2021华为防火墙配置手册.docx

《2021华为防火墙配置手册.docx》由会员分享，可在线阅读，更多相关《2021华为防火墙配置手册.docx（37页珍藏版）》请在课桌文档上搜索。

1、华为防火墙配置手册1命令行界面密码：Admin123web-manaqerenable开启Web界面管2Web界面：默认adminAdmin123192.168.0.1Q。证书错Cg192.168.0.1HuaweiUSG6000V1语言 用户名密码3区域默认区域:trustuntrustdmzlocalfirewallzonetrust允许接口被Ping:intgi1/0/0service-managepingpermit配置安全策略：IoCaLanysecurity-policyrulenameIocaLanysource-zonelocaldestination-zoneanyactio

2、npermitHuaweiUSG6000V1当前用户：三gbsae哂台百板刖礴In安全会降ID安策叫廓NAT策略靛豳务若负戮均衢。早常览管理。安全防护ASPFKS安潮筋棒新建,聆修蟠全第名称名称IeCaLany源安全区域目的安全区域default源地址/地区目的地址/地区脓务应用时间段晞内音安全反病入醐御记录策略命中日志启用4向导配置1配S基本信息KsW甑媵口2配置系统时间清酉?置局域网接口的网络信息13选择接入互联网方式建议您使用私网地址（例如:10.0.0.1192.168.0.1)。如没有特殊需求，可直接使用以下默认参数。4配餐接入互联喇LAN接口GE1(X0-IP地址192.168.1

3、.1配SJ即飒接口子网推码255.2552550*KgWWCP 畸启用局域网DHCP飓务请输入为局域网网络设备分酉!的IP地址段。起始IP结束IP配股局域网DHCP账务1配S基本信息2配置系统时间3选择接入互联网方式4配S接5联播数5口核对配置信息InternetOutside上网接口: GE1WIP地址:202.1 1.1子网掏码:255255.255.0默认网关:2021.1.2苜选 DNS 服芬努.114.114.114.114爸用DNS服务器:8.8.881配S基本雕2配置系细4间3选择接入互联网方式4配S接入5联播数5口6配股后蛔DHCP服务核对配费信息1.AN接口GEl/0/0IP

4、地址：19216811子网搐码:255255.2550启用局域网DHCP服务禁用Inslde下一次登录不再显F上一步应用取消向导配置的参数：区域规划接口ip地址指向运营商的缺省路由基于源地址转换的NAT将默认的安全策略改为放行缺省路由器配置：iproute-s0.0.0.00202.1.1.2.HuaweiUSG6000V1IS67要昌HUAWCI对象配置默认优先级向接口口接口对与安全区域。嗯DNS国DHCP联智善。路由智镜选路虚拟路由第IpVM大认优先级60IPv6默认优先级SSrip及OSPF星BGP国动态路由囱空表令路由表IPSecQwL2TPL2TPoverIPSec(U0GREDpu

5、blic60应用静态路由列表+器建IC删除第nat配置nat-policyrulenametrustJSPsource-zonetrustegress-interfaceGigabitEthernetl/0/2actionnateasy-ipHuawei3ClUSG6000V1mea-当前用户：adma鼠安全策将a安全策略W咐NAT策BgEnat瓶时者映射篁赧务器负数均衡3解帚於管理安全防沪港ASPFKS源NATNAT地址池源NATW阳修改敏A1三名讣trst-ISP功熊介绍名称描述源安全区域default目的类”二转换前转换后转换方式Q)将默认的安全策略改为放行security-policy

6、defaultactionpermitHuaweiMUAWeUSG60V1Ii日自;盘宴面板监控第Ig对象网络系统埠平全策略境安全策嚼的NAT策略JWXT厩服务团映射霞服务器负载均衡号带宽管理安全防护即ASPFaes安全第够俵骸建IC股名称修改安全第名称描述源安全区域目的安全区域源地址/地区，？，目的地址/地区膨务应用时间段动作记录策略命中日志记录会活日志启用禁止5防火墙转发原理路由器：开启telnetuser-interfacevtyO4authentication-modepassworduserprivilegelevel3setauthenticationpasswordsimple1

