网络设备之防火墙综合配置

admin

101400
文章

87
评论

2021年10月31日07:24:29评论142 views字数 4181阅读13分56秒阅读模式

网安教育

培养网络安全人才

技术交流、学习咨询

拓扑图

网络设备之防火墙综合配置

要求pc1能够访问到DNS服务器，能够访问到内网服务器，实现地址转换，内网访问到外网

配置

  1[L1]dis cu
  2
  3version 7.1.075, Alpha 7571
  4
  5sysname L1
  6
  7lldp global enable
  8
  9vlan 1
 10
 11Vlan 2
 12
 13vlan 10
 14
 15vlan 20
 16
 17vlan 30
 18
 19stp global enable
 20
 21interface NULL0
 22
 23interface Vlan-interface2
 24ip address 10.10.10.10 255.255.255.0
 25
 26interface Vlan-interface10
 27ip address 192.168.1.1 255.255.255.0
 28
 29interface Vlan-interface20
 30ip address 192.168.2.1 255.255.255.0
 31
 32interface Vlan-interface30
 33ip address 192.168.3.1 255.255.255.0
 34interface GigabitEthernet1/0/1
 35port link-mode bridge
 36port access vlan 10
 37combo enable fiber
 38
 39interface GigabitEthernet1/0/2
 40port link-mode bridge
 41port access vlan 20
 42combo enable fiber
 43
 44interface GigabitEthernet1/0/3
 45port link-mode bridge
 46port access vlan 30
 47combo enable fiber
 48
 49interface GigabitEthernet1/0/4
 50port link-mode bridge
 51port access vlan 2
 52combo enable fiber
 53[H3C]dis cu
 54
 55version 7.1.064, Alpha 7164
 56
 57sysname H3C
 58
 59context Admin id 1
 60
 61telnet server enable
 62
 63irf mac-address persistent timer
 64irf auto-update enable
 65undo irf link-delay
 66irf member 1 priority 1
 67
 68nat address-group 1
 69address 200.200.200.1 200.200.200.1
 70
 71nat address-group 2
 72address 114.114.114.114 114.114.114.114
 73address 200.200.200.200 200.200.200.200
 74
 75nat address-group 3
 76address 10.10.20.1 10.10.20.1
 77
 78nat address-group 4
 79address 10.10.20.2 10.10.20.2
 80
 81nat static inbound 200.200.200.1 10.10.10.1
 82nat static outbound 10.10.10.1 200.200.200.1
 83
 84xbar load-single
 85password-recovery enable
 86lpu-type f-series
 87
 88vlan 1
 89
 90interface NULL0
 91
 92interface GigabitEthernet1/0/0
 93port link-mode route
 94combo enable copper
 95ip address 10.10.10.1 255.255.255.0
 96
 97interface GigabitEthernet1/0/1
 98port link-mode route
 99combo enable copper
100ip address 10.10.20.1 255.255.255.0
101nat inbound 2000 address-group 4 no-pat reversible
102nat outbound 2000 address-group 3
103
104interface GigabitEthernet1/0/2
105port link-mode route
106combo enable copper
107ip address 200.200.200.1 255.255.255.0
108nat inbound 2000 address-group 2 no-pat reversible
109nat outbound address-group 1
110nat static enable
111
112security-zone name Local
113
114security-zone name Trust
115import interface GigabitEthernet1/0/0
116
117security-zone name DMZ
118import interface GigabitEthernet1/0/1
119
120security-zone name Untrust
121import interface GigabitEthernet1/0/2
122
123security-zone name Management
124
125zone-pair security source DMZ destination Local
126packet-filter 2000
127
128zone-pair security source DMZ destination Trust
129packet-filter 2000
130
131zone-pair security source Local destination DMZ
132packet-filter 2000
133
134zone-pair security source Local destination Trust
135packet-filter 2000
136
137zone-pair security source Trust destination DMZ
138packet-filter 2000
139
140zone-pair security source Trust destination Local
141packet-filter 2000
142
143zone-pair security source Trust destination Untrust
144packet-filter 2000
145
146zone-pair security source Untrust destination Local
147packet-filter 2000
148
149ip route-static 10.10.20.0 24 10.10.20.2
150ip route-static 10.10.20.2 32 GigabitEthernet1/0/1 10.10.20.1
151ip route-static 114.114.114.0 24 200.200.200.200
152ip route-static 192.168.0.0 22 10.10.10.10
153ip route-static 200.200.200.1 32 GigabitEthernet1/0/2 200.200.200.200
154
155undo info-center enable
156
157acl basic 2000
158rule 0 permit
159rule 5 permit source 10.10.10.0 0.0.0.255
160service-type telnet terminal http
161authorization-attribute user-role level-3
162authorization-attribute user-role network-admin
163authorization-attribute user-role network-operator
164
165ip http enable
166ip https enable
167
168Return