收藏
下载资源

华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍

上传人:ji****n 文档编号:45115084 上传时间:2018-06-15 格式:DOC 页数:6 大小:45.50KB
返回 下载 相关 举报
华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍_第1页
第1页 / 共6页
华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍_第2页
第2页 / 共6页
华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍_第3页
第3页 / 共6页
华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍_第4页
第4页 / 共6页
华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍》由会员分享,可在线阅读,更多相关《华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍(6页珍藏版)》请在金锄头文库上搜索。

1、【转】华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍转载自 shineruncisco 最终编辑 iuuexiao目前市面上华为的防火墙主要有 Eudemon 和华赛 USG 系列,以下是我使 用华为 USG5310 系列防火墙时,总结的一点点经验,同大家分享下。首先谈谈华赛防火墙的一些默认配置:console 默认采用 aaa local 本地认证登录,故运行和启动配置中, console 下本地认证看不到;默认用户名:admin;密码:Admin123,默认 admin 的级别是 level 3,最高权限,允许通过 terminal、http 登录;初始配 置下,telnet

2、 是不能够登录的,没有配置登录的验证;USG 系列防火墙,默认 是带虚拟防火墙功能的,称为 vzone,并且设置的默认优先级别为 0;另外还有 属于 public 的四个区域,local 区域的优先级为 100,主要是指本地设备信息; trust 区域优先级为 85,dmz 区域的优先级为 50,untrust 区域的优先级为 5, 而且这些默认区域的优先级别是不能更改,有点类似于 cisco 的安全等级;默 认防火墙策略是允许 local 区域的数据到 trust 区域的进出方向;huawei 的设 备接口规则,从下往上从左往右分别按照 G0/0/0-G0/0/n-1(n 等于接口的数量)

3、。同时华赛的防火墙有三种模式:透明模式,路由模式,混杂模式(主要 是在透明模式使用到双机热备时采用);路由模式分为简单的路由模式和 UTM(统一网关)模式现在来谈谈华赛防火墙的基本需求配置:当你拿到一台防火墙,想让它能够带着内网的机器上网,同时还要发布某些 服务器出去,那么就需要进行基本的配置。以下是 usg 系列防火墙的基本配置 命令方式当你通过 console 输入正确的用户名和密码后的提示符,属于用 户视图,可以查看全部的配置,同时也能够对设备的配置进行相关的升级操作usg5310 只有当你在用户视图输入 system-view 命令后,才能够进入该视 图,从该视图可以配置大部分的配置,

4、同时可以切换到任意的其它视图,属于 最高级别的权限;usg5310sysname USG-5300-cave 将防火墙命名为自己希望的名字;USG-5300-cavesuper password level 3 ciper !QW#E$R 配置 level 3 超级权限的密码,主要是针对那些没有授权为 level 3 的用户,如果需要进入 系统模式就要切换到高级别USG-5300-caveuser-interface vty 0 4 进入到虚拟登录线程配置模式,USG-5300-cave-ui-vty0-4authentication-mode aaa/none/password 设 置认证的

5、模式为 aaa 认证/不需要认证/密码认证,自己从中间选择一种,本次 选择为 localuser/passwordUSG-5300-cave-ui-vty0-4idle-timeout 20 0 设置登录用户超时时间为 20 分钟USG-5300-cave-ui-vty0-4 acl acl-number 可以是基本的或者高级的 acl,设置允许虚拟登录的源和登录的地址等信息USG-5300-cave-ui-vty0-4lock authentication-counter 5 设置登录认 证出错 5 次就锁定的机制,范围 1-12,默认是三次USG-5300-cave-ui-vty0-4lo

6、ck lock-timeout 30 设置锁定的时间为 30 分钟,默认为 10 分钟,取值范围 0-1500 分钟USG-5300-cave-ui-vty0-4history-command max-size 10 设置记录的历 史键入命令的最大值为 10 条,范围在 0-256 之间USG-5300-cave-ui-vty0-4set authentication password ciper cavehs-usg-5310 设置通过认证密码来登录设备,要么在线上对登录用户进行 登录级别授权,要么设置 sup level 3 的密码,允许用户权限提升进行操作。USG-5300-cave-u

7、i-vty0-4user privilege level 3 设置用户登录的级别 为 3,主要是针对那些采用简单密码认证方式的用户,默认的用户级别为 0,没 有权限进行操作和查看,USG-5300-cave-ui-vty0-4screen-length 50 设置屏显长度为 50 行,范 围在 0-512 行之间USG-5300-caveaaa 进入到 aaa 配置模式USG-5300-cave-aaalocal-user admin service-type terminal telnet web 允许用户 admin 通过三种方式登录USG-5300-cavefirewall zone t

