Comware V5防火牆中存在區域優先級的概念,以及默認區域互訪策略,即高優先級安全區域可以訪問低優先級,低優先級區域不能訪問高優先級區域,相同優先級區域可以互訪,所有區域都可以訪問local區域。
出於安全性的考慮,Comware V7摒棄了V5中區域優先級的概念以及默認域間策略。默認情況下,所有接口不屬於任何安全域;區域之間默認無法互訪。若要通過HTTP或HTTPS方式配置防火牆,需要在命令行下進行相關配置,下面介紹如何在HCL中通過WEB方式配置防火牆。
將F1060的G1/0/1口與Host_1的NIC網卡相連,若沒有網卡,可在VirtualBox中添加,在此不再贅述。
(1) 配置Host_1地址:
打開物理機的網絡連接,將VirtualBox Host-Only Network網卡地址配置為192.168.0.2/24,如下圖
(2) 配置防火牆地址:
啟動命令行終端,以admin/admin登錄,查看G1/0/1接口地址默認為192.168.0.1/24,如下圖
此時,在物理機下ping 192.168.0.1,無法ping通!
[H3C]security-zone name management
[H3C-security-zone-Management]import interface GigabitEthernet 1/0/1
查看安全域及域下接口:
[H3C]display security-zone
Name: Local
Members:
None
Name: Trust
Members:
None
Name: DMZ
Members:
None
Name: Untrust
Members:
None
Name: Management
Members:
GigabitEthernet1/0/1
上述配置將G1/0/1接口划到management域下,可以根據實際情況更改。
[H3C]acl advanced 3000
[H3C-acl-ipv4-adv-3000]rule permit ip
為了簡化配置,在此允許所有ip流量通過。
Management到local策略:
[H3C]zone-pair security source management destination local
[H3C-zone-pair-security-Management-Local]packet-filter 3000
local到management策略:
[H3C]zone-pair security source local destination management
[H3C-zone-pair-security-Management-Local]packet-filter 3000
這時可以看到F1060配置界面:
(1) F1060上默認開啟HTTP及HTTPS服務,若未開啟,無法通過WEB登錄。可以查看相關配置檢查HTTP及HTTPS是否打開,也可以在cmd下telnet 192.168.0.1 80和telnet 192.168.0.1 443查看相關端口是否打開。
開啟HTTP服務命令:ip http enable
開啟HTTPS服務命令:ip https enable
(2) 默認admin用戶只可以通HTTP方式登錄;若使用其他用戶登錄,相關用戶下必須開啟service type http或https。