H3C_WX系列AC_Fit_AP典型配置案例集-6W107-H3C_WX系列AC Fit_AP_EAD典型配置举例

H3C WX系列AC+Fit AP EAD典型配置举例

关键词：EAD，Dot1x

摘要：EAD的基本功能是通过安全客户端、安全联动设备（如交换机、路由器）、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的。H3C的无线局域网端点准入防御方案主要针对企业广域网络，整合网络接入控制与终端安全产品，强制实施企业安全策略，从而加强网络终端的主动防御能力，防止“危险”、“易感”终端接入网络，控制病毒、蠕虫的蔓延，在终端接入层面帮助管理员统一实施企业安全策略，大幅度提高网络的整体安全。

缩略语：

缩略语英文全名中文解释

Controller 无线控制器

AC Access

Point 无线接入点

AP Access

EAD Endpoint Admission Defense 端点准入防御

Client Client 无线客户端

目录

1 简介 (1)

1.1 特性简介 (1)

1.2 特性优点 (2)

2 应用场合 (2)

3 注意事项 (2)

4 配置举例 (3)

4.1 组网需求 (3)

4.2 配置思路 (3)

4.3 使用版本 (3)

4.4 配置步骤 (4)

4.4.1 配置AC (4)

4.4.2 配置iMC (8)

4.4.3 iNode客户端配置 (16)

4.5 验证结果 (17)

4.6 注意事项 (17)

5 相关资料 (17)

1 简介

1.1 特性简介

H3C 的无线局域网端点准入防御（EAD ，Endpoint Admission Defense ）方案主要针对企业广域网络，整合网络接入控制与终端安全产品，强制实施企业安全策略，从而加强网络终端的主动防御能力，防止“危险”、“易感”终端接入网络，控制病毒、蠕虫的蔓延。这种端到端的安全防护体系，可以在终端接入层面帮助管理员统一实施企业安全策略，大幅度提高网络的整体安全。该方案充分发挥企业互联网络设备层路由器的作用，尤其是以H3C 公司最新发布新一代硬件平台的AC ＋Fit AP 的无线局域网基础上配合EAD 安全理念，极大的提升企业网的性能和安全，彻底改变传统的安全观点，使网络的安全上升到一个新的高度，由原有的被动防御向主动防御和抵抗转化，由单点防御向整体防御过渡，由分散管理向集中管理迁移；同时配合“检查”、“隔离”、“修复”、“管理和监控”等多种手段。

EAD 的基本功能是通过安全客户端、安全联动设备（如交换机、路由器）、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的，其基本原理如下图所示： 图1 EAD 基本原理

用户终端试图接入网络时，首先通过安全客户端进行用户身份认证，非法用户将被拒绝接入网络。 合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本是否合格，不合格用户将被安全联动设备隔离到隔离区。

进入隔离区的用户可以进行补丁、病毒库的升级，直到安全状态合格。

安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务。

非法用户拒绝接入不合格用户进入隔离区，进行补丁升级、病毒库升级

安全认证(病毒库版本、补丁、安全设置)

为合格用户提供个性化服务

流程

结合EAD的安全理念以及企业网目前网络架构，H3C公司推出AC＋Fit AP的无线局域网EAD方案。H3C公司EAD安全理念结合AC＋Fit AP的无线局域网以及CAMS服务器，可以实现802.1x、Portal以及扩展Portal认证方式，在企业网出口处对网络用户的端点准入控制。

1.2 特性优点

作为一种结合企业网络现有架构，为企业量身定做的AC＋Fit AP的无线局域网端点准入方案可以大幅度提高网络对病毒、蠕虫等新兴安全威胁的整体防御能力，同时在目前主流认证方式的基础上结合客户需求独家扩展Portal认证条件，使网络安全性大大增加。H3C的AC＋Fit AP的无线局域网端点准入防御方案具有以下特点：

(1) 在支持802.1x和Portal基本认证基础上，为企业网客户实际应用扩展Portal认证条件：客户

实际应用中只有通过IE才可以激活Portal认证，扩展Portal激活条件规定只要出现TCP/UDP

报文就可以激活Portal认证，例如客户不一定启动IE，有FTP等流量经过端口既可以激活认

证。双因素决定客户安全和权限，在原有的基础上增加对客户身份认证之后，在决定客户的

访问权限。这样操作可以使不同的客户具备不同的权限，访问不同的网络资源，IT资源细化

分层。

(2) 整合防病毒与网络接入控制，大幅提高安全性，EAD可以确保所有正常接入网络的用户终端

符合企业的防病毒标准和系统补丁安装策略。不符合安全策略的用户终端将被隔离到“隔离

区”，只能访问网络管理员指定的资源，直到按要求完成相应的升级操作。

(3) 全面隔离“危险”终端，可以配合设备采用ACL隔离的方式，以到达物理或网络隔离的效果，

实现对“危险”终端的全面隔离。

(4) 详细的安全事件日志与审计。

(5) 专业防病毒厂商的合作，通过EAD的联动，防病毒软件的价值得到提升，从单点防御转化为

整体防御。

2 应用场合

EAD是一种通用接入安全解决方案，具有很强的灵活性和适应性，配合H3C的AC＋Fit AP的无线局域网，实现对企业网络入口安全保护。EAD可以为以下应用场景提供安全防护解决方案：

