• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

我有一台新华三防火墙,一个硬盘刻录机(监控),和一根专线网,请问需要怎么连接

2天前提问
  • 0关注
  • 0收藏,86浏览
粉丝:0人 关注:0人

问题描述:

我有一台新华三防火墙,一个硬盘刻录机(监控),和一根专线网,请问需要怎么连接

3 个回答
粉丝:133人 关注:11人

什么需求啊?


专线-防火墙-录像机

暂无评论

粉丝:19人 关注:2人

两种标准组网方案(按需选择,含接线、地址、安全策略完整配置思路)
基础设备说明
专线:运营商 MPLS / 互联网专线,一般配运营商光猫 / 传输设备,出 RJ45 以太网口;
H3C 防火墙:做出口路由、NAT、安全隔离;
NVR 硬盘录像机:监控存储设备,需要内网互通 + 可选外网远程访问。
方案一:最简单网段组网(推荐,设备少、配置简单)
物理接线顺序
运营商专线光猫 / 传输设备网口 → 防火墙 Untrust 外网口;
防火墙任意一个 LAN 口(Trust 域内网口) → 接交换机(没有交换机就直接插 NVR);
交换机剩余端口接摄像头、NVR。
网段规划示例
专线运营商侧:运营商分配互联地址(如 100.64.x.x/30)
内网监控网段:192.168.1.0/24
防火墙内网口 IP:192.168.1.1(监控网关)
NVR:192.168.1.100
摄像头:192.168.1.2~99
防火墙核心配置要点
外网 Untrust 口配置运营商专线 IP、静态路由 / 默认路由指向运营商;
内网 Trust 口配置 192.168.1.1,开启 DHCP 分配摄像头 / NVR 地址;
安全策略:Trust → Untrust 放行,让 NVR 可访问互联网 / 平台;
如需外网远程看监控:做目的 NAT(虚拟服务器),映射 NVR 的 HTTP/RTSP 端口到专线公网 IP;
内网互通默认放行,摄像头和 NVR 正常存储录像。
适用场景
只有监控一套业务,无办公电脑,追求布线简单、维护方便。
方案二:多业务隔离组网(后期要加办公电脑推荐)
物理接线
专线光猫 → 防火墙 Untrust 外网口;
防火墙多 LAN 口:
LAN1(Trust - 办公):接办公交换机;
LAN2(Trust-Monitor 独立监控域):接监控交换机 + NVR + 摄像头;
网段隔离规划
办公网段:192.168.1.0/24
监控独立网段:192.168.2.0/24,网关防火墙 LAN2 192.168.2.1
防火墙策略控制
监控域→外网:允许(NVR 上传云平台、远程回放);
办公域→监控域:按需放行(办公电脑查监控);
监控域禁止主动访问办公网段,安全隔离病毒、攻击扩散。
三、关键操作分步(现场落地)
1. 物理接线避坑
专线不能直接插 NVR,必须经过防火墙做安全边界;
NVR、摄像头全部放在防火墙内网侧,不直连外网(防止暴露被攻击);
远距离监控点位必须加交换机级联,不要超长网线直连防火墙。
2. 外网远程监控(必配 NAT 虚拟服务器)
需求:在外手机 / 电脑看录像
防火墙配置逻辑:
外网口公网 IP 80/554 端口 映射到内网 NVR 192.168.1.100 对应端口;
安全策略新增:Untrust → Trust 仅放行 NVR 映射端口,最小化安全风险;
运营商专线如为私网 MPLS,需联系运营商开通端口穿透或公网固定 IP。
3. 无外网远程查看场景(仅本地监控)
无需配置 NAT,仅放行内网互访,关闭外网入站所有端口,安全性更高。
四、极简接线拓扑文字版(方案一)
plaintext
运营商专线光猫RJ45 → 防火墙WAN(Untrust口)
防火墙LAN(Trust口) → 监控交换机
监控交换机 ←→ NVR硬盘录像机 + 全部摄像头
五、补充 MPLS 专线特殊说明
如果你的专线是企业 MPLS 专线(多网点互通),不是互联网宽带:
运营商会分配两段地址:互联地址、对端网点私网段;
防火墙添加静态路由指向对端网点;
安全策略放行监控网段和对端网点互访;
若需要互联网,让运营商叠加互联网业务,或单独拉一条宽带接防火墙第二个外网口。

暂无评论

粉丝:12人 关注:9人

1. 连接拓扑:专线网接入防火墙WAN口,硬盘刻录机(监控)接入防火墙LAN口(或单独的监控VLAN接口)。
2. 配置要点:
防火墙WAN口配置专线分配的IP地址(静态或PPPoE,根据运营商要求)。
防火墙LAN口配置内网IP(如192.168.1.1/24),监控设备配置同网段静态IP(如192.168.1.10/24,网关指向192.168.1.1)。
配置安全策略:允许LAN到WAN的监控数据上传(若需远程查看),或仅允许监控设备与指定远程服务器通信(根据需求)。
若监控需远程访问,配置端口映射(将监控设备端口映射到防火墙WAN口IP)。
3. 关键命令示例(以H3C SecPath为例):
WAN口配置:interface GigabitEthernet0/0 → ip address 10.0.0.2 255.255.255.0(假设运营商分配IP为10.0.0.2)。
LAN口配置:interface GigabitEthernet0/1 → ip address 192.168.1.1 255.255.255.0。
安全策略:security-policy → rule name allow_monitor → source-zone lan → destination-zone wan → source-ip 192.168.1.10 0 → action permit。
端口映射:nat server protocol tcp global 10.0.0.2 8080 inside 192.168.1.10 80(假设监控Web端口为80)。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明