7、23disusersUser-IntfDelayTypeNetworkAddressAuthenStatus0CON000:04:21Username:Unspecified+34VTY000:00:00TEL192.168.1.2passUsername:Unspecified基于会话（状态）session的转发。首包：建立会话的过程去包回包：基于会话回包会话表项Host“2.168工工：RewServer命中会话表该报文通过Client少Server源/P地址源端口目的/P地址目的端口协议192.268工工2000023TCPServerClient源/P地址源端口目的/P地址目的端口协议

8、232DOOOTCPSession:TCP1.1:2-00001.LL1:23disfirewallsessiontable查看防火墙会话表disfirewallsessiontableCurrentTotalSessions:4telnetVPN:publicpublicnetbios-nameVPN:defaulttcpVPN:default-defaulttcpVPN:defaultdefault192.168.1.2:54778172.16.1.2:23default192.168.0.66:137192.168.0.192.168.0.66:54571192.168.0.1:8443

9、192.168.0.66:54581192.168.0.1:8443放行由trust到dmz的流量security-policyrulenametrustedmzsource-zonetrustdestination-zonedmzactionpermit更加精细化控制：security-policyrulenametrustedmzsource-zonetrustdestination-zonedmzsource-address192.168.1.024destination-address172.16.1.232servicetelnetserviceicmpactionpermitHua

10、weiUSG6000V1IS67 据当前用FMUAWCI修改安嚏笫咯 陶NAT策略冢蜃费器负载均衙 号常提管理 。安全防护郎 ASpFwS名称描述源安全区域目的安全区域通地址/地区 目的地址/地区 服务应用trsl-dm2策品如果配置应用，会自动开启SA识别功能。功影开启 后，会导致设备性能跟怅。多选多诩修逾多海时同段动作any允许Zl禁止启用启用内容安全皮病毒-NONE-回11e三l入侵防御一NONE-回冏司记录策略命中日志记录会话日志秒会话老化时间、3、*6常见安全策略HuaweiHUAWflUSG60V1l三g3AS当前用户之11三睇：ISS融诋前神O0安全藁BS咫安全策期町NATmre

11、安全笫尉悚就建M制除H复制，移动画播入Ia导出啊!有除全部命中次数口启用R禁用固脸制D次图务25负载均衡华刷新酒新人警船名法D早帚览首理安全防沪ASPFfie三名稀源安全目的安源龙t地区目的岩北/地区艰夯应用时回收动作rst.yanyanyanyany允许UntrUStjtazuntrustdmzanyanyanyanydefaultanyanyanyanyanyanyany禁止7源NAT转换11HuaweiUSG6OV1IS自据要系统修改源NAT国安全策略 后安全策略际NAT策略厩 XNAT明服务器映射 g服势器负戟均衡 带宽管理 。安全防护 播 ASPF02【功能介绍】名称相述源安全区域目

12、的类型I转换前转推后转换方式8端口映射(atserver)0.66将内网地址172.16.1.2的23端口映射成公网地202.1.1.1的23端口。*Huawei*CZl一，USG60V1黑IHJWIBJjc自;提宴对象网络系统鼠安全策昭 匾安全蒙昭的 NATggBS服务翻射列表新建刷除苧复制，名称公网地址私网他批协议公网曜口.JK务器唳射 a服鑫善负我加 带宽菅理 二安全防护 群 ASPFaas/ aa202.1.1.1172.1612TCP23修训艮确定注意：如果想检测由防火墙到服务器的连通性,需放行IoCa侄Udmz的流量。 m序复制名秣公网也址aa20Z1.1.1私网地址172.16.