大型企业往往拥有分支或下属机构，分支机构可以通过专线或WAN连接企业总部，某些企业甚至允许家庭办公用户或出差员工直接访问企业内部网络。这种组网方式在开放型的商业企业中比较普遍，受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准，可以在企业入口路由器或BAS中实施EAD准入认证，强制接入用户进行Portal认证和安全状态检查，以达到企业网络入口安全防护的目的。

3 注意事项

在配置过程中，请注意以下几点：

?接入设备上服务器端口配置正确。

?相关AAA配置正确。

4 配置举例

4.1 组网需求

本配置举例中的AC使用的是WX5002无线控制器，AP使用的是WA2100无线局域网接入点。

本配置举例简化组网为两台无线客户端Client以及一台Fit AP和无线控制器AC通过IP网络相连。

图2EAD典型配置组网图

4.2 配置思路

?配置Dot1x

?配置服务器

4.3 使用版本

display version

H3C Comware Platform Software

Comware Software, Version 5.00, ESS 1102P01

Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

Compiled Jun 13 2007 22:14:11, RELEASE SOFTWARE

H3C WX5002-128 uptime is 0 week, 5 days, 17 hours, 55 minutes

CPU type: BCM MIPS 1250 700MHz

1024M bytes DDR SDRAM Memory

32M bytes Flash Memory

Pcb Version: A

Logic Version: 1.0

Basic BootROM Version: 1.12

Extend BootROM Version: 1.13

[SLOT 1]CON (Hardware)A, (Driver)1.0, (Cpld)1.0 [SLOT 1]GE1/0/1 (Hardware)A, (Driver)1.0, (Cpld)1.0 [SLOT 1]GE1/0/2 (Hardware)A, (Driver)1.0, (Cpld)1.0 [SLOT 1]M-E1/0/1 (Hardware)A, (Driver)1.0, (Cpld)1.0

4.4 配置步骤

4.4.1 配置AC

1. 配置信息

display current-configuration

#

version 5.00, 0001

#

sysname AC

#

configure-user count 1

#

domain default enable radius1

#

port-security enable

#

dot1x authentication-method chap

#

vlan 1

#

vlan 2 to 4094

#

radius scheme system

primary authentication 127.0.0.1

primary accounting 127.0.0.1

key authentication h3c

key accounting h3c

accounting-on enable

radius scheme radius1

server-type extended

primary authentication 8.1.1.16

primary accounting 8.1.1.16

key authentication h3c

key accounting h3c

security-policy-server 8.1.1.16

timer realtime-accounting 3

user-name-format without-domain

undo stop-accounting-buffer enable

accounting-on enable

#

domain radius1

authentication default radius-scheme radius1 authorization default radius-scheme radius1 accounting default radius-scheme radius1

