华为防火墙配置利用手册自己写.docx
- 文档编号:28139750
- 上传时间:2023-07-08
- 格式:DOCX
- 页数:32
- 大小:726.06KB
华为防火墙配置利用手册自己写.docx
《华为防火墙配置利用手册自己写.docx》由会员分享,可在线阅读,更多相关《华为防火墙配置利用手册自己写.docx(32页珍藏版)》请在冰豆网上搜索。
华为防火墙配置利用手册自己写
华为防火墙配置利用手册
防火墙默许的治理接口为g0/0/0,默许的ip地址为,默许g0/0/0接口开启了dhcpserver,默许用户名为admin,默许密码为Admin@123
一、配置案例
拓扑图
GE0/0/1:
.1/24GE0/0/2:
GE0/0/3:
WWW效劳器:
(DMZ区域)FTP效劳器:
(DMZ区域)
Telnet配置
配置VTY的优先级为3,基于密码验证。
#进入系统视图。
#进入用户界面视图
[USG5300]user-interfacevty04
#设置用户界面能够访问的命令级别为level3
[USG5300-ui-vty0-4]userprivilegelevel3
配置Password验证
#配置验证方式为Password验证
[USG5300-ui-vty0-4]authentication-modepassword
#配置验证密码为lantian
[USG5300-ui-vty0-4]setauthenticationpasswordsimplelantian###最新版本的命令是authentication-modepasswordcipherhuawei@123
配置空闲断开连接时刻
#设置超时为30分钟
[USG5300-ui-vty0-4]idle-timeout30
[USG5300]firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound.10配置GigabitEthernet0/0/1加入Trust区域
[USG5300]firewallzonetrust
[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/1
[USG5300-zone-untrust]quit
外网:
进入GigabitEthernet0/0/2视图
[USG5300]interfaceGigabitEthernet0/0/2
配置GigabitEthernet0/0/2的IP地址
[USG5300-GigabitEthernet0/0/2]ipaddress配置GigabitEthernet0/0/2加入Untrust区域
[USG5300]firewallzoneuntrust
[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/2
[USG5300-zone-untrust]quit
DMZ:
进入GigabitEthernet0/0/3视图
[USG5300]interfaceGigabitEthernet0/0/3
配置GigabitEthernet0/0/3的IP地址。
[USG5300-GigabitEthernet0/0/3]ipaddress.1firewallzonedmz
[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/3
[USG5300-zone-untrust]quit
防火墙策略
本地策略是指与Local平安区域有关的域间平安策略,用于操纵外界与设备本身的互访。
域间平安策略确实是指不同的区域之间的平安策略。
域内平安策略确实是指同一个平安区域之间的策略,缺省情形下,同一平安区域内的数据流都许诺通过,域内平安策略没有Inbound和Outbound方向的区分。
策略内依照policy的顺序进行匹配,若是policy0匹配了,就可不能检测policy1了,和policy的ID大小没有关系,谁在前就先匹配谁。
缺省情形下开放local域到其他任意平安区域的缺省包过滤,方便设备自身的对外访问。
其他接口都没有加平安区域,而且其他域间的缺省包过滤关闭。
要想设备转发流量必需将接口加入平安区域,并配置域间平安策略或开放缺省包过滤。
平安策略的匹配顺序:
每条平安策略中包括匹配条件、操纵动作和UTM等高级平安策略。
匹配条件
平安策略能够指定多种匹配条件,报文必需同时知足所有条件才会匹配上策略。
比如如下策略
policy1
policyserviceservice-setdns
policydestination0
policysource在那个地址policyservice的端口53确实是指的是的53号端口,能够说是目的地址的53号端口。
域间能够应用多条平安策略,依照策略列表的顺序从上到下匹配。
只要匹配到一条策略就再也不继续匹配剩下的策略。
若是平安策略不是以自动排序方式配置的,策略的优先级依照配置顺序进行排列,越先配置的策略,优先级越高,越先匹配报文。
可是也能够手工调整策略之间的优先级。
缺省情形下,平安策略就不是以自动排序方式。
若是平安策略是以自动排序方式配置的,策略的优先级依照策略ID的大小进行排列,策略ID越小,优先级越高,越先匹配报文。
现在,策略之间的优先级关系不可调整。
policycreate-modeauto-sortenable命令用来开启平安策略自动排序功能,默许是关闭的。
若是没有匹配到平安策略,将按缺省包过滤的动作进行处置,因此在配置具体平安策略时要注意与缺省包过滤的关系。
例如平安策略中只许诺某些报文通过可是没有关闭缺省包过滤,将造成那些没有匹配到平安策略的流量也会通过,就失去配置平安策略的意义了。
