关于H3C SecPath F100系列防火墙配置

	初始化配置 〈H3C〉system-view 开启防火墙功能 [H3C]firewall packet-filter enable [H3C]firewall packet-filter default permit 分配端口区域 [H3C] firewall zone untrust [H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/1 工作模式 firewall mode transparent 透明传输 firewall mode route 路由模式 http 服务器 使能HTTP 服务器 undo ip http shutdown 关闭HTTP 服务器 ip http shutdown 添加WEB用户 [H3C] local-user admin [H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3 开启防范功能 firewall defend all 打开所有防范 切换为中文模式 language-mode chinese 设置防火墙的名称 sysname sysname 配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date 设置所在的时区 clock timezone time-zone-name { add | minus } time 取消时区设置 undo clock timezone 配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password 取消配置的口令 undo super password [ level user-level ] 缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。 切换用户级别 super [ level ] 直接重新启动防火墙 reboot 开启信息中心 info-center enable 关闭信息中心 undo info-center enable ftp server enable 显示下次启动时加载的配置文件 display saved-configuration [ by-linenum ] 显示系统本次启动及下次启动使用 的配置文件 display startup 显示当前视图的配置 display this 显示防火墙的当前的运行配置 display current-configuration[ interface interface-type [ interface-number ] | configuration[ isp | zone | interzone | radius-template | system |user-interface ] ] [ by-linenum ] [ | { begin | include |exclude } string ] 保存当前配置 save [ file-name | safely ] 删除Flash 中保存的下次启动时加载的配置文件 reset saved-configuration 配置防火墙工作在透明模式 firewall mode transparent H3C SecPath 系列安全产品 操作手册（安全） 第8 章 透明防火墙操作命令 配置防火墙工作在路由模式 firewall mode route 恢复防火墙的工作模式为缺省模式 undo firewall mode 缺省情况下，防火墙工作在路由模式（route）下。 启动ARP 表项自动学习功能 firewall arp-learning enable 禁止ARP 表项自动学习功能 undo firewall arp-learning enable 缺省情况下，当防火墙工作在透明模式下时，防火墙启动ARP 表项自动学习功能。 配置VLAN ID 透传操作命令 使能接口的VLAN ID 透传功能 bridge vlanid-transparent-transmit enable 禁止接口的VLAN ID 透传功能 undo bridge vlanid-transparent-transmit enable 缺省情况下，禁止接口的VLAN ID 透传功能。 使能ARP Flood 攻击防范功能 firewall defend arp-flood [ max-rate rate-number ] 关闭ARP Flood 攻击防范功能 undo firewall defend arp-flood [ max-rate ] 缺省为关闭ARP Flood 攻击防范功能。ARP 报文的最大连接速率范围为1～ 1,000,000，缺省为100。 SecPath 系列安全产品支持以HTTP 方式登录到系统中，并通过Web 管理界面对系 统进行配置和管理。在使用Web 界面登录到系统前，必须先使能HTTP 服务器功能。 请在系统视图下进行下列配置。 H3C SecPath 系列安全产品 操作手册（基础配置） 第4 章 系统维护管理 开启/关闭HTTP 服务器 开启HTTP 服务器 undo ip http shutdown 关闭HTTP 服务器 ip http shutdown 缺省情况下，系统开启HTTP 服务器。 