access-limit disable

state active

idle-cut disable

self-service-url disable

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

#

acl number 3000

rule 0 permit ip

acl number 3001

rule 5 permit udp

rule 10 deny tcp

#

wlan radio-policy rp

beacon-interval 500

#

wlan service-template 1 clear

ssid h3c-clear

bind WLAN-ESS 1

authentication-method open-system

service-template enable

#

interface NULL0

#

interface Vlan-interface1

ip address 8.20.1.20 255.255.255.0

#

interface GigabitEthernet1/0/1

#

interface GigabitEthernet1/0/2

#

interface M-Ethernet1/0/1

#

interface WLAN-ESS1

port-security port-mode userlogin-secure

#

wlan ap ap3 model WA2100

serial-id 210235A29G007C000020

radio 1 type 11g

radio-policy rp

service-template 1

radio enable

#

ip route-static 0.0.0.0 0.0.0.0 8.20.1.3

#

2. 主要配置步骤

在Dot1x接入端配置802.1x和认证。

(1) 启用port-security，配置802.1x认证方式为chap

[AC]port-security enable

[AC]dot1x authentication-method chap

(2) 配置认证策略

# 创建RADIUS方案radius1并进入其视图。

[AC]radius scheme radius1

# 将RADIUS方案radius1的RADIUS服务器类型设置为extended。

[AC-radius-radius1]server-type extended

# 设置主认证RADIUS服务器的IP地址8.1.1.16。

[AC-radius-radius1]primary authentication 8.1.1.16

# 设置主计费RADIUS服务器的IP地址8.1.1.16。

[AC-radius-radius1]primary accounting 8.1.1.16

# 设置系统与认证RADIUS服务器交互报文时的共享密钥为h3c。

[AC-radius-radius1]key authentication h3c

# 设置系统与计费RADIUS服务器交互报文时的共享密钥为h3c。

[AC-radius-radius1]key accounting h3c

# 设置RADIUS方案radius1的安全策略服务器IP地址为8.1.1.16。

[AC-radius-radius1]security-policy-server 8.1.1.16

# 将RADIUS方案radius1的实时计费的时间间隔设置为3分钟。

[AC-radius-radius1]timer realtime-accounting 3

# 指定发送给RADIUS方案radius1中RADIUS服务器的用户名不得携带域名。

[AC-radius-radius1]user-name-format without-domain

# 禁止在设备上缓存没有得到响应的停止计费请求报文。

[AC-radius-radius1]undo stop-accounting-buffer enable

# 使能accounting-on功能，即设备重启后，发送accounting-on报文通知RADIUS服务器该设备已经重启，要求RADIUS服务器强制该设备的用户下线。

[AC-radius-radius1]accounting-on enable

(3) 配置认证域radius1，并把它设置为系统缺省域

[AC]domain radius1

# 在ISP域radius1下，为所有类型的用户配置方案名为radius1的RADIUS认证、授权、计费方案，作为缺省方案。

[AC-isp-radius1]authentication default radius-scheme radius1

[AC-isp-radius1]authorization default radius-scheme radius1

[AC-isp-radius1]accounting default radius-scheme radius1

[AC-isp-radius1]quit

# 设置radius1为系统缺省的ISP域。

[AC]domain default enable radius1

(4) 配置下发的ACL

# 创建一个序号为3000的IPv4 ACL。

[AC]acl number 3000

# 定义一个规则，允许IP报文通过。

[AC-acl-adv-3000]rule permit ip

# 创建一个序号为3001的IPv4 ACL。

[AC-acl-adv-3000]acl number 3001

# 定义一个规则，允许UDP报文通过。

[AC-acl-adv-3001]rule permit udp

# 定义一个规则，禁止TCP报文通过。

[AC-acl-adv-3001]rule deny tcp

[AC-acl-adv-3001]quit

(5) 配置射频策略

# 创建一个名为rp的射频策略。

[AC]wlan radio-policy rp

# 设置发送信标帧的时间间隔为500TU（Time Unit）。

[AC-wlan-rp-rp]beacon-interval 500

[AC-wlan-rp-rp]quit

(6) 配置无线服务模板

[AC]interface WLAN-ESS1

# 配置无线端口WLAN-ESS1的端口安全模式为userlogin-secure。

[AC-WLAN-ESS1]port-security port-mode userlogin-secure

# 创建clear类型的服务模板1。

[AC-WLAN-ESS1]wlan service-template 1 clear

# 设置当前服务模板的SSID（服务模板的标识）为h3c-clear。

[AC-wlan-st-1]ssid h3c-clear

# 将WLAN-ESS1接口绑定到服务模板1。

[AC-wlan-st-1]bind WLAN-ESS 1

# 设置无线客户端接入该无线服务（SSID）的认证方式为开放式系统认证。[AC-wlan-st-1]authentication-method open-system

# 使能服务模板。

[AC-wlan-st-1]service-template enable

[AC-wlan-st-1]quit

(7) 配置AP

# 创建AP管理模板，其名称为ap3，型号名称这里选择WA2100。

[AC]wlan ap ap3 model WA2100

# 设置AP的序列号为210235A29G007C000020。

[AC-wlan-ap-ap3]serial-id 210235A29G007C000020

# 设置radio1的射频类型为802.11g。

[AC-wlan-ap-ap3]radio 1 type 11g

# 将射频策略rp映射到射频1。

[AC-wlan-ap-ap3-radio-1]radio-policy rp

# 将在AC上配置的clear类型的服务模板1与射频1进行关联。

[AC-wlan-ap-ap3-radio-1]service-template 1

# 使能AP3的radio 1。

[AC-wlan-ap-ap3-radio-1]radio enable

(8) 配置VLAN接口及缺省路由

[AC-wlan-ap-ap3-radio-1]interface Vlan-interface1

[AC-Vlan-interface1]ip address 8.20.1.20 255.255.255.0

[AC-Vlan-interface1]ip route-static 0.0.0.0 0.0.0.0 8.20.1.3

[AC-Vlan-interface1]quit

4.4.2 配置iMC

1. iMC版本：

2. 在iMC上配置MAC认证项：

接入设备配置：

(1) 在iMC“业务>接入业务”中选择“接入设备配置”，在“接入设备配置”页面中单击<增加>

按钮，增加接入设备；

(2) 在“增加接入设备”页面，单击<手工增加>按钮，手工增加接入设备；

(3) 在弹出的对话框中输入接入设备的IP地址（如果只有一台接入设备，这里输入的起始IP地址

和结束IP地址可以完全一样），然后单击<确定>按钮；

(4) 根据实际需求在“增加接入设备”页面设置如下接入配置参数，单击<确定>按钮，增加接入

设备成功；

显示增加接入设备成功页面：

3. 配置安全策略：

(1) 在iMC“业务>EAD业务”中选择“安全策略管理”，在“安全策略管理”页面中单击<增加>

按钮，增加安全策略；

(2) 在弹出的“增加安全策略”页面中：

?在“基本信息”栏中，输入安全策略名“h3c-ead”，安全级别选择“监控模式”；

?在“ACL配置”栏中选择“向设备下发ACL”，并设置安全ACL为“3000”，隔离ACL为“3001”；?在“防病毒软件联动”栏中选择“高级联动软件优先”的联动模式，并选择“进行病毒扫描”；

