收藏
下载资源

华为公司防火墙技术培训-基础篇v1.2_20090616概要

上传人:今*** 文档编号:110957751 上传时间:2019-11-01 格式:PPT 页数:84 大小:5.74MB
返回 下载 相关 举报
华为公司防火墙技术培训-基础篇v1.2_20090616概要_第1页
第1页 / 共84页
华为公司防火墙技术培训-基础篇v1.2_20090616概要_第2页
第2页 / 共84页
华为公司防火墙技术培训-基础篇v1.2_20090616概要_第3页
第3页 / 共84页
华为公司防火墙技术培训-基础篇v1.2_20090616概要_第4页
第4页 / 共84页
华为公司防火墙技术培训-基础篇v1.2_20090616概要_第5页
第5页 / 共84页
点击查看更多>>
资源描述

《华为公司防火墙技术培训-基础篇v1.2_20090616概要》由会员分享,可在线阅读,更多相关《华为公司防火墙技术培训-基础篇v1.2_20090616概要(84页珍藏版)》请在金锄头文库上搜索。

1、华赛防火墙技术培训 - 上海龙田数码科技有限公司,Page 2,培训提纲,基础配置 系统管理 网络配置 策略配置 ACL配置 NAT配置 配置举例,Page 3,基础配置:Console管理,防火墙可以通过Console访问方式进行管理 最为安全的登录方式 无须网络支持就可以登录 无须IP地址就可以登录 可以看到启动的信息 可以看到实时的debug信息,Page 4,基础配置-Console口管理,使用系统自带超级终端工具或第三方工具,例如SecureCRT。 配置终端通信参数为9600波特、8位数据位、1位停止位、无校验、无流控。如图所示,也可以直接选择还原默认值。,需注意选择正确的串口!,

2、Page 5,Console登录初始界面:,新版的OS初始console的用户名和密码为:admin Admin123,Page 6,系统主机名和时间配置:,Page 7,查看接口IP地址配置:,缺省情况下,除了USG50有管理IP地址外,其他型号目前都没有配置管理IP,需要 给接口手动分配IP地址。,Page 8,给指定接口配置IP地址:,我们可以通过该IP地址做telnet、Web、FTP等管理用途。,Page 9,将接口分配到指定安全区域:,默认情况下只有USG50的接口已经划分到指定安全区域,其他型号需要自行配置。,Page 10,基本策略放行(保证管理防火墙顺利进行),不指明方向的时

3、候,缺省是进出双向的。,Page 11,基础配置-CLI模式,Console和Telnet可以通过命令修改命令行下的语言模式: language-mode Chinese Login authentication Username:telnetuser Password:* 用户视图模式 (登录后提示) system-view Eudemon 系统视图模式,Page 12,基础配置语言模式实例:,Page 13,培训提纲,基础配置 系统管理 网络配置 策略配置 ACL配置 NAT配置 配置举例,Page 14,系统管理配置验证方式配置,Page 15,系统管理配置验证方式,Page 16,系统

4、管理-WEB方式管理,Eudemon/USG 防火墙Web特性为用户提供了简单、易用的Web配置界面,使用户能够方便地对防火墙进行操作和维护,绝大多数任务都可以通过Web的方式配置实现。并且为用户提供了如下两种访问方式: 加密 Web浏览器和防火墙之间通过HTTPS(HTTP Security)安全协议进行交互。加密功能保证了用户信息的安全。 不加密 Web浏览器和防火墙之间通过HTTP协议进行交互。,Page 17,基础配置-WEB管理的配置,默认USG50的Web功能是打开的,可以直接访问,无需特别配置,用户名密码为:usg50/usg50 前置任务 在配置Web管理功能之前需要完成以下任

5、务: 1 在防火墙上配置与浏览器相连的接口的IP地址,将接口加入到域中,并且打开该区域和local区域的域间关系; 配置Web浏览器所在PC的IP地址,并保证PC与防火墙能ping通。 配置过程 要完成配置Web管理功能的任务,需要执行如下的配置过程 : 1 使能WEB管理功能; 配置WEB用户; 检查配置结果。,Page 18,基础配置-WEB下建立用户,在系统视图下,使能WEB功能 Eudemon web-manager security enable port port-number AAA视图下配置WEB用户 创建本地用户: Eudemon-aaa local-user user-na

6、me password simple | cipher password 配置用户类型: Eudemon-aaa local-user user-name service-type web 配置用户级别: Eudemon-aaa local-user user-name level level 此步骤可选,level的值为03。0表示用户的优先级为参观级,1表示用户的优先级为监控级,2表示用户优 先级为配置级,3表示用户的优先级为管理级。缺省情况下,level的默认值为0 检查配置结果 检查WEB用户的配置结果: Eudemon display current-configuration co

7、nfiguration aaa 检查WEB管理的配置结果: Eudemon display web-manager configuration,Page 19,开启web管理功能配置命令:,http:/172.16.1.254 https:/172.16.1.254 Q前面我们已经在aaa模式下面创建了一个帐号,其中分配给他的service包括web。,Page 20,基础配置-WEB登陆界面,Page 21,基础配置-WEB登陆首页,Page 22,基础配置-Web配置(中文),Page 23,系统管理-Telnet方式管理,首先确保接口的物理和协议状态均为up,并进行连通性测试-ping,

