2024年5月9日发(作者：奕雪晴)

1。 Firewall的配置

#指定GiｇaｂitＥthｅｒneｔ1/0/１端口的电口被激活,使用双绞线连

接

＜H3C〉 sysｔem—vｉew

［H３C] intｅrｆace gigabitetheｒnet １/0／１

[Ｈ3Ｃ－GiｇaｂitEthernet1／０/1] bo enable coｐper

［H3C—GｉgａｂｉtＥｔｈernet1/0/1］quit

# 依照组网图配置各接口的 ＩP 地址、

〈Sysname＞ sｙｓｔｅm—ｖｉew

［Sｙｓname］ inｔｅrｆaｃｅ ｇiｇａbitｅｔｈernet1/0/1

［Syｓnaｍe-ＧigabｉｔEtｈernet１/０/1] port liｎk—mode rouｔｅ

［Syｓｎaｍe—GｉｇaｂiｔEｔｈｅrｎeｔ1/０/1] ｉp aｄdress 10、

110、10。10 255、2５5。25５、0

［Syｓnamｅ—GｉgａbiｔＥtheｒnｅt1/0/1] quit

[Syｓｎａｍe］ inｔerface ｇigaｂitethernet1/0／2

［Sysname-GｉgａｂｉｔＥtherｎeｔ１/0/2] port link－moｄe

rouｔe

［Sysname—GｉgａｂitEtherｎet１/0／2］ ip aｄdress 202、3８、１、

1 255、2５５、2５５、０

［Sｙsname-GｉgabｉtＥｔheｒnet1/０/2] quit

＃ 创建安全域,并将不同的接口加入不同的安全域。

[Sｙsｎame]seｃurity-zonｅ ｎａｍe Trust

［Ｓysnaｍｅ—secｕｒity—zone-Trust］ｉmpoｒt inｔerfａｃｅ ｇ

igabiｔetheｒnet1／0/1

［Sysnａme-seｃuritｙ-zｏne－Trust］quiｔ

［Sysname]ｓecurity-zｏｎｅ name Uｎｔｒust

［Sysnaｍe-secｕrity—zone—Untrust]iｍpoｒt ｉnteｒｆace gigａ

bitetｈｅrnet1/０/2

［Ｓｙｓnaｍe—secuｒitｙ－zｏne－Ｕntrust]quit

＃ 配置访问控制列表 ２001,仅允许内部网络中 1０、110、1０、

0/2４ 网段的用户能够访问 Inｔｅｒｎet、

［Sｙｓnaｍｅ］ acｌ nｕmｂeｒ 20０1

［Sｙsnａme－aｃl－ｂaｓiｃ—2001] ｒulｅ permit souｒce 10。

１10、10。0 0。０。0、25５

［Sｙsｎame—ａcl-basｉc—20０1］ ruｌｅ deny

［Sｙsnａme—ａcl—bａsiｃ—2001］ quit

＃ 配置域间策略,应用 ＡCＬ ２001 进行报文过滤。

［Sysnamｅ] zone-ｐair ｓecurity source Tｒｕｓt destinaｔioｎ Ｕn

2024年5月9日发(作者：奕雪晴)

1。 Firewall的配置

#指定GiｇaｂitＥthｅｒneｔ1/0/１端口的电口被激活,使用双绞线连

接

＜H3C〉 sysｔem—vｉew

［H３C] intｅrｆace gigabitetheｒnet １/0／１

[Ｈ3Ｃ－GiｇaｂitEthernet1／０/1] bo enable coｐper

［H3C—GｉgａｂｉtＥｔｈernet1/0/1］quit

# 依照组网图配置各接口的 ＩP 地址、

〈Sysname＞ sｙｓｔｅm—ｖｉew

［Sｙｓname］ inｔｅrｆaｃｅ ｇiｇａbitｅｔｈernet1/0/1

［Syｓnaｍe-ＧigabｉｔEtｈernet１/０/1] port liｎk—mode rouｔｅ

［Syｓｎaｍe—GｉｇaｂiｔEｔｈｅrｎeｔ1/０/1] ｉp aｄdress 10、

110、10。10 255、2５5。25５、0

［Syｓnamｅ—GｉgａbiｔＥtheｒnｅt1/0/1] quit

[Syｓｎａｍe］ inｔerface ｇigaｂitethernet1/0／2

［Sysname-GｉgａｂｉｔＥtherｎeｔ１/0/2] port link－moｄe

rouｔe

［Sysname—GｉgａｂitEtherｎet１/0／2］ ip aｄdress 202、3８、１、

1 255、2５５、2５５、０

［Sｙsname-GｉgabｉtＥｔheｒnet1/０/2] quit

＃ 创建安全域,并将不同的接口加入不同的安全域。

[Sｙsｎame]seｃurity-zonｅ ｎａｍe Trust

［Ｓysnaｍｅ—secｕｒity—zone-Trust］ｉmpoｒt inｔerfａｃｅ ｇ

igabiｔetheｒnet1／0/1

［Sysnａme-seｃuritｙ-zｏne－Trust］quiｔ

［Sysname]ｓecurity-zｏｎｅ name Uｎｔｒust

［Sysnaｍe-secｕrity—zone—Untrust]iｍpoｒt ｉnteｒｆace gigａ

bitetｈｅrnet1/０/2

［Ｓｙｓnaｍe—secuｒitｙ－zｏne－Ｕntrust]quit

＃ 配置访问控制列表 ２001,仅允许内部网络中 1０、110、1０、

0/2４ 网段的用户能够访问 Inｔｅｒｎet、

［Sｙｓnaｍｅ］ acｌ nｕmｂeｒ 20０1

［Sｙsnａme－aｃl－ｂaｓiｃ—2001] ｒulｅ permit souｒce 10。

１10、10。0 0。０。0、25５

［Sｙsｎame—ａcl-basｉc—20０1］ ruｌｅ deny

［Sｙsnａme—ａcl—bａsiｃ—2001］ quit

＃ 配置域间策略,应用 ＡCＬ ２001 进行报文过滤。

［Sysnamｅ] zone-ｐair ｓecurity source Tｒｕｓt destinaｔioｎ Ｕn