H3C F1000-C-SI User Manual

H3C SecPath F100-M-SI/F100-A-SI/F1000-C-SI Firewall Installation Quick Start – APW100
H3C SecPath F100-M-SI/F100-A-SI/F1000-C-SI 防火墙 快速安装指南 -APW100

BOM: 3104A0E4

Tool List 工具参考

The installation tools are not provided with the firewall. Prepare them yourself.

防火墙不随机提供安装工具，请用户根据实际安装需求自备安装工具。

d

r

i

v

e

r

e

d

t

la

s

la

-b

c

r

e

F

w

刀

一

字

螺

丝

W

i

r

e

c

r

i

e

p

r

m

压

线

钳

s

c

r

r

d

e

e

r

w

P

h

iv

i

s

p

lli

字

螺

丝

刀

十

r

s

lie

p

o

g

n

a

l

ia

D

口

钳

斜

p

li

e

r

s

o

s

-n

e

e

e

d

le

N

钳

尖

嘴

r

i

s

t

s

tr

p

a

E

S

D

w

电

腕

带

防

静

Installation Accessories 安装附件介绍

e

g

a

C

n

u

t

d

)

lie

p

p

(

u

s

e

r

s

u

用

户

自

浮

动

M

备

螺

母

(

e

o

t

u

n

ti

n

g

r

b

c

a

k

i

e

d

)

d

(

r

p

o

v

标

配

)

挂

耳

(

M

6

s

c

r

e

w

)

d

lie

p

(

u

s

e

r

s

u

)

p

户

自

备

M

6

螺

R

胶

)

钉

(

用

f

e

e

t

u

e

b

b

r

(

p

r

o

v

i

e

d

)

d

垫

贴

(

标

配

)

o

v

R

e

m

(

u

s

e

可

拆

卸

式

r

o

G

Wear an ESD wrist strap, and make sure the wrist strap makes good skin contact and
is correctly grounded.操作者需佩戴防静电腕带，确保防静电腕带与皮肤良好接触，并

确认防静电腕带已经良好接地。

b

a

le

c

le

b

a

ti

e

)

d

lie

r

s

u

p

p

用

户

自

备

扎

u

(

p

地

)

带

(

g

in

c

le

b

a

n

d

r

e

)

d

o

v

id

线

(

标

配

)

Airflow of the Firewall 防火墙的风道设计

Make sure the air inlet and outlet vents are not blocked and the installation site has a
good ventilation system.请确保防火墙的进、出风孔不被遮挡，并将防火墙安装在具有

良好通风散热系统的环境中。

出

采

用

左

进

r

a

i

s

s

le

.

防

-r

i

f

g

h

t

a

le

t-to

a

d

o

p

ts

a

ll

e

w

T

h

e

f

i

r

i

tr

-s

g

in

p

p

li

p

e

r

W

i

r

e

s

剥

线

钳

M

r

a

k

e

r

记

号

笔

火

i

右

墙

。

的

风

道

设

计

Mounting the Firewall on a Workbench 安装防火墙到工作台

Make sure the workbench is sturdy and correctly grounded. Do not place heavy objects
on the firewall.保证工作台的平稳与良好接地，并且不要在防火墙上放置重物。

e

s

o

le

d

h

i

n

e

th

f

o

u

r

r

o

u

r

u

b

b

e

r

f

e

e

t

c

h

e

th

tta

r

o

u

n

te

s

u

e

n

d

a

k

M

M

-h

4

c

e

)

d

id

s

c

r

e

w

(

r

p

o

v

(

标

配

)

沉

4

P

o
(

p

电

源

头

螺

钉

c

a

le

b

e

r

w

r

o

v

i

e

d

d

)

线

(

标

配

)

A

b

o

tto

c

h

a

s

s

is
o

r

w

k

b

e

e

th

贴

胶

垫

到

粘
工

作

台

上

。

to

e

e

th

.

m

c

P

la

n

c

h

.

