H3C SecPath F1090如何命令行配置安全策略
- 0关注
- 0收藏,67浏览
[H3C]security-policy ip
[H3C-security-policy-ip]rule 0 name test
[H3C-security-policy-ip-10-test]action pass
[H3C-security-policy-ip-10-test]source-zone Trust
[H3C-security-policy-ip-10-test] destination-zone Untrust
将接口划入安全域
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust] import interface g1/0/2 vlan 1
1. 配置安全域(Security Zone)
bash
进入系统视图
system-view
创建安全域(如Trust为内部,Untrust为外部)
firewall zone Trust
set priority 80 # 内部域优先级高于外部
add interface GigabitEthernet0/0/1 # 绑定内部接口(如GE0/0/1)
firewall zone Untrust
set priority 50 # 外部域优先级
add interface GigabitEthernet0/0/2 # 绑定外部接口(如GE0/0/2)
2. 配置安全策略(允许内外互访)
bash
允许内部访问外部(Trust→Untrust)
security-policy
rule name Allow_Intra_To_Ext
source-zone Trust
destination-zone Untrust
source-address any # 内部网段
destination-address any
action permit
允许外部访问内部(Untrust→Trust)
rule name Allow_Ext_To_Intra
source-zone Untrust
destination-zone Trust
source-address any
destination-address any
action permit
3. 验证配置
bash
display firewall zone # 查看安全域配置
display security-policy # 查看安全策略列表
4. 关键说明
安全域优先级:数值越大优先级越高,默认策略隐含deny。
地址范围:需根据实际网段调整source-address和destination-address(如192.168.1.0 24)。
OSPF联动:若内外网通过OSPF路由,需确保OSPF区域接口已加入对应安全域。
补充建议
若需精细化控制,可添加应用层策略(如HTTP/SSH端口限制)。
建议先测试单方向访问,再启用双向策略。
(注:命令中接口名称、网段需根据实际网络环境替换)
暂无评论
CLI方式:安全策略保证OSPF邻接关系建立典型配置
使用版本
本举例是在F1090的R8660P33版本上进行配置和验证的。
组网需求
如下图所示,所有的设备都运行OSPF,并将整个自治系统划分为3个区域。
其中Device A和Device B作为ABR来转发区域之间的路由。
配置完成后,每台路由器都应学到AS内的到所有网段的路由。
图-1 安全策略保证OSPF邻接关系建立配置组网图
/images/m230712x1z108/x_Img_x_png_4.png)
配置Device A
配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip address 1.1.1.1 255.255.255.0
[DeviceA-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
将接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceA] security-zone name untrust
[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceA-security-zone-Untrust] quit
[DeviceA] security-zone name trust
[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceA-security-zone-Trust] quit
配置安全策略
配置安全策略放行Untrust与Local安全域之间的流量,用于设备之间可以建立OSPF邻居关系。
# 配置名称为ospflocalin的安全策略规则,使Device A可以接收Device B发送的OSPF协议报文,具体配置步骤如下。
[DeviceA] security-policy ip
[DeviceA-security-policy-ip] rule name ospflocalin
[DeviceA-security-policy-ip-0-ospflocalin] source-zone untrust
[DeviceA-security-policy-ip-0-ospflocalin] destination-zone local
[DeviceA-security-policy-ip-0-ospflocalin] service ospf
[DeviceA-security-policy-ip-0-ospflocalin] action pass
[DeviceA-security-policy-ip-0-ospflocalin] quit
# 配置名称为ospflocalout的安全策略规则,使Device A可以向Device B发送OSPF协议报文,具体配置步骤如下。
[DeviceA-security-policy-ip] rule name ospflocalout
[DeviceA-security-policy-ip-1-ospflocalout] source-zone local
[DeviceA-security-policy-ip-1-ospflocalout] destination-zone untrust
[DeviceA-security-policy-ip-1-ospflocalout] service ospf
[DeviceA-security-policy-ip-1-ospflocalout] action pass
[DeviceA-security-policy-ip-1-ospflocalout] quit
配置安全策略放行Untrust与Trust安全域之间的流量,放行Area1与Area2之间的流量。
# 配置名称为trust-untrust的安全策略规则,使Trust安全域到Untrust安全域的报文可通,具体配置步骤如下。
[DeviceA-security-policy-ip] rule name trust-untrust
[DeviceA-security-policy-ip-2-trust-untrust] source-zone trust
[DeviceA-security-policy-ip-2-trust-untrust] destination-zone untrust
[DeviceA-security-policy-ip-2-trust-untrust] source-ip-subnet 2.2.2.0 24
[DeviceA-security-policy-ip-2-trust-untrust] destination-ip-subnet 3.3.3.0 24
[DeviceA-security-policy-ip-2-trust-untrust] action pass
[DeviceA-security-policy-ip-2-trust-untrust] quit
