H3C防火牆應用

1、H3C secPath F1000-A-E1防火牆：

支援外部攻擊防範、内網安全、流量監測、郵件過濾、網頁過濾、應用層過濾。

安全區域優先級：

非受信區（untrust）： 5

非軍事化區（dmz）： 50

受信區（trust）： 85

本地區域（local）： 100

管理區域（manage）： 100

2、ipsec vpn的配置：實作兩個内網互訪

①配置通路控制清單，比對保護的資料流

[R1]acl number 3000

rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0

0.0.0.255

rule deny ip source any destination any

②建立安全提議(傳輸集)

ipsec proposal hanming-set

encapsulation-mode tunnel （隧道模式，預設）

transform esp(|ah|ah-esp) (安全協定,預設esp）

esp enc des

esp auth sha1

③配置ike對等體、協商模式和秘鑰

ike peer bj

pre-share hanming-key

remote-address 201.1.1.1

④配置ike協商方式的安全政策

ipsec policy hmmap 1 isakmp

security acl 3000

proposal hanming-set

ike-peer bj

⑤應用到接口

int e0/1/0

ipsec policy hmmap

3、配置NAPT,實作内網可以通路外網

①配置要NAT轉換的acl,排除需要保護的vpn資料流(不轉換NAT)

[R1]acl number 3001

rule deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0

rule permit ip any source destination any

②定義NAT轉換後的位址池（NAPT隻有一個位址）

nat address-group 1 200.0.0.10 200.0.0.10

③在外網接口上配置acl和NAT位址池的關聯

nat outbound 3001 address-group 1

4、檢視ike狀态：dis ike sa

檢視ipsec狀态：dis ipsec sa

檢視nat轉換： dis nat session|statistics