8、rust 进入到防火墙 trust 区域配置模式 下USG-5300-cave-zone-trustadd interface g0/0/0 将接口添加到 trust 区域USG-5300-caveinterface g0/0/0 进入接口配置模式USG-5300-cave-gigabitethernet0/0/0ip address 192.168.0.1 255.255.255.0 给 trust 接口配置 ip 地址,这里与思科有点区别,思科防火墙 接口要先加区域,然后配置 ip,华赛是可以先配置 ip 再加入区域的;USG-5300-cave-gigabitethernet0/0/0q

9、uit USG-5300-caveinterface g0/0/1 进入接口配置模式USG-5300-cave-gigabitethernet0/0/1ip address 202.101.100.1 255.255.255.0 给 untrust 接口配置 ip 地址,这里与思科有点区别,思科防火 墙接口要先加区域,然后配置 ip,华赛是可以先配置 ip 再加入区域的;USG-5300-cave-gigabitethernet0/0/1quit 退出当前模式USG-5310-caveip route-static 0.0.0.0 0.0.0.0 g0/0/1 202.101.100.254

10、设置到互联网的默认路由,通过互联网出接口转发到下一跳 网关USG-5310-caveip route-static 172.18.0.0 255.255.0.0 g0/0/0 192.168.0.2 设置到内网的多网段的路由,如果是直连的,则不需要添加内网 路由USG-5310-caveaaa USG-5310-cave-aaalocal-user cave password ciper cavehs-usg-5310 在 AAA 数据库中间创建本地用户以及密码和密码采用的加密方式USG-5310-cave-aaalocal-user cave service-type web termina

11、l telnet 针对用户 cave 开启三种登录方式可以通过 http 或者 https、console 和 telnetUSG-5310-cave-aaalocal-user cave privilege level 3 设置 cave 的用 户等级为最高级别,拥有最高级别的用户,不需要通过输入 super pass level 3 的密码即可以完全操作整台设备USG-5310-cavenat address-group 1 untrust-vip 202.101.100.5 202.101.100.5 设置地址映射全局地址池的编号和名字,用户做 pat 使用,可 以是出接口的地址,也可以

12、一段地址USG-5310-cavenat-policy interzone trust untrust outbound 设置地 址映射策略,从内部区域的信任区域到非信任区域的出方向的地址映射USG-5310-cave-policy-interzone-trust-untrust-outboundpolicy 1 映射的第一条策略,可以定义很多条,尤其是当需要不同的源,通过不同的地 址映射时使用多条策略区分USG-5310-cave-policy-interzone-trust-untrust-outbound-1action source-nat 在策略中执行的是源地址转换USG-5310-

13、cave-policy-interzone-trust-untrust-outbound-1policy source 192.168.0.0 24 针对该策略的需要转换的源地址段USG-5310-cave-policy-interzone-trust-untrust-outbound-1address- group untrust-vip 将先前定义的地址池应用到该地址转发策略上USG-5310-cavenat server 1 zone untrust global 202.101.100.100 inside 172.18.100.100 将外部不信任区域上将内部的一台服务器发布到外网U

14、SG-5310-cavenat server 2 zone untrust protocol tcp global 202.101.100.101 80 inside 172.18.100.101 80 采用地址复用功能,将内部 主机的对外提供服务端口映射到外网USG-5310-cavenat server 3 zone untrust protocol tcp global 202.101.100.101 8080 inside 172.18.100.102 8080 采用地址复用功能,将 同一个外网地址的不同端口映射到不同的内网服务的不同应用USG-5310-cavepolicy inte

15、rzone untrust trust inbound 设置访问控制 策略,放行从 untrust 区域到 trust 区域的进方向的策略USG-5310-cave-policy-interzone-trust-untrust-inboundpolicy 1 定 义区域间访问的第一条策略USG-5310-cave-policy-interzone-trust-untrust-inbound-1action permit 针对该策略的动作是允许USG-5310-cave-policy-interzone-trust-untrust-inbound-1policy destination addr

16、ess-set 172.18.100.100 设置允许访问的目的主机,USG-5310-cave-policy-interzone-trust-untrust-inbound-1policy service service-set http 设置被访问主机对外提供的服务USG-5310-caveip service-set tcp8080 type object 自定义的服务类, 名叫 tcp8080 服务类,USG-5310-cave-object-service-set-tcp8080service 0 protocol tcp source-port 0 to 65535 destination-port 8080 定义 tcp8080 服务类的协议 类型为 tcp,源端口不限制,目的端口为 8080 的;即自定义一个 8080 的 tcp 服 务端口

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号