# 配置名称为untrust-trust的安全策略规则,使Untrust安全域到Trust安全域的报文可通,具体配置步骤如下。
[DeviceA-security-policy-ip] rule name untrust-trust
[DeviceA-security-policy-ip-3-untrust-trust] source-zone untrust
[DeviceA-security-policy-ip-3-untrust-trust] destination-zone trust
[DeviceA-security-policy-ip-3-untrust-trust] source-ip-subnet 3.3.3.0 24
[DeviceA-security-policy-ip-3-untrust-trust] destination-ip-subnet 2.2.2.0 24
[DeviceA-security-policy-ip-3-untrust-trust] action pass
[DeviceA-security-policy-ip-3-untrust-trust] quit
[DeviceA-security-policy-ip] quit
配置OSPF基本功能
[DeviceA] router id 2.2.2.1
[DeviceA] ospf
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 1.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] area 1
[DeviceA-ospf-1-area-0.0.0.1] network 2.2.2.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.1] quit
[DeviceA-ospf-1] quit
配置Device B
配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 1.1.1.2 255.255.255.0
[DeviceB-GigabitEthernet1/0/1] quit
[DeviceB] interface GigabitEthernet1/0/2
[DeviceB-GigabitEthernet1/0/2] ip address 3.3.3.1 255.255.255.0
[DeviceB-GigabitEthernet1/0/2] quit
将接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[DeviceB] security-zone name untrust
[DeviceB-security-zone-Untrust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Untrust] quit
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] quit
配置安全策略
配置安全策略放行Untrust与Local安全域之间的流量,用于设备之间可以建立OSPF邻居关系。
# 配置名称为ospflocalin的安全策略规则,使Device B可以接收Device A发送的OSPF协议报文,具体配置步骤如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name ospflocalin
[DeviceB-security-policy-ip-0-ospflocalin] source-zone untrust
[DeviceB-security-policy-ip-0-ospflocalin] destination-zone local
[DeviceB-security-policy-ip-0-ospflocalin] service ospf
[DeviceB-security-policy-ip-0-ospflocalin] action pass
[DeviceB-security-policy-ip-0-ospflocalin] quit
# 配置名称为ospflocalout的安全策略规则,使Device B可以向Device A发送OSPF协议报文,具体配置步骤如下。
[DeviceB-security-policy-ip] rule name ospflocalout
[DeviceB-security-policy-ip-1-ospflocalout] source-zone local
[DeviceB-security-policy-ip-1-ospflocalout] destination-zone untrust
[DeviceB-security-policy-ip-1-ospflocalout] service ospf
[DeviceB-security-policy-ip-1-ospflocalout] action pass
[DeviceB-security-policy-ip-1-ospflocalout] quit
配置安全策略放行Untrust与Trust安全域之间的流量,放行Area1与Area2之间的流量。
# 配置名称为trust-untrust的安全策略规则,使Trust安全域和Untrust安全域之间的报文互通,具体配置步骤如下。
[DeviceB-security-policy-ip] rule name trust-untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-zone trust
[DeviceB-security-policy-ip-2-trust-untrust] destination-zone untrust
[DeviceB-security-policy-ip-2-trust-untrust] source-ip-subnet 3.3.3.0 24
[DeviceB-security-policy-ip-2-trust-untrust] destination-ip-subnet 2.2.2.0 24
[DeviceB-security-policy-ip-2-trust-untrust] action pass
[DeviceB-security-policy-ip-2-trust-untrust] quit
# 配置名称为untrust-trust的安全策略规则,使Untrust安全域到Trust安全域的报文可通,具体配置步骤如下。
[DeviceB-security-policy-ip] rule name untrust-trust
[DeviceB-security-policy-ip-3-untrust-trust] source-zone untrust
[DeviceB-security-policy-ip-3-untrust-trust] destination-zone trust
[DeviceB-security-policy-ip-3-untrust-trust] source-ip-subnet 2.2.2.0 24
[DeviceB-security-policy-ip-3-untrust-trust] destination-ip-subnet 3.3.3.0 24
[DeviceB-security-policy-ip-3-untrust-trust] action pass
[DeviceB-security-policy-ip-3-untrust-trust] quit
[DeviceB-security-policy-ip] quit
配置OSPF基本功能
[DeviceB] router id 3.3.3.1
[DeviceB] ospf
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 1.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] area 2
