置举例

4.1  组网需求

用户通过9500交换机上的SecBlade连接到Internet。公司内部对外提供WWW和FTP服务。其中,内部WWW服务器地址为20.0.0.1,内部FTP服务器地址为20.0.0.2。只允许外部特定PC可以访问内部服务器,但是不能访问内部网络的其他资源。假定外部特定用户的IP地址为203.1.1.1。

4.2  组网图

图4-1 包过滤防火墙组网图

4.3  配置过程

# 添加内网VLAN 20和VLAN 3,外网VLAN 200,SecBlade互连VLAN 50。

[S9500] vlan 20

[S9500vlan20] port E2/1/1

[S9500] vlan 3

[S9500vlan3] port E2/1/2

[S9500] vlan 200

[S9500vlan200] port E3/1/1

[S9500] vlan 50

# 配置内网VLAN接口IP地址。

[S9500] interface vlan-interface 20

[S9500-Vlan-interface20] ip address 20.0.0.254 24

[S9500] interface vlan-interface 3

[S9500-Vlan-interface3] ip address 15.0.0.2 24

[S9500] interface vlan-interface 50

[S9500-Vlan-interface50] ip address 50.1.1.1 24

# 配置路由,发往外网的报文下一跳为SecBlade防火墙。

[S9500] ip route-static 0.0.0.0 0 50.1.1.2

# 配置SecBlade模块,设置VLAN 200为security-vlan。

[S9500] secblade module test

[S9500-secblade-test] secblade-interface vlan-interface 50

[S9500-secblade-test] security-vlan 200

[S9500-secblade-test] map to slot 4

# 进入SecBlade视图(缺省用户名和密码为SecBlade,区分大小写)。

<S9500> secblade slot 4

userSecBlade

passwordSecBlade

# 配置子接口,SecBlade互连子接口VLAN 50,外网子接口 VLAN 200。把互连子接口加入trust区域,外网子接口加入untrunst区域。

[SecBlade_FW] interface GigabitEthernet 0/0.50

[SecBlade_FW -GigabitEthernet0/0.50] vlan-type dot1q vid 50

[SecBlade_FW -GigabitEthernet0/0.50] ip address 50.1.1.2 24

[SecBlade_FW] interface g0/0.200

[SecBlade_FW -GigabitEthernet0/0.200] vlan-type dot1q vid 200

[SecBlade_FW -GigabitEthernet0/0.200] ip address 202.115.1.1 24

[SecBlade_FW -zone-trust] add interface GigabitEthernet 0/0.50

[SecBlade_FW] firewall zone untrust

[SecBlade_FW -zone-untrust] add interface GigabitEthernet 0/0.200

# 配置路由,外网下一跳为路由器,内网下一跳为S9500。

[SecBlade_FW] ip route-static 0.0.0.0 0 202.115.1.2

[SecBlade_FW] ip route-static 20.0.0.0 24 50.1.1.1

[SecBlade_FW] ip route-static 15.0.0.0 24 50.1.1.1

# SecBlade视图下配置ACL规则,指定特定用户访问内网用户。

[SecBlade_FW] firewall packet-filter enable

[SecBlade_FW] acl number 3002

[SecBlade_FW-acl-adv-3002] rule permit tcp source 203.1.1.1 0 destination 20.0.0.1 0 destination-port eq 80

[SecBlade_FW-acl-adv-3002] rule permit tcp source 203.1.1.1 0 destination 20.0.0.2 0 destination-port eq 25

[SecBlade_FW-acl-adv-3002] rule deny ip

[SecBlade_FW-GigabitEthernet0/0.200] firewall packet-filter 3002 inbound

4.4  完整配置

#

vlan 3

#

vlan 20

#

vlan 50

#

vlan 200

#

interface vlan-interface 3

 ip address 15.0.0.2 24

#

interface vlan-interface 20

 ip address 20.0.0.254 24

#

interface vlan-interface 50

 ip address 50.1.1.1 24

#

interface Ethernet2/1/1

 port access vlan 20

interface Ethernet2/1/2

 port access vlan 3

interface Ethernet3/1/1

 port access vlan 200

#

 ip route-static 0.0.0.0 0 50.1.1.2 preference 60

#

secblade module test

secblade-interface vlan-interface 50

security-vlan 200

map to slot 4

# 进入SecBlade视图,进行SecBlade配置(缺省用户名和密码为SecBlade,区分大小写)。

secblade slot 4

userSecBlade

passwordSecBlade

system

# 配置子接口以及区域。

interface GigabitEthernet 0/0.50

vlan-type dot1q vid 50

ip address 50.1.1.2 24

quit

interface g0/0.200

vlan-type dot1q vid 200

ip address 202.115.1.1 24

quit

firewall zone trust

add interface GigabitEthernet 0/0.50

quit

firewall zone untrust

add interface GigabitEthernet 0/0.200

quit

# 配置路由。

ip route-static 0.0.0.0 0 202.115.1.2

ip route-static 20.0.0.0 24 50.1.1.1

ip route-static 15.0.0.0 24 50.1.1.1

# 配置访问控制列表。

firewall packet-filter enable

acl number 3002

# 配置规则只允许特定外部用户从外部网访问内部服务器,但禁止访问内部网络的其他资源。

rule permit tcp source 203.1.1.1 0 destination 20.0.0.1 0 destination-port eq 80

rule permit tcp source 203.1.1.1 0 destination 20.0.0.2 0 destination-port eq 25

rule deny ip

# 将规则访问控制列表3002应用于外部子接口的入方向数据流。

interface GigabitEthernet 0/0.200

firewall packet-filter 3002 inbound

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们