火

墙

底

部

，

防

n

ith

w

f

a

ll

e

ir

w

带

胶

垫

贴

将

1

th

p

o

n

u

p

的

防

s

i

d

e

u

火

墙

平

放

到

2

Mounting the Firewall in a Rack 安装防火墙到机柜

The rack-mounting procedures for the F100-M-SI, F100-A-SI, and F1000-C-SI firewalls are
the same. The following uses the F1000-C-SI firewall as an example.
F100-M-SI/F100-A-SI/F1000-C-SI 防火墙安装方法类似，本手册仅以F1000-C-SI举例说明。

s

o

p

th

e

k

r

a

M

tw

th

e

o

r

f

m

tin

n

u

o

g

用

对

比

耳

1

挂

位

的

母

螺

动

ta

In

s

ll

g

a

c

itio

s

o

p

.

s

n

动

浮

装

安

螺

f

o

tio

i

s

n

o

p

k

c

a

r

t

n

o

s

c

a

r

b

t.

e

k

机

出

柱

立

柜

记

用

并

，

置

to

ts

u

n

e

th

e

。

母

2

C

m

o

g

a

le

p

c

te

t

u

n

in

s

浮

e

ta

lla

t

.

s

n

o

i

完

装

安

母

螺

动

。

毕

3

U

r

b

使
别

o

t

w

e

s

r

c

s

e

s

c

a

用
固

e

h

t

o

t

s

t

e

k

机

随

的

带

附
防

到

定

墙

火

m

e

h

t

h

c

a

t

t

a

h

c

s

s

a

钉

螺

，
板

面

前

in

g

t

n

u

o

is

.

挂

右

、

左

将
的

分

耳
。

侧

两

右

左

To avoid bodily injury and firewall damage, use at least two people to mount the
firewall to the rack.

由于防火墙较重，安装到机柜时至少需两人配合完成，以免造成防火墙及人身伤害。

th

e

h

s

u

P

将

e

g

a

c
t

m

n

o

ts

u

n

a

in

s

g

u

y

b

条

孔

方

浮

上

号

。

出

标

笔

d

e

k

r

a

U

使

w

e

ll

a

r

in

th

to

i

f

墙

火

防

s

6

M

e

s

字

十

用

.

k

c

a

r

水

r

c

螺

e

柜

机

入

推

平

。

w

e

tta

a

th

to

e

h

c

s

刀

丝

顺

M

转

旋

针

时

r

b

g

n

m

ti

n

u

o

将

，

钉

6

螺

th

to

e

ts

e

k

c

a

防

火

r

f

挂

右

、

左

墙

s

o

p

k

c

a

r

t

n

o

ts

.

机

在

定

固

耳

柜

上

柱

立

前

的

。

3

4

进入系统视图

配置防火墙名称

开启防火墙的Telnet服务
方便远程管理

进入以太网接口视图

配置接口IP地址

配置NAT动态地址转换

配置缺省虚拟设备的安
全域

保存当前配置

显示当前配置

system-view
sysname sysname

telnet server enable

interface interface-type interface-number

ip address ip-address { mask-length | mask } { sub }

创建一个地址组，并进入地址组视图：

nat address-group group-number

添加一个地址组成员：

address start-address end-address

配置NO-PAT方式NAT：

nat outbound [ acl-number ] [ address-group group-number [ vpn-
instance vpn-instance-name ] no-pat [ track vrrp virtual-router-id ]

配置NAPT方式NAT：

nat outbound [ acl-number ] [ address-group group-number [ vpn-
instance vpn-instance-name ] ] [ track vrrp virtual-router-id ]

创建并且进入安全域视图：

zone name zone-name[ id zone-id ]

将接口加入安全域视图：

import interface interface-type interface-number [ vlan vlan-list ]

save [ safely ]
display current-configuration

该命令在用户视图下执行

该命令在系统视图下执行
缺省情况下，防火墙名称为H3C

该命令在系统视图下执行
缺省情况下，防火墙未开启该服务

该命令在系统视图下执行

该命令在接口视图下执行
缺省情况下，GigabitEthernet0/0的IP地址为

192.168.0.1/24，其他接口未配置IP地址
该命令在系统视图下执行

缺省情况下，不存在地址组
该命令在NAT地址组视图下执行

缺省情况下，不存在地址组成员

该命令在接口视图下执行
缺省情况下，不存在动态地址转换配置

该命令在系统视图下执行
缺省情况下，Root虚拟设备上存在Management、
Local、Trust、DMZ、Untrust安全域，其他虚拟设备
上不存在安全域

