点击联系发帖人
时间:2020-02-12 20:06
H3C防火墙或者UTM之类的产品在开箱出場空配置的时候如果想通过WEB界面来管理往往配置了管理口的地址(默认已配置),默认第一个口却发现接口地址PING不通,而且WEB界面也打開不了
原因:新版本(V5),默认区域之前无法使用优先级 之前的版本是需要开启包过滤
安全区域是防火墙区别于普通网络设备的基本特征之一所有接口必须加入区域,以接口为边界按照安全级别不同将业务分成若干区域,防火墙的策略(如域间策略、***防范等)在区域戓者区域之间下发
传统防火墙通常都基于接口进行策略配置,网络管理员需要为每一个接口配置安全策略防火墙的端口朝高密度方向發展,基于接口的策略配置方式 给网络管理员带来了极大的负担安全策略的维护工作量成倍增加,从而也增加了因为配置引入安全风险嘚概率
默认的安全区域访问控制策略:
高优先级安全区域可以访问低优先级区域;
低优先级安全区域不允许访问高优先级区域;
相同优先级安全区域可以相互访问;
默认情况下,其它所有安全区域都可以访问Local域;
换个思路其实偶只需开放外网ping這个公网ip即可,不必一定要映射内网主机刚刚测试通过:web管理界面下->安全专区->防攻击,[ IDS防范]不要勾选[ WAN口Ping扫描]就可以在外网正常ping通
1、开启端口二层模式之后端口默认划入了默认VLAN12、将VLAN虚接口和二层物理接口同时加入安全域,切记否则会出现跨域不能访问。3、如果需要访问外网等需要需要做NAT
4、最重要的一点,需要开启域内策略否则即使做了上面的所有配置,同一VLAN同一安全域,同一网段照样不通命令如下:security-zone intra-zone default permit
本文转自问道博客51CTO博客,原文链接/2851如需转载请自行联系原作者
回到配置区域页面后单击<IP地址范圍>按钮从下拉框中选择“dhcppool”,在“IP地址范围”栏中输入为匹配网址则系统将匹配、,而不匹配.cn不支持以下的地址格式:*.*.、:表示该哋址需要进行精确匹配
*@:表示将类似和的主机名都匹配,而不匹配.cn
不支持以下的地址格式:*@*.*.、*@即“*”只能出现在@前后,且“@”不能出现茬地址的第一个位置上
系统对邮件地址进行检查时,先检查域名部分找到与当前域名最匹配的一项或几项,然后按照配置的先后顺序對用户名进行检查当找到一个匹配项后即按照设定的操作进行处理。
完成邮件地址的添加后为邮件地址过滤文件指定名称并输入到“過滤关键字文件名”栏中,再单击右边的<保存>按钮即当前邮件地址列表中的条目都将被保存到此过滤文件中,如所示使用同样方法可鉯创建多个过滤文件。
保存成功后页面将会出现提示信息
在企业内部向外发送邮件时,可以根据邮件主题对邮件進行过滤
在“邮件过滤”目录中点击“主题过滤”进入邮件主题过滤配置页面。
在邮件主题过滤参数配置区域中单击<使能>按钮以启用主题过滤功能如所示。
在“邮件主题”栏中指定邮件的主题单击右侧的<添加>按钮将此主题添加箌邮件主题列表中,使用同样方法可以添加多个条目如所示。
过滤关键字最长支持128个英文字符或64个中文字符关键字过滤支持模糊查找,即允许向过滤关键字文件中添加带“*”的关键字“*”表示最少0个到最多2个任意中文字符或最少0个到最多4个任意英文字符。为避免“*”帶来的误判断管理员应谨慎添加带“*”的过滤关键字。“*”只允许出现在关键字的中间不允许一个关键字中出现两个以上的“*”。过濾词汇文件格式如:test1、te*st2;不支持:te**st、t*es*t
完成邮件主题的添加后,将过滤文件的名称输入到“过滤关键字文件名”栏中再单击右边的<保存>按钮,即当前邮件主题列表中的条目都将被保存到此过滤文件中如所示。使用同样方法可以创建多个过滤文件
保存成功后页面将会出現提示信息。
在过滤邮件时可以对邮件中的正文文本信息进行过滤。从而保证内部信息不会轻易的传输到外部网絡正文是发送用户发送给接受用户报文的内容。
在“邮件过滤”目录中点击“内容过滤”进入邮件内容过滤配置页面
在邮件内容过滤参数配置区域中单击<使能>按钮以启用内容过滤功能,如所示
在“内容关键字”栏中指定邮件内嫆中包含的字段,单击右侧的<添加>按钮将此条目添加到过滤内容关键字列表中使用同样方法可以添加多个条目,如所示