[DeviceB-ospf-1-area-0.0.0.2] network 3.3.3.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.2] quit
[DeviceB-ospf-1] quit
暂无评论
SecPath F1090 命令行安全域 + 域间策略完整配置(含 OSPF 互通放行)
整体规划说明
设备自带默认安全域:Trust(内网)、Untrust(外网)、Local(防火墙本机)、DMZ、Management,无需新建;
接口必须加入安全域,否则流量无法转发;
需求:
Trust 内网 → Untrust 外网全通(内网访问互联网)
Untrust 外网 → Trust 内网精准放行(仅允许指定公网 IP 访问内网业务)
放行 OSPF 邻居报文,保证 OSPF 路由正常建立
H3C V7 防火墙为状态检测防火墙,单向放行策略后回程流量自动放行,无需双向配置全通策略。
一、接口 IP 配置 + 接口划入安全域
示例拓扑
GE1/0/0:内网接口,IP 10.0.0.1/24,划入 Trust
GE1/0/1:外网接口,IP 203.0.113.1/24,划入 Untrust
plaintext
system-view
# 内网接口配置
interface GigabitEthernet 1/0/0
port link-mode route
ip address 10.0.0.1 255.255.255.0
undo shutdown
# 加入Trust安全域
security-zone name Trust
import interface GigabitEthernet 1/0/0
quit
# 外网接口配置
interface GigabitEthernet 1/0/1
port link-mode route
ip address 203.0.113.1 255.255.255.0
undo shutdown
# 加入Untrust安全域
security-zone name Untrust
import interface GigabitEthernet 1/0/1
quit
二、OSPF 基础配置(你已配置,补充域间放行要点)
OSPF 报文包含组播(224.0.0.5/224.0.0.6)+ 单播 DD/LSR 报文,若开启firewall packet-filter basic-protocol enable,必须单独放行 OSPF;默认关闭时组播不受策略限制,单播 OSPF 报文仍需放行。
plaintext
# OSPF进程示例
ospf 1 router-id 1.1.1.1
area 0
network 10.0.0.0 0.0.0.255
network 203.0.113.0 0.0.0.255
quit
# 如需和邻居建立OSPF,放行OSPF协议(89号协议)
acl advanced 3999
rule permit ospf
三、域间安全策略完整配置(两种主流方式:对象策略 / ACL 包过滤)
方式 1:对象策略(推荐,新一代防火墙标准配置)
1. 创建全局放行策略
plaintext
# 1. 新建全通对象策略(内网访问外网)
object-policy ip trust_to_untrust
rule 10 permit ip source 10.0.0.0 0.0.0.255 any
rule 20 permit ospf
quit
# 2. 外网访问内网精准放行(仅示例公网IP访问内网80业务)
object-policy ip untrust_to_trust
rule 10 permit tcp source 203.1.1.0 0.0.0.255 destination 10.0.0.10 0 destination-port eq 80
quit
# 3. 放行OSPF与防火墙本机交互(Local域)
object-policy ip trust_to_local
rule 10 permit ospf
rule 20 permit icmp
quit
2. 绑定域间对(源域→目的域,应用策略)
plaintext
# 内网Trust → 外网Untrust,应用全通策略
zone-pair security source Trust destination Untrust
object-policy apply ip trust_to_untrust
quit
# 外网Untrust → 内网Trust,应用精准访问策略
zone-pair security source Untrust destination Trust
object-policy apply ip untrust_to_trust
quit
# 内网Trust → Local(防火墙本机),放行OSPF邻居、ping防火墙
zone-pair security source Trust destination Local
object-policy apply ip trust_to_local
quit
# 外网Untrust → Local(如需外网ping/管理防火墙按需放行)
zone-pair security source Untrust destination Local
object-policy apply ip trust_to_local
quit
方式 2:传统 ACL 包过滤(老习惯场景)
plaintext
# 内网访问外网ACL
acl advanced 3000
rule permit ip source 10.0.0.0 0.0.0.255 any
rule permit ospf
# 外网访问内网ACL(仅开放80端口)
acl advanced 3001
rule permit tcp source 203.1.1.0 0.0.0.255 destination 10.0.0.10 0 eq 80
# 绑定域间对
zone-pair security source Trust destination Untrust
packet-filter 3000 outbound
quit
zone-pair security source Untrust destination Trust
packet-filter 3001 outbound
quit
四、关键补充:OSPF 不通故障关键点
开启基础协议过滤时必须放行 OSPF
plaintext
firewall packet-filter basic-protocol enable
# 开启后单播OSPF报文会被拦截,策略里必须加 permit ospf
邻居跨安全域:双向域间策略都要包含permit ospf;
查看 OSPF 邻居:display ospf peer brief,卡在 Exstart 状态 = OSPF 单播报文被策略拦截。
五、验证与排查命令
plaintext
# 查看接口所属安全域
display security-zone interface all
# 查看域间绑定的策略
display zone-pair security all
# 查看对象策略规则
display object-policy ip all
# 查看当前命中的安全策略会话
display session table ipv4 verbose
# 查看OSPF邻居、路由表
display ospf peer brief
display ip routing-table
# 查看策略匹配计数(判断策略是否生效)
display object-policy statistics ip trust_to_untrust
极简总结
先把内外网接口分别划入 Trust/Untrust 安全域;
配置对象策略:Trust→Untrust 全通内网上网,Untrust→Trust 按需放开外网访问内网业务;
策略内添加permit ospf保证 OSPF 邻居正常建立;
用zone-pair security绑定源目的安全域并应用策略;
V7 防火墙状态检测,仅配置入方向策略即可自动放行回程流量。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论