一样,若是平安策略中只配置了需要拒绝的流量,其他流量都是许诺通过的,这时需要开放缺省包过滤才能实现需求,不然会造成所有流量都不能通过。
执行命令displaythis查看当前已有的平安策略,策略显示的顺序确实是策略的匹配顺序,越前边的优先级越高
执行命令policymovepolicy-id1{before|after}policy-id2,调整策略优先级。
UTM策略
平安策略中除大体的包过滤功能,还能够引用IPS、AV、应用操纵等UTM策略进行进一步的应用层检测。
但前提是匹配到操纵动作为permit的流量才能进行UTM处置,若是匹配到deny直接抛弃报文。
平安策略的应用方向
域间的Inbound和Outbound方向上都能够应用平安策略,需要依照会话的方向合理应用。
因为USG是基于会话的平安策略,只对同一会话的首包检测,后续包直接依照首包的动作进行处置。
因此对同一条会话来讲只需要在首包的发起方向上,也确实是访问发起的方向上应用平安策略。
如上图所示,Trust域的PC访问Untrust域的Server,只需要在Trust到Untrust的Outbound方向上应用平安策略许诺PC访问Server即可,关于Server回应PC的应答报文会命中首包成立的会话而许诺通过。
Trust和Untrust域间:
许诺内网用户访问公网
策略一样都是优先级高的在前,优先级低的在后。
policy1:
许诺源地址为.0/24的网段的报文通过
配置Trust和Untrust域间出方向的防火墙策略。
.255
[USG5300-policy-interzone-trust-untrust-outbound-1]actionpermit
[USG5300-policy-interzone-trust-untrust-outbound-1]quit
若是是许诺所有的内网地址上公网能够用以下命令:
[USG2100]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound10.10.11,目的端口为21的报文通过
policy3:
许诺目的地址为10.10.11.3,目的端口为8080的报文通过
配置Untrust到DMZ域间入方向的防火墙策略,即从公网访问内网效劳器
只需要许诺访问内网ip地址即可,不需要配置访问公网的ip地址。
注意:
在域间策略里匹配的顺序和policy的数字没有关系,他是之前去后检查,若是前一个匹配就不检查下一条了,假设先写的policy3后写的policy2,那么就先执行policy3里的语句,若是policy3里和policy2里有相同的地址,只要上一个匹配了就不执行下一个一样的地址了。
举例说明:
policy2里许诺通过,policy3里拒绝通过,哪个policy先写的就执行哪个。
[USG5300]policyinterzoneuntrustdmzinbound
[USG5300-policy-interzone-dmz-untrust-inbound]policy2
[USG5300-policy-interzone-dmz-untrust-inbound-2]policydestination.30
[USG5300-policy-interzone-dmz-untrust-inbound-2]policyserviceservice-setftp
[USG5300-policy-interzone-dmz-untrust-inbound-2]actionpermit
[USG5300-policy-interzone-dmz-untrust-inbound-2]quit
[USG5300-policy-interzone-dmz-untrust-inbound]policy3
[USG5300-policy-interzone-dmz-untrust-inbound-3]policydestination.20
[USG5300-policy-interzone-dmz-untrust-inbound-3]policyserviceservice-sethttp
[USG5300-policy-interzone-dmz-untrust-inbound-3]actionpermit
[USG5300-policy-interzone-dmz-untrust-inbound-3]quit
[USG5300-policy-interzone-dmz-untrust-inbound]quit
应用FTP的NATALG功能。
[USG5300]firewallinterzonedmzuntrust###优先级高的区域在前[USG5300-interzone-dmz-untrust]detectftp[USG5300-interzone-dmz-untrust]quit在USG5300支持FTP、HTTP、、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、、NETBIOS、MMS等协议的会话时,需要在域间启动ALG功能
配置NATALG功能与配置应用层包过滤(ASPF)功能利用的是同一条命令。
因此若是已经在域间配置过ASPF功能的话,能够不需要再重复配置NATALG功能。
二者的区别在于:
●ASPF功能的目的是识别多通道协议,并自动为其开放相应的包过滤策略。
●NATALG功能的目的是识别多通道协议,并自动转换报文载荷中的IP地址和端口信息。
在域间执行detect命令,将同时开启两个功能。
配置内部效劳器:
[USG5300]natserverprotocoltcpglobal8080inside.2www
[USG5300]natserverprotocoltcpglobalftpinside.3ftp
NAT策略
Trust和Untrust域间:
若是是同一个区域,比如trust到trust确实是域内。
基于源IP地址转换方向
Outbound方向:
数据包从高平安级别流向低平安级别
Inbound方向:
数据包从低平安级别流向高平安级别
高优先级与低优先级是相对的
依照基于源IP地址端口是不是转换分为no-pat方式和napt方式。
No-PAT方式:
用于一对一IP地址转换,不涉及端口转换
NAPT方式:
用于多对一或多对多IP地址转换,涉及端口转换
一、通过地址池的方式
policy1:
许诺网段为.0/24的内网用户访问Internet时进行源地址转换,采纳公网地址池的形式。
配置地址池
[USG5300]nataddress-group1配置Trust和Untrust域间出方向的策略
[USG5300]nat-policyinterzonetrustuntrustoutbound
[USG5300--policy-interzone-trust-untrust-outbound]policy1
[USG5300-nat-policy-interzone-trust-untrust-outbound-1]policysource.0.255
[USG5300-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat
[USG5300-nat-policy-interzone-trust-untrust-outbound-1]address-group1[nopat]
若是是基于外网接口的nat转换能够不用配置地址池,直接在nat-policyinterzonetrustuntrustoutbound里配置eary-ip外网接口
那个地址的policysource指的是trust地址,nat转换成untrust地址,若是是nat-policyinterzonetrustuntrustinbound,源地址确实是指untrust地址,转换成trust地址。
二、通过公网接口的方式
创建Trust区域和Untrust区域之间的NAT策略,确信进行NAT转换的源地址范围网段,而且将其与外网接口GigabitEthernet0/0/4进行绑定。
[USG]nat-policyinterzonetrustuntrustoutbound
[USG-nat-policy-interzone-trust-untrust-outbound]policy0
[USG-nat-policy-interzone-trust-untrust-outbound-0]policysourceactionsource-nat
[USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ipGigabitEthernet0/0/4
[USG-nat-policy-interzone-trust-untrust-outbound-0]quit
3、直接在接口启用nat
若是是针对内网用户上公网做nat,需要在内网接口利用
[USG-GigabitEthernet0/0/0]natenable
二、其他经常使用配置
查看防火墙的会话的命令
[USG5320]disfirewallsessiontable[source|destination][inside|global]能够查看那个数据包有无过来。
displayfirewallsessiontableverbosesourceinside
maskstatic-bindmac-address0000-e03f-0305#[USG5300]dhcpserverip-pool149(概念一个全局的地址池,名子自己概念)[USG5300-dhcp-149]networkmask(那个地址池可供分派的IP段)[USG5300-dhcp-149]gateway-list(自动获取的IP主机取得的网关)[USG5300-dhcp-149]dns-list(DNS配置)
[USG5300]interfaceVlan-interface2(概念vlan接口,自由概念)[USG5300-Vlanif2]dhcpselectgloble(接口上启用dhcpselectgloble功能)[USG5300-Vlanif2]ipaddress接口必需要分一个IP,即与网关相同的IP,系统依照接口IP与掩码确信自动分派哪个IP-Pool的IP)
[USG5300]interfaceVlan-interface3(概念vlan接口,自由概念)[USG5300-Vlanif3]dhcpselectgloble(接口上启用dhcpselectgloble功能)[USG5300-Vlanif3]ipaddress接口必需要分一个IP,即与网关相同的IP,系统依照接口IP与掩码确信自动分派哪个IP-Pool的IP)
配置透明模式
目前华为的防火墙不支持透明模式的命令,只能用Vlan,把端口加入到vlan的方式。
[USG5300]vlan2
[USG5300]intg0/0/0
[USG5300-GigabitEthernet0/0/0]portswitch
[USG5300-GigabitEthernet0/0/0]portlink-typeaccess
[USG5300-GigabitEthernet0/0/0]portaccessvlan2
[USG5300]intg0/0/1
[USG5300-GigabitEthernet0/0/1]portswitch
[USG5300-GigabitEthernet0/0/1]portlink-typeaccess
[USG5300-GigabitEthernet0/0/1]portaccessvlan2
然后把相应的端口加入到相应的区域就能够够了!