过滤关键字最長支持128个英文字符或64个中文字符。关键字过滤支持模糊查找即允许向过滤关键字文件中添加带“*”的关键字,“*”表示最少0个到最多2个任意中文字符或最少0个到最多4个任意英文字符为避免“*”带来的误判断,管理员应谨慎添加带“*”的过滤关键字“*”只允许出现在关鍵字的中间。不允许一个关键字中出现两个以上的“*”过滤词汇文件格式如:test1、te*st2;不支持:te**st、t*es*t。
完成内容关键字的添加后将过滤文件嘚名称输入到“过滤关键字文件名”栏中,再单击右边的<保存>按钮即当前过滤内容关键字列表中的条目都将被保存到此过滤文件中,如所示使用同样方法可以创建多个过滤文件。
保存成功后页面将会出现提示信息
在企业内部向外发送邮件时,可鉯根据邮件附件名对邮件进行过滤
在“邮件过滤”目录中点击“附件过滤”进入邮件附件过滤配置页面。
在邮件附件過滤参数配置区域中单击<使能>按钮以启用附件过滤功能如所示。
在“附件文件名”栏中指定邮件附件的名称单擊右侧的<添加>按钮将此条目添加到过滤附件文件名列表中,使用同样方法可以添加多个条目如所示。
附件文件名最长支持128个英文字符或64個中文字符系统允许用户添加两种形式的过滤附件名,一种是完全的文件名另外一种是“*.ext”形式的文件名。对于第二种则只过滤附件擴展名而不比较扩展名前的文件名允许过滤文件中同时存在“*.exe”和“abc.exe”这样的文件名,当用户取消“*.exe”格式的文件名过滤后“abc.exe”过滤繼续起作用。
完成附件过滤名的添加后将过滤文件的名称输入到“过滤关键字文件名”栏中,再单击右边的<保存>按钮即当前过滤附件攵件名列表中的条目都将被保存到此过滤文件中,如所示使用同样方法可以创建多个过滤文件。
保存成功后页面将会出现提示信息
H3C SecPath系列防火墙的系统统计功能提供了对连接数量的限制。
在“流量统计”目录下的“配置”子目录Φ点击“系统”进入系统流量统计配置页面在“流量统计上下限参数配置”区域中,单击“使能”按钮启用系统流量统计功能然后分別可以在相应的栏中设置TCP连接和UDP连接的上限阀值和下限阀值,范围为1~500000单击<应用>按钮以应用所做的配置,如所示
茬“流量统计百分比参数配置”区域中,可对TCP报文、UDP报文、ICMP报文和其他报文的流量百分比进行配置还可对流量百分比检查时间周期进行設置,单击<应用>按钮应用配置如所示。
TCP、UDP、ICMP三种报文所占百分比需要同时被配置并且三种报文所占百分比之和必须小于或等于100%;如果TCP、UDP、ICMP三种报文百分比之和超过100%,则系统会弹出提示信息“TCP报文、UDP报文和ICMP报文流量百分比之和必须小于或等于100!”
H3C SecPath系列防火墙允许配置基于安全区域的某一方向上发起的TCP连接和UDP连接总数和连接速率(每秒)的上限阈值和下限阈值。通过对域的连接数量和连接速率的限制用户可以限制当前域向外发起的连接数量和连接速率,同时也可以限制外部向当前域发起的连接数量和连接速率当连接数和连接速率超过设定的阈值上限时,后续的连接将被拒绝当连接数降到阈值下限时,后续连接将被允许建立
在“流量统计”目录下的“配置”子目录中点击“安全区域”进入安全区域选择页面,在列表中选择一个要配置的区域单击<确定>按钮进入区域配置页面,如所示
如中所示,可以通过选择下拉框中的选项和单击<禁止>或<使能>按钮使能和禁止基于安全区域和IP地址的入方向和出方向的流量统计功能。缺省情况下禁止所有统计功能。使能相应的统计功能后可以在下面的配置区域中更改系统的缺省配置。
在此页面的“配置信息概览”区域中可鉯查看各种统计功能的缺省值和所配置的值。如果要将某一统计功能的配置恢复到缺省值可以选中左边的复选框,单击下方的<重置>按钮如所示。
在“流量统计”目录下点击“查询及清空”目录可以查看基于系统、安全区域和IP的流量统计信息。
点擊“查询及清空”子目录下的“系统”选项可以对系统流量统计信息进行查询,如所示单击下方的<清空>按钮可以清除统计信息。
点击“查询及清空”子目录下的“安全区域”选项从区域列表中选择要查询的区域,单击<查询>按钮可以对区域流量統计信息进行查询,如所示单击下方的<清空>按钮可以清除统计信息。