(3) 点击该页面下方的<确定>按钮，完成安全策略配置：

显示增加安全策略成功页面：

4. 配置服务策略：

(1) 在iMC“业务>接入业务”中选择“服务配置管理”，在“服务配置管理”页面中单击<增加>

按钮，增加服务配置；

(2) 在“增加服务配置”页面中，输入服务名“h3c-1X”，并在安全策略参数中选择刚才配置的

安全策略“h3c-ead”，其它配置都可以采用缺省值，点击该页面下方的<确定>按钮，完成服务配置；

单击<确定>按钮后，显示增加服务成功页面：

5. 配置帐号用户：

(1) 在iMC“用户>用户管理”中选择“增加用户”，在“增加用户”页面中单击<增加>按钮，增

加用户；

(2) 输入用户名“gxtest”，证件号码可以根据需要输入相关证件号码，然后点击<确定>按钮，提

示增加用户成功；

显示增加用户成功页面：

(3) 在上面的“用户>增加用户结果”页面选择“增加用户帐号”，在“增加接入用户”页面输入

帐号和密码（这里采用的用户名和密码均为gx-test），选择前面配置的接入服务“h3c-1x”，其它参数可以根据需要配置；

然后点击该页面下方的<确定>按钮，完成配置：

完成配置后，显示增加接入用户成功页面：

到此，在iMC上的MAC认证配置已经完成。

4.4.3 iNode客户端配置

iNode客户端配置如下所示：

(1) 在User页签上配置用户名和密码（用户名和密码均为gx-test）：

(2) 在General页签上配置数据包类型和用户认证选项：

4.5 验证结果

(1) 使用display dot1x sessions查看Dot1x用户，是否用户在线。

(2) 在iMC上查看用户是否在线。

4.6 注意事项

目前，在EAD解决方案中，对于客户端可以下发ACL和VLAN。

5 相关资料

?《H3C WX系列无线控制产品配置指导》“安全配置指导”中的“端口安全配置”、“安全防攻击配置”、“802.1x配置”、“MAC地址认证配置”、“AAA配置”和“ACL配置”。

?《H3C WX系列无线控制产品命令参考》“安全命令参考”中的“端口安全命令”、“安全防攻击命令”、“802.1x命令”、“MAC地址认证命令”、“AAA命令”和“ACL命令”

?《H3C WX系列无线控制产品配置指导》“WLAN配置指导”中的“WLAN配置指导”。

?《H3C WX系列无线控制产品命令参考》“WLAN命令参考”中的“WLAN命令参考”。

H3C SecPath系列防火墙典型配置案例集-6W100-SecPath系列防火墙IPSec典型配置举例

SecPath系列防火墙IPSec典型配置举例 关键词：IKE、IPSec 摘要：本章首先介绍了IKE和IPSec的基本概念，随后说明了防火墙的配置方法，最后给出两种典型应用的举例。 缩略语： 缩略语英文全名中文解释 IKE Internet Key Exchange 因特网密钥交换 Security IP网络安全协议 IPsec IP

目录 1 特性简介 (3) 1.1 IPSec基本概念 (3) 1.1.1 SA (3) 1.1.2 封装模式 (3) 2 应用场合 (4) 3 配置指南 (4) 3.1 配置概述 (4) 3.2 配置ACL (6) 3.3 配置IKE (6) 3.3.1 配置IKE全局参数 (6) 3.3.2 配置IKE安全提议 (7) 3.3.3 配置IKE对等体 (8) 3.4 IPSec安全提议 (10) 3.5 配置安全策略模板 (12) 3.6 配置安全策略 (14) 3.7 应用安全策略组 (16) 4 配置举例一：基本应用 (17) 4.1 组网需求 (17) 4.2 使用版本 (18) 4.3 配置步骤 (18) 4.4 配置结果验证 (27) 4.4.1 查看IPSec安全联盟 (27) 4.4.2 查看报文统计 (27) 5 配置举例二：与NAT结合 (27) 5.1 组网需求 (27) 5.2 配置说明 (28) 5.3 配置步骤 (28) 5.4 配置验证结果 (34) 5.4.1 查看IPSec安全联盟 (34) 5.4.2 查看报文统计 (35) 6 注意事项 (35) 7 相关资料 (35) 7.1 相关协议和标准 (35) 7.2 其它相关资料 (36)