一样只需要加物理接口即可。
若是防火墙只是用在效劳器和内网之间,一样将连接效劳器接口设置为trust,将内网设置为untrust。
子接口的配置方式:
子接口不能配置portswitch命令,能够将子接口划分到某个vlan。
[USG5300-GigabitEthernet0/0/3]intg0/0/
[USG5300-GigabitEthernet0/0/]vlan-typedot1q60
设置GigabitEthernet0/0/与VLANID60相关联,以太网子接口GigabitEthernet0/0/的封装格式为dot1q
配置时钟
用户模式下
00:
00
0:
02021/12/01
displayclock能够查看时刻
系统更新
利用命令进行升级
1、先将升级文件上传到防火墙
2、
3、displaystartup###验证配置
4、利用reboot重启防火墙,执行reboot命令后,设备将会显示两次提示信息,询问是不是继续,请您不保留配置从头启动。
5、用户模式命令。
若是有license能够通过命令加载license。
系统视图命令:
[USG5300]licensefile,然后利用reboot命令从头启动系统,从头启动时请必然不要保留配置。
6、加载补丁的方式:
一、在任意视图下,执行displaypatch-information,查看补丁信息。
显示例如如下:
二、若是没有补丁信息能够直接加载补丁;若是有补丁信息,需要先删除原有补丁再加载,例如如下:
[USG5300]patchdelete
3、加载补丁:
[USG5300]patchload
4、激活补丁[USG5300]patchactive
5、运行补丁[USG5300]patchrun
利用图形界面升级
点击保护—系统更新
选择需要更新的系统文件,点击导入。
利用图形界面升级的时候,升级完成后不需要保留配置。
直接重启确实是。
用图形界面加载License的方式如下:
选择License文件,然后点击激活。
防火墙策略的配置
策略需求:
关于policyinterzonetrustdmzoutbound之间的策略有以下需求:
1、源地址为能访问所有的目的地址,效劳全数开放。
2、源地址是所有的,目的地址是、和开放80、8080、443和3389端口。
3、源地址是所有的访问目的地址是、的服务全部开放。
这三个都要求开放icmp协议。
在那个地址源为优先级高的的trust区,目的为优先级低的的dmz区。
若是策略里不明白源和目的确实是指any
配置方式:
ip service-set test1 type object
AT
aclnumber2000 rule10permitsource nataddress-group1 firewallinterzonetrustuntrust packet-filter2000outbound natoutbound2000address-group1
aclnumber3000 rule10permittcpdestination0destination-porteqwww
natserverprotocoltcpglobalwwwinsidewww
firewallinterzonetrustuntrust packet-filter3000inbound
aclnumber3002 rule10permitipdestination0
user-interfacevty04 acl3002inbound
当内网部署了一台效劳器,其真实IP是私网地址,可是希望公网用户能够通过一个公网地址来访问该效劳器,这时能够配置NATServer,使设备将公网用户访问该公网地址的报文自动转发给内网效劳器。
前提条件
∙已经配置USG5300的工作模式(只能为路由模式,混合模式也是能够的)
∙已经配置接口IP地址
∙已经配置接口加入平安区域
∙(可选)若是利用虚拟防火墙功能,需要已经创建VPN实例,并配置接口绑定VPN实例
背景信息
在实际应用中,可能需要提供给外部一个访问内部主机的机遇,如提供给外部一个WWW的效劳器,或是一台FTP效劳器。
利用NATServer能够灵活地添加内部效劳器,例如,能够将内网一台真实IP为的Web效劳器的80端口映射为公网IP地址的80端口,将一台真实IP为的FTP效劳器的23端口一样映射为公网IP地址的23端口。
外部网络的用户访问内部效劳器时,NATServer将请
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 防火墙 配置 利用 手册 自己