仅当登录用户具有Telnet 的服务类型时（service-type telnet），才允许登录HTTP 服务器，且不同等级的用户在Web 界面中的可配置项也会不同。 配置HTTP 服务器的访问限制 可以配置HTTP 服务器，使仅具有特定IP 地址的用户才可以登录HTTP 服务器，对 设备进行配置和管理。 请在系统视图下进行下列配置。 表4-18 配置HTTP 服务器的访问限制 操作 命令 配置HTTP 服务器的访问限制 ip http acl acl-number 取消对HTTP 服务器的访问限制 undo ip http acl 缺省情况下，未配置HTTP 服务器的访问限制。 仅ACL 中允许的IP 地址才可以访问HTTP 服务器。 表3-10 显示系统状态信息 操作 命令 显示系统版本信息 display version 显示详细的软件版本信息 vrbd 显示系统时钟 display clock 显示终端用户 display users [ all ] 显示起始配置信息 display saved-configuration 显示当前配置信息 display current-configuration 显示调试开关状态 display debugging [ interface interface-type interface-number ] [ module-name ] 显示当前视图的运行配置 display this 显示技术支持信息 display diagnostic-information 显示剪贴板的内容 display clipboard H3C SecPath 系列安全产品 操作手册（基础配置） 第3 章 Comware 的基本配置 操作 命令 显示当前系统内存使用情况 display memory [ limit ] 显示CPU 占用率的统计信息 display cpu-usage [ configuration | number[ offset ] [ verbose ] [ from-device ] ] 设置CPU 占用率统计的周期 cpu-usage cycle { 5sec | 1min | 5min | 72min } 以图形方式显示CPU 占用率统计历史 信息 display cpu-usage history [ task task-id ] 对插槽中的插卡进行拔出预处理 remove slot slot-id 取消拔出预处理操作 undo remove slot slot-id 显示设备和插卡的信息（任意视图） display device [ slot-id ] 配置防火墙网页登陆 1. 配置防火墙缺省允许报文通过。 <H3C> system-view [H3C] firewall packet-filter default permit 2. 为防火墙的以太网接口（以GigabitEthernet0/0为例）配置IP地址，并将接口加入到安全区域。 [H3C] interface GigabitEthernet0/0 [H3C-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0 [H3C-GigabitEthernet0/0] quit [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/0 3. 为PC配置IP地址。 假设PC的IP地址为192.168.0.2。 4. 使用Ping命令验证网络连接性。 <H3C> ping 192.168.0.2 Ping命令成功！ 5.添加登录用户 为使用户可以通过Web登录，并且有权限对防火墙进行管理，必须为用户添加登录帐户并且赋予其权限。例如：建立一个帐户名和密码都为admin，帐户类型为telnet，权限等级为3的管理员用户。 [H3C] local-user admin [H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3 在 PC上启动浏览器（建议使用IE5.0及以上版本），在地址栏中输入IP地址“192.168.0.1”后回车，即可进入防火墙Web登录页面，使用之前创建的 admin帐户登录防火墙，单击<Login>按钮即可登录。用户可以通过“Language”下拉框选择界面语言 内部主机通过域名区分并访问对应的内部服务器组网应用 1)配置easy ip（不用配地址池，直接通过接口地址做转换） nat outbound acl-number 2)DNS MAP nat dns-map domain-name global-addr global-port [ tcp | udp ] 实例： # 在Ethernet0/0/0 接口上配置FTP 及WWW内部服务器。 [H3C] interface ethernet0/0/0 [H3C-Ethernet0/0/0] ip address 1.1.1.1 255.0.0.0 [H3C-Ethernet0/0/0] nat outbound 2000 [H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 www inside 10.0.0.2 www [H3C-Ethernet0/0/0] nat server protocol tcp global 1.1.1.1 ftp inside 10.0.0.3 ftp [H3C-Ethernet0/0/0] quit # 配置访问控制列表，允许10.0.0.0/8 网段访问Internet。 [H3C] acl number 2000 [H3C-acl-basic-2000] rule 0 permit source 10.0.0.0 0.0.0.255 [H3C-acl-basic-2000] rule 1 deny # 配置ethernet1/0/0。 [H3C] interface ethernet1/0/0 [H3C-Ethernet1/0/0] ip address 10.0.0.1 255.0.0.0 加上如下配置后，内部主机也可以通过域名www.zc.com 和ftp.zc.com 访问其对应 的内部服务器。 # 配置域名与外部地址、端口号、协议类型之间的映射。 [H3C] nat dns-map www.zc.com 1.1.1.1 80 tcp [H3C] nat dns-map ftp.zc.com 1.1.1.1 21 tcp 此时外部主机可以通过域名www.zc.com 和ftp.zc.com 访问其对应的内部服务器。

	楼主  请问F100的拨号上网功能怎么调

	恩 现在的modem功能越来越强大了{:3_241:}

	我们知道，Windows中有自带的启动文件夹，它是最常见的启动项目，但很多人却很少注意仔细检查它。如果把程序装入到这个文件夹中，系统启动就会自动地加载相应程序，而且因为它是暴露在外的，所以非常容易被外在的因素更改。 　　一、具体的位置是“开始”菜单中的“启动”选项 　　在硬盘上的位置是：C:\Documents andSettings\Administrator\“开始”菜单\程序\启动; 　　在注册表中的位置是： 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 　　二、Msconfig 　　Msconfig是Windows系统中的“系统配置实用程序”，它管的方面可够宽，包括:system.ini、win.ini、启动项目等。同样，里面也是自启动程序非常喜欢呆的地方! 　　1.System.ini 　　首先，在“运行”对话框中输入“msconfig”启动系统配置实用程序(下同)，找到system.ini标签，里面的“shell=……” 就可以用来加载特殊的程序。如果你的shell=后面不是默认的explorer.exe，或者说后面还有一个程序的名字，那你可要小心了，请仔细检查相 应的程序是否安全! 　　2.Win.ini 　　如果我们想加载一个程序：hack.exe，那么可以在win。ini中用下面的语句来实现： 　　[windows] 　　load=hack.exe 　　run=hacke.exe 　　该怎么做，你应该知道了吧! 　　3.“启动”项目 　　系统配置实用程序中的启动标签和我们上面讲的“启动”文件夹并不是同一个东西，在系统配置实用程序中的这个启动项目，是Windows系统启动项目的集合地。几乎所有的启动项目都能在这里找到——当然，经过特殊编程处理的程序可以通过另外的方法不在这里显示。 　　打开“启动”标签，“启动项目”中罗列的是开机启动程序的名称，“命令”下是具体的程序附加命令，最后的“位置”就是该程序在注册表中的相应位置。你可以对可疑的程序进行详细的路径、命令检查，一旦发现错误，就可以用下方的“禁用”来禁止该程序开机时候的加载。 　　一般来讲，除系统基于硬件部分和内核部分的系统软件的启动项目外，其他的启动项目都是可以适当更改的，包括：杀毒程序、特定防火墙程序、播放软件、内存管理软件等。也就是说，启动项目中包含了所有我们可见程序的列表，你完全可以通过它来管理你的启动程序! 　　三、注册表中相应的启动加载项目 　　注册表的启动项目是病毒和木马程序的最爱!非常多病毒木马的顽固性就是通过注册表来实现的，所以平常的时候可以下载一个注册表监视器来监视注册表的改动，魔方（点此下载）的后续版本中也将加入一系列的安全方面的功能用于监视恶意软件对系统的修改等等。特别是在安装了新软件或者是运行了新程序的时候，一定不要被程序漂亮的外表迷惑。一定要看清楚它的实质是不是木马的伪装外壳或者是捆绑程序!必要的时候可以根据备份来恢复注册表，这样的注册表程序网上很多，这里也就不再详谈了。 　　我们也可以通过手动的方法来检查注册表中相应的位置，虽然它们很多是和上文讲的位置重复，但是对网络安全来讲，小心永远不嫌多! 　　注意同安全、清洁的系统注册表相应键进行比较，如果发现不一致的地方，一定要弄清楚它是什么东西!不要相信写在外面的“system”、 “windows”、“programfiles”等名称，谁都知道“欲盖弥彰”的道理。如果经过详细的比较，可以确定它是不明程序的话，不要手软，马上 删除! 　　四、Wininit.ini 　　我们知道，Windows的安装程序常常调用这个程序来实现安装程序后的删除工作，所以不要小看它，如果在它上面做手脚的话，可以说是非常隐蔽、非常完美的! 　　它在系统盘的Windows目录下，用记事本打开它(有时候是wininit.hak文件)可以看到相应的内容。很明显，我们可以在里面添加相 应的语句来达到修改系统程序或者是删除程序的目的。如果是文件关联型木马，可以通过winint.ini来删除它感染后的原始文件，从而达到真正隐藏自己! 　　五、DOS下的战斗 　　最后，我们说说DOS下的启动项目加载，config.sys、autoexec.bat、*.bat等文件都可以用特定的编程方式来实现加载程序的目的。所以不要以为DOS就是个过时的东西，好的DOS下编程往往能达到非常简单、非常实用的功能!

