http://www.h4c.com.cn/Service/Software_Download/IP_Security/Firewall___×××/Comware_V7/H3C_SecPath_F1020/

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站設(shè)計(jì)、網(wǎng)站制作、中牟網(wǎng)絡(luò)推廣、微信小程序、中牟網(wǎng)絡(luò)營(yíng)銷、中牟企業(yè)策劃、中牟品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營(yíng)等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供中牟建站搭建服務(wù)，24小時(shí)服務(wù)熱線：18982081108，官方網(wǎng)址：www.cdcxhl.com

下載3CDaemon的FTP的軟件、

第一步、打開3cdaemon的FTP的軟件，點(diǎn)擊——>“設(shè)置TFTP服務(wù)器”

第二步、點(diǎn)擊——>TFTP設(shè)置——>選擇需要升級(jí)的系統(tǒng)文件夾

第三步、系統(tǒng)文件名后綴一定要加上，否則上傳不了

tftp 1.1.1.1 get  XXXX.ipe                   上傳完成后，執(zhí)行
boot-loader file slot1#flash:/XXXX.ipe all main         將系統(tǒng)設(shè)置為加載系統(tǒng)

第四步、文件上傳失敗

1.分析磁盤空間（dir檢查磁盤空間，發(fā)現(xiàn)剩余空間足夠存放升級(jí)版本文件）

2.分析軟件升級(jí)版本（檢查軟件升級(jí)版本文件是否損壞）

3.仔細(xì)分析系統(tǒng)的提示信息

H3C安全設(shè)備激活license、同時(shí)和.did文件做綁定、需要從設(shè)備中去下載.did文件

第一步、同時(shí)保證PC可以ping通安全設(shè)備（以上步驟就是放通各個(gè)區(qū)域）

第二步、tftp PC地址 put  /flash:/license/文件名.did（同時(shí)tftp必須打開）

問題、華三防火墻最新產(chǎn)品，對(duì)接口直連訪問是不允許的 無法ping通

第一步、定義區(qū)域（一般出廠就定義好了）
security-zone name Management（針對(duì)管理接口去定義）
security-zone name untrust（不信任區(qū)對(duì)應(yīng)外部網(wǎng)絡(luò)）
security-zone name trust （信任區(qū)對(duì)應(yīng)內(nèi)部網(wǎng)絡(luò)）
security-zone name DMZ（非軍事區(qū)對(duì)應(yīng)對(duì)外服務(wù)器）
security-zone name local（針對(duì)本地）

1、交換模式
interface Vlan-interface100
 ip address 192.168.30.1 255.255.255.0
undo shutdown
interface GigabitEthernet1/0/2
 port link-mode bridge
 port access vlan 100
2、路由模式
interface GigabitEthernet1/0/3
 port link-mode route
 ip address 192.168.40.1 255.255.255.0
undo shutdown
第二步、加入?yún)^(qū)域
security-zone name Trust
 import interface GigabitEthernet1/0/3 （路由模式加接口）
 import interface Vlan-interface100 （交換模式加vlan）
第三步、定義ACL
acl basic 2000
 rule 10 permit source any （這里可以詳細(xì)定義）
第四步、定義區(qū)域訪問規(guī)則
zone-pair security source Trust destination Any  
 packet-filter 2000
zone-pair security source untrust destination Any
 packet-filter 2000

zone-pair security source Local destination Any  放通Local區(qū)域到任何區(qū)域(如果不放通那么設(shè)備上就ping不同到任何區(qū)域的終端地址)

packet-filter 2000

如果設(shè)備上多個(gè)端口加入同一個(gè)安全域，那么還需要加一條下面命令，否則同一個(gè)端口下面的終端之間是不能互通的

security-zone intra-zone default permit  

H3C防火墻配置NAT內(nèi)網(wǎng)訪問不了web服務(wù)器，外網(wǎng)可以訪問

[H3C-FW]interface GigabitEthernet5/0             內(nèi)網(wǎng)口
[H3C-FW-GigabitEthernet5/0]nat hairpin enable 

zone-pair security source Trust destination Trust

packet-filter 2000

黑名單：根據(jù)報(bào)文的源IP地址進(jìn)行過濾的一種方式
白名單：根據(jù)報(bào)文的源IP地址進(jìn)行過濾，防止特定的IP地址被加入黑名單

網(wǎng)頁標(biāo)題：H3C防火墻系統(tǒng)升級(jí)步驟
瀏覽地址：http://weahome.cn/article/gcsgch.html