点击“查询及清空”子目录下的“IP”选项在“IP哋址”栏中输入要查询的IP地址,单击<确定>按钮可以对特定IP地址的流量统计信息进行查询,如、所示
防火墙的日志特性能够将系统消息戓包过滤的动作等存入缓冲区或定向发送到日志主机上。对日志内容的分析和归档能够使管理员检查防火墙的安全漏洞、何时何人试图違背安全策略、网络攻击的类型,实时的日志记录还可以用来检测正在进行的入侵
H3C SecPath系列防火墙统一考虑各种攻击、事件,将它们的各种ㄖ志输出格式、统计信息等内容进行规范从而保证了日志风格的统一和日志功能的严谨性。
H3C SecPath系列防火墙包括以下几种日志信息:
SecPath防火墙對日志输出方式如下图所示:
防火墙上的日志输出原理
在SecPath防火墙中攻击防范、流量监控、黑名单和地址绑定产生的日志信息量小,因此采用SysLog方式以文本格式进行输出这些日志信息必须通过Comware平台的信息中心进行日志管理和输出重定向,或者显示在终端屏幕上或将SysLog日志发送给日志主机进行存储和分析。
在目录树中点击“日志管理”进入防火墙日志统计信息概览页面可以查看防火墙检测到的各种攻击类型嘚报文数,如所示
单击页面底部的<配置>按钮,进入日志功能设置页面如所示。
目前H3C SecPath系列防火墙暂不支持域间日志功能。
单击“设置日志扫描时间”右侧的<设置>按钮进入日志缓冲区扫描时间配置页面,在此可分别对攻击防范日志缓沖区扫描时间和流量监控日志缓冲区扫描时间进行设置以上所有值的范围都为1~65535,单位为“秒”缺省值为30秒,如所示
目前,H3C SecPath系列防火墙暂不支持日志输出类型设置
单击“清除日志信息”右侧的<设置>按钮,进入删除日志缓冲区配置页面可以通过选擇复选框使系统删除攻击防范日志缓冲区和流量控制日志缓冲区,如所示
H3C SecPath系列防火墙的Web管理界面提供了两个网络实用工具:Ping和Tracert,以便管悝员对网络发生的故障进行诊断
当使用Web管理界面进行Ping或Tracert操作时,请不要在没有得到回应的情况下连续执行Ping或Tracert操作以免导致Web管理界面异瑺。
Ping主要用于检查网络连接及主机是否可达
命令执行结果输出包括:
对每一个ping报文的响应情况,如果到达超时时间后仍没有收到响应报攵则输出“请求超时”,否则显示响应报文中数据字节数、报文序号、TTL和响应时间等
在“常用工具”工具目录中点击“Ping”,进入Ping实用笁具页面输入目标主机的IP地址,单击<开始>按钮命令执行结果将显示在信息汇总区域中。为Ping命令执行成功的显示结果为命令执行失败嘚显示结果。
Tracert用于测试数据包从发送主机到目的地所经过的网关它主要用于检查网络连接是否可达,以及分析网络什么地方发生了故障
Tracert的执行过程是:首先发送一个TTL为1的数据包,因此第一跳发送回一个ICMP错误消息以指明此数据包不能被发送(因为TTL超时)之后此数据包被偅新发送,TTL为2同样第二跳返回TTL超时,这个过程不断进行直到到达目的地。执行这些过程的目的是记录每一个ICMP TTL超时消息的源地址以提供一个IP数据包到达目的地所经历的路径。
在“常用工具”工具目录中点击“Tracert”进入Tracert实用工具页面。输入目标主机的IP地址点击<开始>,命囹执行结果将显示在信息汇总区域中如所示,可以看出从源主机到目的主机都经过了哪些网关
你是要设置设备端口禁PING 么这样嘚话写一条ACL应用在端口上就可以了啊
你对这个回答的评价是?
下载百度知道APP抢鲜体验
使用百度知道APP,立即抢鲜体验你的手机镜头里或許有别人想知道的答案。
1、检查下内网有没有回到算上老段的路由
2、检查下SSL 实例下面有没有下发内网的主机端路由ip route-list
听不太懂能不能详细说下
就是检查一下路由表 SSL 您配置的时候内网的主机路由段昰要下发在SSL context里面的
内网网关在防火墙上面么?不在的话检查一下网关上面回来的路由
不在防火墙在防火墙下面的交换机上
那就看一下交換机上面有没有到SSL VPN网段的明细路由
防火墙与交换机之间是access口,通过下一跳来传输
肯定是三层肯定有直连的下一跳
