一、配置方法

参考连接:https://blog.csdn.net/guanrencheng12345678/article/details/148976710

1、配置地址(1) 配置Host_1地址:将VirtualBox Host-Only Network网卡地址配置为192.168.0.2/24,(2) 配置防火墙地址:以admin/admin登录,查看G1/0/1接口地址默认为192.168.0.1/24,物理机下ping 192.168.0.1,无法ping通!

、搭建拓扑

将F1060的G1/0/1口与Host_1的NIC网卡相连,若没有网卡,可在VirtualBox中添加

配置地址

(1) 配置Host_1地址:

打开物理机的网络连接,将VirtualBox Host-Only Network网卡地址配置为192.168.0.2/24,如下图

2、将G1/0/1接口划入安全域,命令如下

[H3C]security-zone name trust

[H3C-security-zone-trust]import interface GigabitEthernet 1/0/1

3、创建ACL允许管理流量通过,命令如下

[H3C]acl base 2000

[H3C-acl-ipv4-basc-2000]rule 0 permit source any

4、创建域间策略

trust到local策略:

[H3C]zone-pair security source trust destination local

[H3C-zone-pair-security-trust-Local]packet-filter 2000

local到trust策略:

[H3C]zone-pair security source local destination trust

[H3C-zone-pair-security-local-trust]packet-filter 2000

5、通过浏览器登录,默认用户名及密码为admin/admin这时可以看到防护墙配置界面:

注意:

(1)防护墙已经默认开启HTTP及HTTPS服务,未开启,无法通过WEB登录。查看相关配置检查HTTP及HTTPS是否打开,可以在cmd下telnet 192.168.0.1 80和telnet 192.168.0.1 443.

开启HTTP服务命令:ip http enable

开启HTTPS服务命令:ip https enable

(2) 默认admin用户只可以通HTTP方式登录;其他用户下必须开启service type http或https。

local user admin

services http https telnet

6、interface GigabitEthernet 1/0/1

manage https inbound(开启https权限,因为是host主机访问防火墙所以是inbound方向)

————————————————

二、补充另一个配置方法 华三 官方配置

参考连接:https://hcl-server.h3c.com/hcls/message/firewallIntro

HCL模拟器防火墙WEB方式登录配置

Comware V5防火墙中存在区域优先级的概念,以及默认区域互访策略,即高优先级安全区域可以访问低优先级,低优先级区域不能访问高优先级区域,相同优先级区域可以互访,所有区域都可以访问local区域。

出于安全性的考虑,Comware V7摒弃了V5中区域优先级的概念以及默认域间策略。默认情况下,所有接口不属于任何安全域;区域之间默认无法互访。若要通过HTTP或HTTPS方式配置防火墙,需要在命令行下进行相关配置,下面介绍如何在HCL中通过WEB方式配置防火墙。

1、搭建拓扑

将F1060的G1/0/1口与Host_1的NIC网卡相连,若没有网卡,可在VirtualBox中添加,在此不再赘述。

FirewallWeb_1.png

2、配置地址

(1) 配置Host_1地址:

打开物理机的网络连接,将VirtualBox Host-Only Network网卡地址配置为192.168.0.2/24,如下图

FirewallWeb_2.png

(2) 配置防火墙地址:

启动命令行终端,以admin/admin登录,查看G1/0/1接口地址默认为192.168.0.1/24,如下图

FirewallWeb_3.png

此时,在物理机下ping 192.168.0.1,无法ping通!

3、将G1/0/1接口划入安全域,命令如下

[H3C]security-zone name management

[H3C-security-zone-Management]import interface GigabitEthernet 1/0/1

查看安全域及域下接口:

[H3C]display security-zone

Name: Local

Members:

None

Name: Trust

Members:

None

Name: DMZ

Members:

None

Name: Untrust

Members:

None

Name: Management

Members:

GigabitEthernet1/0/1

上述配置将G1/0/1接口划到management域下,可以根据实际情况更改。

4、创建ACL允许管理流量通过,命令如下

[H3C]acl advanced 3000

[H3C-acl-ipv4-adv-3000]rule permit ip

为了简化配置,在此允许所有ip流量通过。

5、创建域间策略

Management到local策略:

[H3C]zone-pair security source management destination local

[H3C-zone-pair-security-Management-Local]packet-filter 3000

local到management策略:

[H3C]zone-pair security source local destination management

[H3C-zone-pair-security-Management-Local]packet-filter 3000

6、通过浏览器登录,默认用户名及密码为admin/admin如下图

FirewallWeb_4.png

这时可以看到F1060配置界面:

FirewallWeb_5.png

注意:

(1) F1060上默认开启HTTP及HTTPS服务,若未开启,无法通过WEB登录。可以查看相关配置检查HTTP及HTTPS是否打开,也可以在cmd下telnet 192.168.0.1 80和telnet 192.168.0.1 443查看相关端口是否打开。

开启HTTP服务命令:ip http enable

开启HTTPS服务命令:ip https enable

(2) 默认admin用户只可以通HTTP方式登录;若使用其他用户登录,相关用户下必须开启service type http或https。