	我们知道，Windows中有自带的启动文件夹，它是最常见的启动项目，但很多人却很少注意仔细检查它。如果把程序装入到这个文件夹中，系统启动就会自动地加载相应程序，而且因为它是暴露在外的，所以非常容易被外在的因素更改。 　　一、具体的位置是“开始”菜单中的“启动”选项 　　在硬盘上的位置是：C:\Documents andSettings\Administrator\“开始”菜单\程序\启动; 　　在注册表中的位置是： 　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 　　二、Msconfig 　　Msconfig是Windows系统中的“系统配置实用程序”，它管的方面可够宽，包括:system.ini、win.ini、启动项目等。同样，里面也是自启动程序非常喜欢呆的地方! 　　1.System.ini 　　首先，在“运行”对话框中输入“msconfig”启动系统配置实用程序(下同)，找到system.ini标签，里面的“shell=……” 就可以用来加载特殊的程序。如果你的shell=后面不是默认的explorer.exe，或者说后面还有一个程序的名字，那你可要小心了，请仔细检查相 应的程序是否安全! 　　2.Win.ini 　　如果我们想加载一个程序：hack.exe，那么可以在win。ini中用下面的语句来实现： 　　[windows] 　　load=hack.exe 　　run=hacke.exe 　　该怎么做，你应该知道了吧! 　　3.“启动”项目 　　系统配置实用程序中的启动标签和我们上面讲的“启动”文件夹并不是同一个东西，在系统配置实用程序中的这个启动项目，是Windows系统启动项目的集合地。几乎所有的启动项目都能在这里找到——当然，经过特殊编程处理的程序可以通过另外的方法不在这里显示。 　　打开“启动”标签，“启动项目”中罗列的是开机启动程序的名称，“命令”下是具体的程序附加命令，最后的“位置”就是该程序在注册表中的相应位置。你可以对可疑的程序进行详细的路径、命令检查，一旦发现错误，就可以用下方的“禁用”来禁止该程序开机时候的加载。 　　一般来讲，除系统基于硬件部分和内核部分的系统软件的启动项目外，其他的启动项目都是可以适当更改的，包括：杀毒程序、特定防火墙程序、播放软件、内存管理软件等。也就是说，启动项目中包含了所有我们可见程序的列表，你完全可以通过它来管理你的启动程序! 　　三、注册表中相应的启动加载项目 　　注册表的启动项目是病毒和木马程序的最爱!非常多病毒木马的顽固性就是通过注册表来实现的，所以平常的时候可以下载一个注册表监视器来监视注册表的改动，魔方（点此下载）的后续版本中也将加入一系列的安全方面的功能用于监视恶意软件对系统的修改等等。特别是在安装了新软件或者是运行了新程序的时候，一定不要被程序漂亮的外表迷惑。一定要看清楚它的实质是不是木马的伪装外壳或者是捆绑程序!必要的时候可以根据备份来恢复注册表，这样的注册表程序网上很多，这里也就不再详谈了。 　　我们也可以通过手动的方法来检查注册表中相应的位置，虽然它们很多是和上文讲的位置重复，但是对网络安全来讲，小心永远不嫌多! 　　注意同安全、清洁的系统注册表相应键进行比较，如果发现不一致的地方，一定要弄清楚它是什么东西!不要相信写在外面的“system”、 “windows”、“programfiles”等名称，谁都知道“欲盖弥彰”的道理。如果经过详细的比较，可以确定它是不明程序的话，不要手软，马上 删除! 　　四、Wininit.ini 　　我们知道，Windows的安装程序常常调用这个程序来实现安装程序后的删除工作，所以不要小看它，如果在它上面做手脚的话，可以说是非常隐蔽、非常完美的! 　　它在系统盘的Windows目录下，用记事本打开它(有时候是wininit.hak文件)可以看到相应的内容。很明显，我们可以在里面添加相 应的语句来达到修改系统程序或者是删除程序的目的。如果是文件关联型木马，可以通过winint.ini来删除它感染后的原始文件，从而达到真正隐藏自己! 　　五、DOS下的战斗 　　最后，我们说说DOS下的启动项目加载，config.sys、autoexec.bat、*.bat等文件都可以用特定的编程方式来实现加载程序的目的。所以不要以为DOS就是个过时的东西，好的DOS下编程往往能达到非常简单、非常实用的功能!