华为防火墙(VRRP)双机热备配置及组网

防火墙双机热备配置及组网指导 防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议，Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，HRP的报文，或者是普通的VRRP的报文。 在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap 表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP，VGMP，以及HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后，我们称HRP的主备状态为HRP主或者是HRP备状态，在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的，而这些命令将不能在备防火墙的命令行上执行，这些命令包括ACL，接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下： ★ hrp enable ：HRP使能命令，使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl ：检查主备防火墙两端的ACL的配置是否一致。执行此命令之后，主备防火墙会进行交互，执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。

华为usg2210防火墙配置实例

display current-configuration detect h323 d 09:29:14 2016/03/17 detect qq # sysname USG2200 detect #s l2tp enabledetect netbi undo l2tp domain suffix-separator @ undo tunnel authentic #i ike dpd interval 10 allow l2tp #i firewall packet-filter default permit interzone local trust direction inbound unicast undo synchronization # firewall packet-filter default permit interzone local trust direction outbound local-user user2 firewall packet-filter default permit interzone local untrust direction inbound local-user user3 password cipher %$%$`;WkNM${E;O=5--=%y firewall packet-filter default permit interzone local untrust direction outboundal-user user3 service-type ppp local-user use authentication-mode vpndb # nat server 1 protocol udp global 218.56.104.*** any inside 192.100.7.73 anyheme test.scm authorization-mode vpndb # ip df-unreachables enableaccounting-scheme default

防火墙典型配置举例

1.1防火墙典型配置举例

[Quidway-acl-101]rule deny ip source any destination any #配置规则允许特定主机访问外部网，允许内部服务器访问外部网。 [Quidway-acl-101]rule permit ip source129.38.1.40destination any [Quidway-acl-101]rule permit ip source129.38.1.10destination any [Quidway-acl-101]rule permit ip source129.38.1.20destination any [Quidway-acl-101]rule permit ip source129.38.1.30destination any #配置规则允许特定用户从外部网访问内部服务器。 [Quidway]acl102 [Quidway-acl-102]rule permit tcp source202.39.2.30destination 202.38.160.10 #配置规则允许特定用户从外部网取得数据（只允许端口大于1024的包）。 [Quidway-acl-102]rule permit tcp source any destination 202.38.160.10.0.0.0destination-port greater-than1024 #将规则101作用于从接口Ethernet0进入的包。 [Quidway-Ethernet0]firewall packet-filter101inbound #将规则102作用于从接口Serial0进入的包。 [Quidway-Serial0]firewall packet-filter102inbound

H3C防火墙典型配置举例

SecBlade防火墙插卡配置管理典型配置举例 关键词：配置管理，备份 摘要：配置管理模块主要用于对SecBlade防火墙插卡进行配置保存（加密和非加密）、备份、配置恢复和恢复出厂配置，用户可以在web页面方便地对设备的配置进行维护和管理。 缩略语： 缩略语英文全名中文解释 - - -

目录 1 特性简介 (3) 2 应用场合 (3) 3 注意事项 (3) 4 配置举例 (3) 4.1 组网需求 (3) 4.2 配置思路 (3) 4.3 使用版本 (4) 4.4 配置步骤 (4) 4.4.1 基本配置 (4) 4.4.2 配置管理 (4) 4.5 验证结果 (6) 4.5.1 配置保存 (6) 4.5.2 配置备份 (7) 4.5.3 配置恢复 (7) 4.5.4 恢复出厂配置 (7) 4.5.5 软件升级 (7) 4.5.6 设备重启 (7)

1 特性简介 配置管理页面包含“配置保存”、“配置备份”、“配置恢复”和“恢复出厂配置”四个页签。 配置保存可以加密保存配置，如果将配置信息备份下来，打开文件查看时，看到的是密文显示。 在此页面可以对当前的配置信息进行配置备份和备份恢复。软件升级和系统重启可以让用户通过web页面对设备进行管理和操作。 2 应用场合 用于设备的日常维护，当配置修改后，可以保存配置以免设备断电配置信息丢失。也可以将配置信息备份下来，用于日后的配置恢复。如果想清空配置信息时，可以恢复出厂配置。 3 注意事项 (1) 软件升级时，尽量在流量少的时候操作，以免影响用户正常使用。 (2) 备份或恢复时请将startup.cfg和system.xml一起备份和恢复。 4 配置举例 4.1 组网需求 本配置举例中，设备使用的是Secblade II防火墙插卡。本典型配置举例同样适合Secblade LB插卡。 图1配置管理组网图 4.2 配置思路 GE0/1所在的局域网（内网）接口配置地址为192.168.252.98/22，加入ManageMent域，使GE0/1成为管理口。