该命令在安全域视图下执行
缺省情况下，GigabitEthernet0/0接口已加入
Management安全域，其它接口未加入安全域

该命令在任意视图下执行
可以同时设置下次启动的配置文件

该命令在任意视图下执行

完成基本配置后，如果需要进一步配置各种业务功能，还需要将相关接口加入安全域和配置域间策略，详细介绍以及Web方式相关配置请参见产品配套的配置指导、
命令参考手册。

# 向安全域Untrust中添加接口GigabitEthernet0/2。

[Firewall] zone name Untrust

(1)

某公司以Firewall作为网络边界防火墙，连接内网和Internet。公司需要
对外提供Web服务。内网属于可信任网络，可以自由访问服务器和外
网。内网地址为10.110.10.0/24，公司拥有202.38.1.1/24一个公网
IP地址。需要实现外部主机可以访问内部服务器。使用202.38.1.1作为
公司对外提供服务的IP地址，Web服务器采用80端口。

[Firewall-zone-Untrust] import interface gigabitethernet 0/2
[Firewall-zone-Untrust] quit

# 配置内部Web服务器，允许外网主机使用202.38.1.1访问，且内网主机访
问服务器的报文能进行目的地址转换。

[Firewall] interface gigabitethernet 0/2
[Firewall-GigabitEthernet0/2] nat server protocol tcp global 202.38.1.1 80
inside 10.110.10.1 www
[Firewall-GigabitEthernet0/2] quit
# 在缺省VD上创建主机地址对象webserver，并和IP地址10.110.10.1绑定。
[Firewall] object network host webserver
[Firewall-object-network-webserver] host address 10.110.10.1
[Firewall-object-network-webserver] quit

Trust

GE0/1

Firewall

GE0/3

10.110.10.10/24

DMZ

GE0/2

202.38.1.1/24

Untrust

Internet

# 创建源安全域Untrust到目的安全域DMZ的域间实例，并制订允许外网任何

Web server

10.110.10.1/24

主机通过HTTP协议访问Web服务器的域间策略规则，然后使能该规则。
[Firewall] interzone source Untrust destination DMZ
[Firewall-interzone-Untrust-DMZ] rule 0 permit

缺省情况下，Root虚拟设备上存在Management、Local、Trust、DMZ、Untrust安全域，
其他虚拟设备上不存在安全域。

(2)

[Firewall-interzone-Untrust-DMZ-rule-0] source-ip any_address
[Firewall-interzone-untrust-DMZ-rule-0] destination-ip webserver
[Firewall-interzone-untrust-DMZ-rule-0] service http
[Firewall-interzone-untrust-DMZ-rule-0] rule enable

# 按照组网图配置各接口的IP地址，具体配置过程略。
# 向安全域DMZ中添加接口GigabitEthernet0/3。

[Firewall] zone name DMZ
[Firewall-zone-DMZ] import interface gigabitethernet 0/3
[Firewall-zone-DMZ] quit
# 向安全域Trust中添加接口GigabitEthernet0/1。
[Firewall] zone name Trust
[Firewall-zone-Trust] import interface gigabitethernet 0/1
[Firewall-zone-Trust] quit

[Firewall-interzone-untrust-DMZ-rule-0] quit
# 配置NAT转换，允许内网主机访问Internet，内网转换后的源地址使用
GigabitEthernet0/2的接口地址。
[Firewall] acl number 3000
[Firewall-acl-adv-3000] rule permit ip source 10.110.0.0 0.0.0.255
[Firewall-acl-adv-3000] interface gigabitethernet 0/2
[Firewall-GigabitEthernet0/2] nat outbound 3000
[Firewall-GigabitEthernet0/2] quit
[Firewall] save