《防火墙配置常用命令》由会员分享,可在线阅读,更多相关《防火墙配置常用命令(5页珍藏版)》请在金锄头文库上搜索。
1、防火墙配置常用命令firewall zone n ame userz one创建一个安全区域,进一个已建立 的安全区域视图时不需要用关键字。set priority 60设置优先级add in terface GigabitEther net0/0/1 把接口添加进区域 dis zone userzo ne显示区域配置信息FWpolicy interzone trust untrust outboundFW-policy-interzone-trust-untrust-outboundpolicy 1firewall defend ip-sweep enablefirewall defend
2、ip-sweep max-rate 1000firewall blacklist enableSRGfirewall defend ip-sweep blacklist-timeout 20firewall mac-bi nding en able MAC 地址绑定配置firewall mac-binding 202.169.168.2 00e0-fc00-0100FW2firewall zone untrustFW2-zone-untrustadd interface g0/0/0FW2firewall packet-filter default permit interzone trust
3、 untrustFW2firewall packet-filter default permit interzone local untrustIPSec相关配置: 先配置ACL : acl number 3000rule 5 permit ip source 10.0.100.0 0.0.0.255 destination 10.0.200.0 0.0.0.2551配置安全提议,封闭使用隧道模式,ESP协议,ESP使用DES 加密算法,完整性验证使用SHA1算法。FW1ipsec proposal tran1 encapsulation-mode tunnel transform espes
4、p authentication-algorithm sha1esp encryption-algorithm des2、配置IKE安全提议FW1ike proposal 10 authentication-algorithm sha1 encryption-algorithm des3、配置IKE对等体,使用IKEV2协商方式。 FW1ike peer fw12 对方可以取名 fw21。 ike-proposal 10remote-address 10.0.20.2 pre-shared-key abcde4、配置安全策略FW1ipsec policy map1 10 isakmp secu
5、rity acl 3000proposal tran1ike-peer fw12如果要针对源IP设置安全策略,则该IP应该是做源NAT转换前 的 IP配置安全策略FWpolicy interzone trust untrust outboundFW-policy-interzone-trust-untrust-outboundpolicy 1FW-policy-interzone-trust-untrust-outboundaction permitFW-policy-interzone-trust-untrust-outboundpolicy source 192.168.0.0 0.0.0
6、.255port-mapping ftp port 803 acl 2010 端口映射,把 FTP 映射为 803。interzone dmz untrustdetect ftp与IDS联运配置firewall ids authentication type md5 key huawei123firewall ids server 192.168.10.10firewall ids port 3000firewall ids enable负载均衡slb enableslbrserver 1 rip 10.1.1.3rserver 2 rip 10.1.1.4SRGfirewall packet
7、-filter default permit interzone local dmz direction outbound允许健康检查报文在防火墙Localt和DMZ域间 出方向流动。group kdkdmetric weightrr加权轮询算法。addrserver 1addrserver 4addrserver 5vserver huawei vip 202.101.224.21 group kdkdNAT配置nat address-group 1 202.38.160.1 202.38.160.4 SRGnat-policy interzone untrust trust inbound
8、 policy 1action source-natpolicy source 10.1.1.1address-group 1 n o-pat /吏用地址池 1 做 NAT No-PAT 转换配置 easy-ipnat-policy interzone trust untrust outbound policy 1action source-nat source-address 192.168.0.0 0.0.0.255easy-ip GigabitEthernet0/0/3 /源 NAT 转换后的公网 IP 为接 口 GE0/0/3 的 IP配置 Smart NAT#nat address-
9、group 1mode no-pat /模式要选择 no-patsmart-nopat 30.1.1.21 /预留一个 IP 做 NAPTsection 1 30.1.1.20 30.1.1.20 /section 中不能包含预留 IP !#policy interzone trust untrust outbound policy 1action permitpolicy source 10.1.1.0 0.0.0.255policy source 20.1.1.0 0.0.0.255nat-policy interzone trust untrust outbound policy 1ac
10、tion source-nat address-group 1policy source 10.1.1.0 0.0.0.255policy source 20.1.1.0 0.0.0.255端口映射nat server protocol tcp global 202.101.1.241 ftp inside 10.234.232.4 ftpfirewall defe nd smurf en able 启动 Smurf 防攻击功能(ICMP)。firewall defend fraggle enable 启动 fraggle 防攻击功能(UDP1 或19端口) 。firewall defend
11、land enable 源地址和目的地址相同或源地址为 环回地址(127.0.0.1)。防火墙作为出口网关,双出口、双 ISP 接入公网时,配置 NAT Server 通常需要一分为二,让一个私网服务器向两个 ISP 发布两个不同的公网地址供访问。 一分为二的方法有两种:第一种是将接入不同 ISP 的公网接口规划在不同的安全区域中, 配置NAT Server时,带上zone 参数,使同一个服务器向不同安全区域发布不同的公网地址FW nat server zone untrust1 protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80FW nat
12、 server zone untrust2 protocol tcp global 2.2.2.2 9980 inside 10.1.1.2 80第二种是将接入不同 ISP 的公网接口规划在同一个安全区域中, 配置NAT Server时,带上no-reverse 参数,使同一个服务器向同一个安全区域发布两个不 同的公网地址。FW nat server protocol tcp global 1.1.1.1 9980 inside10.1.1.2 80 no-reverseFW nat server protocol tcp global 2.2.2.2 9980 inside10.1.1.2 80 no-reverseFW1 nat server protocol tcp global 1.1.1.1 9980 inside10.1.1.2 80 vrrp 1解决配了双机热备防火墙1P地址冲突的问题