DPtech FW1000系列应用防火墙典型配置v3.2

DPtech FW1000系列应用防火墙 典型配置 手册版本：v3.2 软件版本：FW1000-S211C011D001P15 发布时间：2018-12-07

声明 Copyright ? 2008-2018杭州迪普科技股份有限公司版权所有，保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。 为杭州迪普科技股份有限公司的商标。 对于本手册中出现的其他所有商标或注册商标，由各自的所有人拥有。 由于产品版本升级或其他原因，本手册内容有可能变更。杭州迪普科技股份有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导，杭州迪普科技股份有限公司尽全力在本手册中提供准确的信息，但是杭州迪普科技股份有限公司并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。 杭州迪普科技股份有限公司 地址：杭州市滨江区通和路68号中财大厦6层 邮编：310051 网址：https://www.wendangku.net/doc/cc3116771.html, 技术论坛：https://www.wendangku.net/doc/cc3116771.html, 7x24小时技术服务热线：400-6100-598

约定图形界面格式约定 各类标志约定 表示操作中必须注意的信息，如果忽视这类信息，可能导致数据丢失、功能失效、设备损坏或不可预知的结果。 表示对操作内容的描述进行强调和补充。

目录 1产品介绍 ........................................................................................................................................... 1-1 1.1产品概述.................................................................................................................................. 1-1 1.2产品特点.................................................................................................................................. 1-1 2设备基本配置维护案例...................................................................................................................... 2-1 2.1登陆防火墙设备Web界面....................................................................................................... 2-1 2.1.1组网说明........................................................................................................................ 2-1 2.1.2配置前提........................................................................................................................ 2-1 2.1.3注意事项........................................................................................................................ 2-1 2.1.4配置思路........................................................................................................................ 2-2 2.1.5配置步骤........................................................................................................................ 2-2 2.1.6结果验证........................................................................................................................ 2-3 2.2 Telnet/SSH远程管理防火墙..................................................................................................... 2-4 2.2.1组网说明........................................................................................................................ 2-4 2.2.2配置前提........................................................................................................................ 2-5 2.2.3注意事项........................................................................................................................ 2-5 2.2.4配置思路........................................................................................................................ 2-5 2.2.5配置步骤........................................................................................................................ 2-5 2.2.6结果验证........................................................................................................................ 2-6 2.3限制特定IP/特定协议管理防火墙 ............................................................................................ 2-7 2.3.1组网说明........................................................................................................................ 2-7 2.3.2配置前提........................................................................................................................ 2-7 2.3.3注意事项........................................................................................................................ 2-7 2.3.4配置思路........................................................................................................................ 2-7 2.3.5配置步骤........................................................................................................................ 2-8 2.3.6结果验证........................................................................................................................ 2-9 2.4保存/下载/导入防火墙配置文件.............................................................................................. 2-10 2.4.1组网说明...................................................................................................................... 2-10 2.4.2配置前提...................................................................................................................... 2-10 2.4.3注意事项...................................................................................................................... 2-10 2.4.4配置思路...................................................................................................................... 2-10 2.4.5配置步骤....................................................................................................................... 2-11 2.4.6结果验证...................................................................................................................... 2-13 2.5 Web页面升级防火墙软件版本 ............................................................................................... 2-13

华为USG防火墙配置完整版

华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

华为USG2000防火墙配置 USG2000防火墙基本设置： 外观 1个调试口（CONSOLE）； 2个以太网口（GE0/0/0和GE0/0/1，电口或者SFP光口任取一）； 1个reset按钮（操作不当访问不到防火墙时初始化出厂配置）。 初始配置 GE0/0/0配置为路由接口，IP地址为 防火墙访问IP为，登录用户名admin，密码Admin@123 USG2000防火墙配置过程中注意事项： 接口配置时，不要操作当前连接的端口，否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。

USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口，访问登录防火墙。 登录过程中出现证书错误，点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后，弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式，不适合I区和II区之间，直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口，在GE0/0/1行最后点配置。 别名设置‘安全II区端口’，选择模式‘交换’，连接类型选择为 ‘access’，点击应用。 3.添加Vlan接口 在接口页面中，点击新加，接口名称设置为‘配置接口’，类型设置为‘VLAN’，VALN ID设置为‘1’，接口成员选择‘GE0/0/1’，连接类型设置为‘静态IP’，IP地址设置为‘’，子网掩码设置为‘’，最后点击应用。如下图所示 4.按照配置GE0/0/1的方法，配置GE0/0/0，将别名设为‘安全I 区端口’。 注意：配置完成后，点击应用后，由于GE0/0/0的IP地址已变更，将无法访问到。 5.关闭所有浏览器页面，然后重新开启浏览器，连接GE0/0/0，访 问。 修改刚添加的‘配置接口’的Vlan端口，将GE0/0/0添加到接口

华为防火墙USG配置

内网： 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网： 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ： [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit 1.4.1 Trust和Untrust域间：允许内网用户访问公网 policy 1：允许源地址为10.10.10.0/24的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令：

