收藏
下载资源

华为防火墙配置使用手册

上传人:工**** 文档编号:459791763 上传时间:2023-01-20 格式:DOCX 页数:34 大小:270.25KB
返回 下载 相关 举报
华为防火墙配置使用手册_第1页
第1页 / 共34页
华为防火墙配置使用手册_第2页
第2页 / 共34页
华为防火墙配置使用手册_第3页
第3页 / 共34页
华为防火墙配置使用手册_第4页
第4页 / 共34页
华为防火墙配置使用手册_第5页
第5页 / 共34页
点击查看更多>>
资源描述

《华为防火墙配置使用手册》由会员分享,可在线阅读,更多相关《华为防火墙配置使用手册(34页珍藏版)》请在金锄头文库上搜索。

1、华为防火墙配置使用手册II默认g0/0/0接口开启了防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24, dhcp server,默认用户名为admin,默认密码为Admin123一、配置案例1.1拓扑图GE 0/0/1: 10.10.10.1/24GE 0/0/2: 220.10.10.16/24GE 0/0/3: 10.10.11.1/24WWW 服务器:10.10.11.2/24(DMZ 区域)FTP 服务器:10.10.11.3/24(DMZ 区域)1.2 Telnet 配置配置VTY的优先级为3,基于密码验证。#进入系统视图。 system-view#进

2、入用户界面视图USG5300 user-interface vty 0 4#设置用户界面能够访问的命令级别为level 3USG5300-ui-vty0-4 user privilege level 3配置Password验证#配置验证方式为Password验证USG5300-ui-vty0-4 authentication-mode password#配置验证密码为lantianUSG5300-ui-vty0-4 set authentication password simple lantian #最新版本的命令是 authentication-mode password cipher h

3、uawei123配置空闲断开连接时间#设置超时为30分钟USG5300-ui-vty0-4 idle-timeout 30USG5300 firewall packet-filter default permit interzone untrust local direction inbound / 不加这个从公网不能telnet防火墙。基于用户名和密码验证user-interface vty 0 4authentication-mode aaaaaalocal-user admin password cipher MQ;4B+4Z,YWX*NZ55OA!local-user admin se

4、rvice-type telnetlocal-user admin level 3firewall packet-filter default permit interzone untrust local direction inbound如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认 情况下已经开放了 trust域到local域的缺省包过滤。1.3地址配置内网:进入 GigabitEthernet 0/0/1 视图USG5300 interface GigabitEthernet 0/0/1配置 GigabitEthernet 0/0/1 的

5、 IP 地址USG5300-GigabitEthernet0/0/1 ip address 10.10.10.1 255.255.255.0配置 GigabitEthernet 0/0/1 加入 Trust 区域USG5300 firewall zone trustUSG5300-zone-untrust add interface GigabitEthernet 0/0/1USG5300-zone-untrust quit外网:进入 GigabitEthernet 0/0/2 视图USG5300 interface GigabitEthernet 0/0/2配置 GigabitEtherne

6、t 0/0/2 的 IP 地址USG5300-GigabitEthernet0/0/2 ip address 220.10.10.16 255.255.255.0配置 GigabitEthernet 0/0/2 加入 Untrust 区域USG5300 firewall zone untrustUSG5300-zone-untrust add interface GigabitEthernet 0/0/2USG5300-zone-untrust quitDMZ:进入 GigabitEthernet 0/0/3 视图USG5300 interface GigabitEthernet 0/0/3配

7、置 GigabitEthernet 0/0/3 的 IP 地址。USG5300-GigabitEthernet0/0/3 ip address 10.10.11.1 255.255.255.0USG5300 firewall zone dmzUSG5300-zone-untrust add interface GigabitEthernet 0/0/3USG5300-zone-untrust quit1.4防火墙策略本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。域间安全策略就是指不同的区域之间的安全策略。域内安全策略就是指同一个安全区域之间的策略,缺省情况下

8、,同一安全区域内的数据流都 允许通过,域内安全策略没有Inbound和Outbound方向的区分。策略内按照policy的顺序进行匹配,如果policy 0匹配了,就不会检测policy 1 了,和policy 的ID大小没有关系,谁在前就先匹配谁。缺省情况下开放local域到其他任意安全区域的缺省包过滤,方便设备自身的对外访问。其 他接口都没有加安全区域,并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口 加入安全区域,并配置域间安全策略或开放缺省包过滤。安全策略的匹配顺序:域间某个方向的策略视图pohcy interzone trust u nt rust (inbound | ou