13、1.2悔议公理抬网国口当时状态TCP2323已连通：诊融0勤利欹1百辎人要查询R柒存或地址a宜设金清除查询IS自盘要当前用户：admin接交保存翠助关于修改空码注销ass对象限宛濒射歹俵202.1.1.1telnetTrying202.1.1.1PressCTRL+KtoabortConnectedto202.1.1.11.oginauthenticationPassword:Info:ThemaxnumberofVTYusersis10zancofcurrentVTYusersonlineis1.Thecurrentlogintimeis2017-12-161命令行：natserveraa0

14、zoneuntrustprotocoltcpglobal202.1.1.123inside172.16.1.223no-reverse9SSH远程管理防火墙FWrsalocal-key-paircreate产生用于加密的密钥对intgi1/0/0service-managesshpermituser-interfacevty04authentication-modeaaaprotocolinboundsshaaamanager-userxiaogepasswordcipherXiaogel23service-typesshlevel15防火墙需开启ssh服务并指定用户名和密码Stelnetse

15、rverenablesshuserxiaogesshuserxiaogeauthentication-typepasswordsshuserxiaogeservice-typeStelnet客户端路由器：Stelnet192.168.1.1首次登录必须重新更改密码，且要符合复杂度要求例如CCNPal234,且不能使用历史密码。更改密码后会被踢出然后重新登录。注意1:ssh只能使用用户名和密码的方式登录。注意2:配置用户名和密码时千万不要加空格再回车。10允许防火墙对tracert路径探测回显tracertx.x.x.x用于探测去往某目标经过的三层设备的个数。tracert原理：发送探测报文tt

16、l=l（第一跳）ttl=2（第二跳）。依次类推，当中间的三层设备收到壮1值等于1的报文时认为发生环路，报文无法继续转发。并回馈一个icmp的报文通知源端。探测报文OOOOO192.168.1.38.8.8.8UDP56000192.168.1.38.8.8.8Source port: 30005 DUDPSOUrCe port: 30005 D(ytes CaPtUreitsEthernetII,Src:HuaweiTe_c7:27:84(54:89:98:c7:27:84),Dst:HuaweiTe_b8:3d:01(00:eInternetProtocol,Src:192,168.1.3(

17、192.168.1.3),Dst:8.8.8.8(8.8.8.8)Version:4Headerlength:20bytessiDifferentiatedServicesField:0x00(DSCP0x00:Default;ECN:0x00)TotalLength:40Identification:0x7535(30005)田Flags:0x00FrngmpnTCffVa十：I*Timetolive:1Protocol:Ubr5(1JBHeaderchecksum:072d5correctSource:192.168.1.3(192.168.1.3)Destination:8.8.8.8(

18、8.8.8.8)*UserDatagramProtocol,SrcPort:30005(30005),DstPort:traceroute(33434)Data(12bytes)Frame6:60bytesonwire(480bits),60bytescaptured(480bits)EthernetII,Src:HuaweiTe_c7:27:84(54:89:98:c7:27:84),Dst:HuaweiTe_b8:3d:01(00:e0:fcInternetProtocol,Src:192.168.1.3(192.168.1.3),Dst:8.8.8.8(8.8.8.8)Version:4

19、Headerlength:20bytes三DifferentiatedServicesField:0x00(DSCP0x00:Default;ECN:0x00)TotalLength:40Identification:0x7539(30009)三Flags:0x00Fraamentoffset:.0Timetolive:2Protocol：UDFi(.1/)aHeaderchecksum:0x71dlcorrectSource:192.168.1.3(192.168.1.3)Destination:8.8.8.8(8.8.8.8)UserDatagramProtocol,SrcPort:300

20、05(30005),DstPort:33438(33438)Data(12bytes)路由器回显报文：SourceDestinationProtocolInfo771000192.168.1.38.8.8.8UDPSourceoort:30005_Desti7870001 202.1.1.2192.168.1.3CMPl Destination UnreaChabl引818000z.ib.x.5o.o.o.ourSourceport:5OUU!DestlFrame5:70bytesonwire(560bits),70bytescaptured(560bits)UEthernetII,Src:H