防火墙配置实例

C I S C O5520防火墙配置实例 本人在项目中已经两次接触到思科5500系列防火墙的配置应用了，根据项目的需求不同，详细的配置也不一样，因此汇总了一个通用版本的思科5500系列防火墙的配置，不详之处，请各位大虾给予指点，谢谢！ CD-ASA5520# show run : Saved : ASA Version (2) ! hostname CD-ASA5520&nb sp; //给防火墙命名 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside

security-level 0 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address ! passwd encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS

华为防火墙USG配置

配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网： 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ： [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit Trust和Untrust域间：允许内网用户访问公网 policy 1：允许源地址为的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit

人民公园小品案例分析

人民公园园林小品案例分析

园林小品案例分析 园林小品不像园林四大要素那样在园林景观中扮演着主角，但随着社会的进步，园林小品在现代园林中的应用日渐广泛，园林小品的重要作用主要体现在它在园林中可观可赏，又可组景，就是园林小品起着分隔空间与联系空间的作用，使步移景异的空间增添了变化和明确的标志；最重要的是园林小品可渲染气氛，合理的将园林小品与周围环境结合产生不同的效果，使环境宜人而更具感染力。 园林小品是指园林中体量小巧、功能简单、造型别致、富有情趣、选址恰当的精美构筑物。例如一樘通透的花窗，一组精美的隔断，一块新颖的展览牌，一盏灵巧的园灯，一座构思独特的雕塑以至小憩的座椅，湖边的汀步等。 材质：大理石 颜色：浅灰色 优点：处于较靠近路边的位置，形体修长，线条流畅，造型典雅，有雕塑的艺术感。 缺点：设计不够人性化，过于简单，游人使用不够舒适。附近的地砖容易绊到人。

材质：铸铁，塑料 颜色：黑色 优点：造型独特美观，灯柱中空，看来十分通透，灯罩处的圆形饰物逐渐扩大，有上升之势，寓意很好，且能自然过渡到上方的圆顶。圆顶能反射光线，增强照明效果。 缺点：与环境的融合性不太好。与植物园的主题关系也不甚紧密。 材质：木材 颜色：棕色 优点：造型独特美观，看来十分通透，可以遮挡阳光，又可以休息，又可以看看墙壁上的简述，还增强照明效果。 缺点：设计新颖，与环境的融合较好。与植物园的主题也比较符合。

材质：不锈钢 颜色：银色 优点：可以让人们更好的在危及是找到安全地点，又可以让人知道自己所在的位置。 缺点：应该详细的标出安全位置以及最安全最近的路线。 颜色：浅蓝色 优点：在老人小孩的休息区，能给小孩亲近感，蓝色的雕塑与周围景物融合在了一起。 缺点：本雕塑置于高台上，虽然能够很好的突出主体，但是给人不可接触感，可以放置在平地上，感觉更为真实，设计过于简单，可以有些灯光做辉映。

华为防火墙-USG6000-全图化Web典型配置案例(V4.0)

文档版本V4.0 发布日期2016-01-20

登录Web 配置界面 Example9：应用控制（限制P2P 流量、禁用QQ ） Example8：基于用户的带宽管理 Example7：SSL VPN 隧道接入（网络扩展）Example6：客户端L2TP over IPSec 接入（VPN Client/Windows/Mac OS/Android/iOS ）Example5：点到多点IPSec 隧道（策略模板） Example4：点到点IPSec 隧道 Example3：内外网用户同时通过公网IP 访问FTP 服务器Example2：通过PPPoE 接入互联网 Example1：通过静态IP 接入互联网目录 3411182636 51116131141

组网图 缺省配置 管理接口 GE0/0/0 IP 地址 192.168.0.1/24 用户名/密码 admin/Admin@123 登录Web 配置界面 6～8 10及以上 配置登录PC 自动获取IP 地址 1 在浏览器中输入https://接口IP 地址:port 2 输入用户名/密码 3 Firewall 192.168.0.* GE0/0/0 192.168.0.1/24 网口

局域网内所有PC都部署在10.3.0.0/24网段，均通过DHCP动态获得IP地址。 企业从运营商处获取的固定IP地址为1.1.1.1/24。企业需利用防火墙接入互联网。 项目数据说明 DNS服务器 1.2.2.2/24 向运营商获取。 网关地址 1.1.1.254/24 向运营商获取。