9、tboundPoliCyO: polity SOufM- Wg自-醐policy destination destinabon-adaress policy service service-set ieifwc-e-sefpolicy time-rangek t r v ii n虬配条件Naction ( permit | defy)IPS, AV哥UTM谜略(actionApermit).1匹配顺序1Policyl:阿啊的N个匹配条件 action permit | dery IPS. AM笃 UTM策略 taction为permit)PolicyN: policy的N个BE配条件 acti

10、on permit | dery IPS. AV饼UTM策略(action为permit)域间缺省包过渡爆则(firewall packet-filter defauft)每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。匹配条件安全策略可以指定多种匹配条件,报文必须同时满足所有条件才会匹配上策略。 比如如下策略policy 1policy service service-set dnspolicy destination 221.2.219.123 0policy source 192.168.10.1在这里policy service的端口 53就是指的是221.2.219.12

11、3的53号端口,可以说是目的地址 的53号端口。域间可以应用多条安全策略,按照策略列表的顺序从上到下匹配。只要匹配到一条策略就不 再继续匹配剩下的策略。如果安全策略不是以自动排序方式配置的,策略的优先级按照配置 顺序进行排列,越先配置的策略,优先级越高,越先匹配报文。但是也可以手工调整策略之 间的优先级。缺省情况下,安全策略就不是以自动排序方式。如果安全策略是以自动排序方式 配置的,策略的优先级按照策略ID的大小进行排列,策略ID越小,优先级越高,越先匹 配报文。此时,策略之间的优先级关系不可调整。policy create-mode auto-sort enable命令用 来开启安全策略自动

12、排序功能,默认是关闭的。如果没有匹配到安全策略,将按缺省包过滤的动作进行处理,所以在配置具体安全策略时要 注意与缺省包过滤的关系。例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤, 将造成那些没有匹配到安全策略的流量也会通过,就失去配置安全策略的意义了。同样,如果安全策略中只配置了需要拒绝的流量,其他流量都是允许通过的,这时需要开放 缺省包过滤才能实现需求,否则会造成所有流量都不能通过。执行命令display this查看当前已有的安全策略,策略显示的顺序就是策略的匹配顺序,越前边 的优先级越高执行命令 policy movepolicy-idl before | after polic

13、y-id2,调整策略优先级。UTM策略安全策略中除了基本的包过滤功能,还可以引用IPS、AV、应用控制等UTM策略进行进一 步的应用层检测。但前提是匹配到控制动作为permit的流量才能进行UTM处理,如果匹配 到deny直接丢弃报文。安全策略的应用方向域间的Inbound和Outbound方向上都可以应用安全策略,需要根据会话的方向合理应用。因为 USG是基于会话的安全策略,只对同一会话的首包检测,后续包直接按照首包的动作进行处理。 所以对同一条会话来说只需要在首包的发起方向上,也就是访问发起的方向上应用安全策略。Outbound policy source 10JJ.1 0F Mi IM

14、MT T - TrustUntrusl访M发起方向10 11 124(会话万向)Server如上图所示,Trust域的PC访问Untrust域的Server,只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC访问Server即可,对于Server回应PC的应答报文会命中首包建立的会 话而允许通过。1.4.1 Trust和Untrust域间:允许内网用户访问公网策略一般都是优先级高的在前,优先级低的在后。policy 1:允许源地址为10.10.10.0/24的网段的报文通过配置Trust和Untrust域间出方向的防火墙策略。/如果不加policy source就是

15、指any,如 果不加policy destination目的地址就是指any。USG5300 policy interzone trust untrust outbound USG5300-policy-interzone-trust-untrust-outbound policy 1 USG5300-policy-interzone-trust-untrust-outbound-1 policy source 10.10.10.0 0.0.0.255 USG5300-policy-interzone-trust-untrust-outbound-1 action permit USG5300-policy-interzone-trust-untrust-outbound-1 quit如果是允许所有的内网地址上公网可以用以下命令:USG2100firewall packet-fil

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号