H3C 防火墙实战配置:从基础管理到跨域安全策略与NAT映射
作为一名网络工程师,在部署H3C下一代防火墙时,不仅需要打通网络链路,更要构建严密的安全边界。本文将结合实战经验,从设备的基础管理、接口与安全区域划分,到跨域安全策略及NAT映射进行全流程梳理,为你提供一份可直接落地的配置指南。
一、 设备管理与远程访问配置
在设备上架前,首要任务是配置高权限的管理员账号并开启远程管理服务,以便后续运维。
# 创建管理类用户并赋予最高权限 local-user sysadmin class manage password simple Shiyanshi@2022!@ service-type ssh telnet http https authorization-attribute user-role network-admin authorization-attribute user-role network-operator # 开启Web网管与SSH远程管理服务 ip http enable ip https enable ssh server enable # 配置VTY用户线,采用AAA本地认证 line vty 0 63 authentication-mode scheme user-role network-operator提示:
class manage表明该用户为设备管理类用户,network-admin拥有设备的最高配置权限。生产环境中建议优先使用 HTTPS 和 SSH 协议,并配合强密码策略以保障管理平面的安全。
二、 接口配置与安全区域划分
防火墙的核心在于“区域(Zone)”的概念。我们需要将物理接口或VLAN接口划分到不同的安全区域,并配置相应的IP地址。
# 配置Trunk接口,允许指定VLAN通过 interface GigabitEthernet1/0/19 port link-mode bridge port link-type trunk port trunk permit vlan 1 608 # 配置VLAN接口IP(CTY区域) interface Vlan-interface608 ip address 172.20.3.81 255.255.255.248 # 配置三层路由接口IP(LAB区域) interface GigabitEthernet1/0/17 port link-mode route ip address 172.29.81.42 255.255.255.248 # 端口映射:将外网18001端口映射到内网服务器的18001端口 nat server protocol tcp global current-interface 18001 inside 10.11.4.7 18001 acl 3000 reversible # 将接口加入对应的安全区域 security-zone name CTY import interface Vlan-interface608 security-zone name LAB import interface GigabitEthernet1/0/17提示:
nat server命令用于实现端口级别的NAT映射,reversible参数允许内网服务器主动向外网发起连接,这在某些需要双向通信的业务中非常关键。
三、 定义网络对象组
为了避免在安全策略中重复输入IP地址,推荐使用对象组(Object Group)进行统一管理,提升策略的可读性和维护性。
# 定义CTY侧内网IP对象组 object-group ip address 10.11.4.x security-zone CTY 0 network subnet 10.11.4.0 255.255.255.0 # 定义LAB侧IPSDN网段对象组 object-group ip address BJ_IPSDN security-zone LAB 0 network subnet 172.27.220.0 255.255.255.0四、 跨域安全策略配置
安全策略是防火墙的“灵魂”。我们需要精确控制不同区域间的流量访问,并开启日志与统计功能以便后期排错。
security-policy ip # 策略1:放通LAB区域到Local区域的流量(用于管理Ping通防火墙) rule 4 name LAB-Local action pass logging enable counting enable source-zone LAB Local destination-zone LAB Local # 策略2:CTY访问BJ_IPSDN rule 8 name CTY_to_BJ_IPSDN description CTY_10.11.4.x_access_BJ_IPSDN action pass logging enable counting enable source-zone CTY destination-zone LAB source-ip 10.11.4.x destination-ip BJ_IPSDN # 策略3:BJ_IPSDN回访CTY rule 9 name BJ_IPSDN_TO_CTY description BJ_IPSDN_return_to_CTY action pass logging enable counting enable source-zone LAB destination-zone CTY source-ip BJ_IPSDN destination-ip 10.11.4.x # 激活安全策略加速功能(提升设备转发性能) accelerate enhanced enable # 开启会话统计 session statistics enable提示:
accelerate enhanced enable用于激活硬件加速,在策略配置完成后务必执行一次,以充分发挥防火墙的吞吐性能。
五、 一对一静态NAT映射
对于内网需要对外提供服务的服务器,通常需要配置一对一的静态NAT,实现内外网IP的固定映射。
nat static outbound 10.11.4.4 172.29.81.43 acl 3000 reversible nat static outbound 10.11.4.5 172.29.81.44 acl 3000 reversible nat static outbound 10.11.4.6 172.29.81.45 acl 3000 reversible nat static outbound 10.11.4.23 172.29.81.46 acl 3000 reversible六、 常用运维与排错命令
在日常运维中,熟练掌握以下命令可以大幅提升排错效率:
- 查看安全策略及命中计数:
display security-policy - 调整策略优先级:
move rule 5 before 2(将规则5移动到规则2之前) - 清除策略统计信息:
reset security-policy statistics [ip | ipv6 | rule rule-name] - 查看会话表:
display session table verbose(排查流量是否命中策略并建立会话)