8、Page 24,Telnet方式管理,防火墙初始状态: 内部端口地址 192.168.0.1/24,默认情况下USG50的Telnet功能是打开的,无需配置可以直接访问。 用户名:admin 密码:Admin123 其它型号的防火墙USG和Eudemon系列防火墙没有初始管理IP地址,需要通过Console来进行初始配置。,Page 25,Telnet登录初始配置命令,Page 26,Telnet方式管理,telnet 172.16.1.254,Page 27,系统管理配置SSH登录配置,当需要远程协助支持时,建议打开SSH登录功能,因为SSH在设备和访问终端间建立一条加密的隧道,加强了访问的

9、安全性。,Page 28,系统管理配置-SSH远程登录(三大步),Page 29,系统管理配置-SSH远程登录(三大步),Page 30,系统管理配置-SSH远程登录(三大步),Page 31,系统管理配置-SSH远程登录,目前仅支持SSH1版本,不支持压缩!,Page 32,清除配置恢复出厂值(第一种方法),Page 33,清除配置恢复出厂值(第二种方法),1. 登录到设备 2. 查看配置文件所在位置及名称 3. 删除配置文件,不保存,然后重启。,Page 34,系统管理配置OS导入导出,华为防火墙的OS是VRP系统,可以通过FTP或TFTP的方式进行导入导出。可以选择使用第三方的FTP或T

10、FTP的软件来扮演SERVER的角色,另外一种方式是将防火墙直接配置成SERVER模式。,防火墙作为FTP SERVER端方式备份OS:,Page 35,系统管理配置OS导入导出,终端系统访问FTP Server,Page 36,系统管理配置OS导入导出,上传新的OS到系统中:,Page 37,培训提纲,基础配置 系统管理 网络配置 策略配置 ACL配置 NAT配置 攻击防范 配置举例,Page 38,网络配置-接口的分类,接口指设备与网络中的其它设备交换数据并相互作用的部分。 接口分为物理接口和逻辑接口两类。 1、物理接口就是真实存在、有对应器件支持的接口。包括: 局域网接口,主要是指以太网

11、接口。 Eudemon防火墙可以通过它与局域网中的网络设备交换数据。 广域网接口,主要是指AUX接口。 通过AUX接口可以对Eudemon防火墙进行远程配置维护。 2、逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口。包括: 子接口 虚拟接口模板 Loopback接口 Null接口 VLAN接口,Page 39,网络配置-接口的配置,Eudemon/USG防火墙的接口都有一个接口描述配置项,接口描述主要用来帮助识别接口的用途,以便于记忆和管理。 配置接口描述,需要进行如下操作。 执行命令system-view,进入系统视图。 执行命令interface interface

12、-type interface-number,进入接口视图。 执行命令description interface-description,配置接口描述。,Page 40,网络配置-接口列表,Page 41,网络配置-以太网接口的定义,在配置以太网接口之前,需准备以下数据: 接口编号 接口IP地址和掩码地址 接口MTU 接口工作速率 接口双工模式 接口要加入到哪个安全区域,Page 42,网络配置-以太网接口的配置,# 进入Ethernet 1/0/0视图。 Eudemon interface ethernet 1/0/0 # 配置Ethernet 1/0/0的主IP地址。 Eudemon-Et

13、hernet1/0/0 ip address 129.2.2.1 255.255.255.0 # 配置Ethernet 1/0/0的从IP地址。 Eudemon-Ethernet1/0/0 ip address 129.1.3.1 255.255.255.0 sub,Page 43,网络配置-接口(DHCP方式获取地址),Page 44,网络配置DHCP Server 配置,可以起多个IP-POOL,供内外选择。,Page 45,网络配置-以太网接口配置,可以配置以太网接口的双工模式:全双工/半双工/自动协商;配置以太网接口的速率: 10M/100/自动协商,Page 46,网络配置-Dial

14、er接口配置-PPPoE,命令行配置如下:,查看配置:,Page 47,网络配置-Dialer接口配置-PPPoE-Web配置,Page 48,网络配置-Dialer接口配置-PPPoE-Web配置,Page 49,网络配置-Dialer接口配置-PPPoE-Web配置,Page 50,网络配置-Dialer接口配置-PPPoE-Web配置,Page 51,网络配置-Dialer接口配置-PPPoE-Web配置,Page 52,网络配置-Dialer接口配置-PPPoE-Web配置,选择应用拨号的接口:,Page 53,网络配置-Dialer接口配置-PPPoE-Web配置,配置好以后查看一下

15、:,Page 54,网络配置-防火墙工作模式配置,Eudemon/USG防火墙支持路由、透明、混合三种工作模式,默认为路由模式。(USG50只支持路由模式),对于中低端防火墙(E100200200S)配置透明模式的管理IP方法为: 1. 先切换防火墙的工作模式到透明模式,然后保存配置,重启设备。 2. 配置system-ip, 作为管理IP,中高端防火墙配置透明模式管理IP的方法为,先创建Vlan,然后给Vlan 接口配置IP即可。,Page 55,网络配置-路由配置的条件,前置任务 在配置静态路由之前,需完成以下任务: 配置相关接口的物理参数。 配置相关接口的IP地址。 数据准备 在配置静态

16、路由之前,需要准备以下数据: 目的网络的IP地址和掩码。 下一跳的IP地址或出接口。,Page 56,网络配置-路由配置,步骤 1 执行命令system-view,进入系统视图。 步骤 2 执行命令ip route-static x.x.x.x mask|mask-length interface-type interface-number gateway-address | gateway-address preference value reject | blackhole 。,Page 57,网络配置-路由配置举例,Eudemon ip route-static 1.1.1.0 255.255.255.0 1.1.2.1 Eudemon ip route-static 1.1.4.0 255.255.255.0 1.1.3.2 Eudemon ip r

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号