防火墙配置常用命令（Firewall configuration common commands）.doc

防火墙配置常用命令（Firewall configuration common commands） 防火墙区域名称userzone创建一个安全区域，进一个已建立的安全区域视图时不需要用关键字。 设置优先级为60设置优先级 添加界面gigabitethernet0 / 0 / 1把接口添加进区域 不带userzone显示区域配置信息[ ] [防火墙]政策区间信任不信任出境 【FW政策区间的信任不信任出境]政策1 防火墙保护IP扫描使 防火墙保护IP扫描最大速率1000 黑名单的使 [ ]防火墙保护IP黑名单SRG扫超时20 MAC绑定MAC地址绑定配置启用防火墙 防火墙的MAC地址绑定 00e0-fc00-0100 [信任]防火墙FW2区 [信任] FW2区添加界面G0 / 0 / 0 【FW2 ]防火墙包过滤默认允许区间信任不信任 【FW2 ]防火墙包过滤默认允许区间当地不可信 IPSec相关配置： 先配置ACL： ACL的3000号 规则5允许源IP 55目的 55 1、配置安全提议，封闭使用隧道模式，ESP协议，ESP使用DES加密算法，完整性验证使用SHA1算法。 [建议] tran1 FW1 IPSec 隧道封装模式 变换ESP ESP认证算法SHA1 ESP加密算法 2、配置艾克安全提议 [ 10 ]艾克FW1建议 认证算法SHA1 DES加密算法 3、配置艾克对等体，使用IKEv2协商方式。 [ ] IKE对等FW12对方可以取名fw21 FW1。 艾克提案10 远程地址 预共享密钥ABCDE 4、配置安全策略 【FW1 ] IPSec策略MAP1 10 ISAKMP 安全ACL 3000 建议tran1 IKE对等FW12 如果要针对源IP设置安全策略，则该IP应该是做源转换前的IP NAT 配置安全策略 [防火墙]政策区间信任不信任出境 【FW政策区间的信任不信任出境]政策1 【FW政策区间的信任不信任出境许可证]行动 【FW政策区间的信任不信任政策源 55出境] 端口映射FTP端口803的ACL 2010端口映射，把FTP映射为803。 untrust interzone dmz detect ftp 与ids联运配置 firewall ids authentication type huawei123 md5 key firewall ids server 0 firewall ids port 3000 firewall ids enable 负载均衡 a pes slb rserver 1 rip rserver 2 rip [gis] firewall packet filter default permit interzone dmz direction 允许健康检查报文在防火墙localt和dmz域间出方向流动 local definitions. group kdkd based on weightrr 加权轮询算法. addrserver 1 addrserver 4 addrserver 5 vserver huawei 1 group kdkd vip nat配置 nat address group 1 [gis] nat policy zone untrust trust inbound policy 1. source nat policy ) source address group 1 / 1 做 使用地址池 pat pat 转换 (no. 配置 easy ip interzone trust untrust outbound nat policy policy 1. source nat policy 55 source address easy ip gigabitethernet0 / 0 / 3 / 源 ip nat 转换后的公网 为接口 ge0 / 0 / 3 的 ip 配置 smart. # nat address group 1 method: pat / 模式要选择 no pat smart nopat-n 1 / 预留一个 做 napt ip section 1 section 中不能包含预留 0 0 / ip. # the policy definitions, untrust interzone trust policy 1. work permit 55) source 55) source # interzone trust untrust outbound nat policy policy 1. source nat policy address group 1 55) source 55) source 端口映射 nat serv