2 3 配置外网接口 参数 4 5 配置内网接口参数 6 1

最新华为防火墙l2tp配置资料

配置Client-Initialized方式的L2TP举例 组网需求 如图1所示，某公司的网络环境描述如下： ?公司总部通过USG5300与Internet连接。 ?出差员工需要通过USG5300访问公司总部的资源。 图1配置Client-Initialized方式的L2TP组网图 配置L2TP，实现出差员工能够通过L2TP隧道访问公司总部资源，并与公司总部用户进行通信。 配置思路 1配置客户端。 2根据网络规划为防火墙分配接口，并将接口加入相应的安全区域。 3配置防火墙策略。 4配置LNS。 数据准备 为完成此配置例，需准备如下的数据： ?防火墙各接口的IP地址。 ?本地用户名和密码。 操作步骤 配置客户端。说明：如果客户端的操作系统为Windows系列，请首先进行如下操作。 1在“开始> 运行”中，输入regedit命令，单击“确定”，进入注册表编辑器。 1在界面左侧导航树中，定位至“我的电脑> HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。在该路径下右 侧界面中，检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。 如果不存在，请单击右键，选择“新建> DWORD值”，并将名称命名为 ProhibitIpSec。如果此键值已经存在，请执行下面的步骤。 1选中该值，单击右键，选择“修改”，编辑DWORD值。在“数值数据”文本框

中填写1，单击“确定”。 1重新启动该PC，使修改生效。 此处以Windows XP Professional操作系统为例，介绍客户端的配置方法。 # 客户端主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。 # 配置客户端计算机的主机名为client1。 # 创建L2TP连接。 1打开“我的电脑> 控制面板> 网络连接”，在“网络任务”中选择“创建一个 新的连接”，在弹出的界面中选择“下一步”。 1在“网络连接类型”中选择“连接到我的工作场所的网络”，单击“下一步”。 1在“网络连接”中选择“虚拟专用网络连接”，单击“下一步”。 1在“连接名”下的“公司名”文本框中设置公司名称或VPN服务器名称，本例 设置为LNS，单击“下一步”。 1在“公用网络”中选择“不拨初始连接”，单击“下一步”。 1在“VPN服务器选择”中填写LNS的IP地址，此处设置的IP地址为USG5300 与Internet连接接口的IP地址，本配置例中为202.38.161.1，单击“下一步”。 1将“在我的桌面上添加一个到此连接的快捷方式”选中，单击“完成”。 在弹出的对话框中，输入在LNS上配置的用户名和密码，单击“属性”，如图2所示。图2连接LNS 单击“属性”，设置如图3所示。图3设置LNS属性的选项页签

SecPath防火墙常见flood攻击防范典型配置

SecPath防火墙常见flood攻击防范典型配置 一、组网需求 SecPath开启syn-flood、icmp-flood和udp-flood的攻击防范,防止对 Server的flood攻击。 二、组网图 软件版本如下： SecPath10F：VRP 3.40 ESS 1604； 三、配置步骤 [Quidway]dis cur # sysname Quidway # firewall packet-filter enable firewall packet-filter default permit # undo connection-limit enable connection-limit default deny connection-limit default amount upper-limit 50 lower-limit 20 # firewall statistic system enable //开启报文全局统计 # radius scheme system

# domain system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminal level 3 service-type ftp # acl number 3000 rule 1 permit ip source 192.168.1.0 0.0.0.255 # interface Ethernet1/0 ip address 10.0.0.254 255.255.0.0 # interface Ethernet2/0 speed 10 duplex full ip address 192.168.1.254 255.255.255.0 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust add interface Ethernet2/0 set priority 85 # firewall zone untrust add interface Ethernet1/0 //服务器加入非信任域 set priority 5 statistic enable ip inzone //开启所在域入方向的报文统 计 # firewall zone DMZ set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local DMZ #

H3C SecPath防火墙在双出口下通过策略路由实现负载分担的典型配置

SecPath安全产品在双出口下通过策略路由实现 负载分担的典型配置 一、组网需求： SecPath1000F防火墙部署在出口，有电信和网通两个出口，要求PC1通过电信的出口，PC2通过网通的出口，在任意一个出口出现故障的时候，需要能够自动切换到另外一个出口。 二、组网图 radius scheme system # domain system # acl number 3000 //配置nat转换地址范围 rule 0 permit ip source 192.168.1.0 0.0.0.255 rule 1 permit ip source 172.16.1.0 0.0.0.255 rule 2 deny ip acl number 3001 //配置策略路由的ACL rule 0 permit ip source 172.16.1.0 0.0.0.255 rule 1 deny ip # interface Aux0 async mode flow # interface GigabitEthernet0/0 ip address 202.38.1.1 255.255.255.0

精选文库 nat outbound 3000 # interface GigabitEthernet0/1 ip address 61.1.1.1 255.255.255.0 nat outbound 3000 # interface GigabitEthernet1/0 ip address 10.0.0.1 255.255.255.0 ip policy route-policy test //应用策略路由 # interface GigabitEthernet1/1 # interface Encrypt2/0 # interface NULL0 # firewall zone local set priority 100 # firewall zone trust add interface GigabitEthernet1/0 set priority 85 # firewall zone untrust add interface GigabitEthernet0/0 add interface GigabitEthernet0/1 set priority 5 # firewall zone DMZ set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local DM # firewall interzone trust untrust # firewall interzone trust DMZ # firewall interzone DMZ untrust # route-policy test permit node 10 //配置策略路由