22-1用户手册(华为USG防火墙)-南京廖华答案网

22-1用户手册(华为USG防火墙) 下载本文

内容发布更新时间 : 2024/5/24 3:31:28星期一下面是文章的全部内容请认真阅读。

华为防火墙配置用户手册

防火墙默认的管理接口为g0/0/0，默认的ip地址为192.168.0.1/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin@123

一、配置案例

1.1 拓扑图

GE 0/0/1：10.10.10.1/24 GE 0/0/2：220.10.10.16/24 GE 0/0/3：10.10.11.1/24

WWW服务器：10.10.11.2/24（DMZ区域） FTP服务器：10.10.11.3/24（DMZ区域）

1.2 Telnet配置

配置VTY 的优先级为3，基于密码验证。 # 进入系统视图。

system-view # 进入用户界面视图

[USG5300] user-interface vty 0 4

# 设置用户界面能够访问的命令级别为level 3 [USG5300-ui-vty0-4] user privilege level 3 配置Password验证

# 配置验证方式为Password验证

[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian

[USG5300-ui-vty0-4] set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟

[USG5300-ui-vty0-4] idle-timeout 30

[USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。基于用户名和密码验证 user-interface vty 0 4

authentication-mode aaa aaa

local-user admin password cipher ]MQ;4\\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3

firewall packet-filter default permit interzone untrust local direction inbound

如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。

1.3 地址配置

内网：

进入GigabitEthernet 0/0/1视图

[USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址

[USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit

外网：

进入GigabitEthernet 0/0/2视图

[USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址

[USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit

DMZ：

进入GigabitEthernet 0/0/3视图

[USG5300] interface GigabitEthernet 0/0/3 配置GigabitEthernet 0/0/3的IP地址。

[USG5300-GigabitEthernet0/0/3] ip address 10.10.11.1 255.255.255.0 [USG5300] firewall zone dmz

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit

1.4 防火墙策略

本地策略是指与Local安全区域有关的域间安全策略，用于控制外界与设备本身的互访。域间安全策略就是指不同的区域之间的安全策略。域内安全策略就是指同一个安全区域之间的策略，缺省情况下，同一安全区域内的数据流都允许通过，域内安全策略没有Inbound和Outbound方向的区分。

策略内按照policy的顺序进行匹配，如果policy 0匹配了，就不会检测policy 1了,和policy的ID大小没有关系，谁在前就先匹配谁。

缺省情况下开放local域到其他任意安全区域的缺省包过滤，方便设备自身的对外访问。其他接口都没有加安全区域，并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域，并配置域间安全策略或开放缺省包过滤。安全策略的匹配顺序：