21、uaweiTe_b8:3d:01(00:eO:fc:b8:3d:01),Dst:HUaWeiTe_c7:27:84(54:89:9WinternetProtocol,Src:202.1.1.2(202.1.1.2),Dst:192.168.1.3(192.168.1.3)InternetControlMessageProtocol注意：防火墙为了安全起见（不暴露自己的ip地址），默认情况下不处理ttl=I的探测报文，收到该报文后直接丢弃;且不会回应。因此tracer1时，会有*出现是多数是防火墙。配置防火墙允许tracer1回显：icmpttl-exceededsend11将防火墙配置成透明交

22、换机PClEthernet 0/0/11GE 0/0/0PC2GE 1/0/0GE 1/0/1Ethernet 0/0/0面Temet 0/0/1192.168.1.2/24192.168.1.5/24FW:intgi1/0/0portswitch将防火墙接口配置为交换机接口portlink-typeaccess路由器telnet不认证登陆:user-interfacevty04authentication-modenoneuserprivilegelevel3I向接口 1息接口对安全区域嗯IDNSUSi DHCP股务器G路由 IPSec-4L2TP L2TP over IPSec 0-0 G

23、REHuaweiHiy USG6000V112在防火墙上面配置Vlanvlan10intgi1/0/0portswitch将防火墙接口配置为交换机接口portlink-typeaccessportdefaultvlan10FWPortdis port vlanLink TypePVIDaccess10access1GigabitEthernetl/0/0GigabitEthernetlZO/1FW1接口列旅接口名称安全区域P*t连搔类型VLAN模式ffi000(ffi0MOfT)trustAdefault)192.168.0.1静态IP(IPv静态IPqPVI路由GE1/O/Otrust.国p

24、ublic)Accesl交换GE1/O/1trust(Opublic)IAccess10I交换GEI/0/2-NONE-(三public)静态IP(IFV静态IP(IPVl路由由/0/3-NOXE-public)一玲态IP(IPv薛态IP(IPVl路由GE1/0/4-NONE-(三public)一静态IP(Ipv静态IP(IPVI路由GFi/n/S园LH一ggP(PvSS由“刷颖接口名称新建M删除将接口划分到不同的安全区域以实现精细化的管控：网禁止例如:只允许trust1trust2telnet流量修改安渊名称描述源安全区域目的安全区域源地址/地区.目的地址/地区服务应用时间段动作13将防火墙

25、配置成三层核心交换机PClithemet0/0/1vlanlGE1/0/0FWIGE0/0/0192.168.1.2/24trustlEthernet0Zlswlvlanl0PC2emet0C,1Ethernet00GE1/0/1/jGE/0/2met0/0/1sw2192.168.1.5/24EtherXet0/0/1/0/2Ethemaq/0/1,trust2vlanl5192.168.15.Xvlan25192.168.25.Xvlanl0192.168.1.x*HuaweiHUAW1USG6000V1对领当的用户：admin提JHlGI掩口对安全区域0%DNSDHCP服第S口。路由 0

26、(IPSec mL2TPKL2TPoverIPSecOJGRE*Huawei-USG6000V1IS自7盘要当时用户：WMUAWtIUWU=IfiJ 接口 口接口对安全区域TJTno恒DHCP飓务器1 Q路由 IPSecOjw,L2TP喻 L2TP over IPSec 0-9 GRE名祢优先级接口数local1000trust852untrust50An.500trust1111trust2121匚 trust3141trust4151Csvi II1II1新建删除0BOG.接口对安全区域接口夕侬软邃捌除剧新报口名弥E3青DNSE西DHCP服务Sg路由C髓IPSeCDL2TP播口名祢安全区域

27、Ip地址连福类型VlAN模式GEOOO(GEOMf)trustdefault)1l懿混牖路由GE1OOtrust1(!3public)Access10交换GE1O1UrUSt2(23public)Access10交换L2TPoverIPSecMGREGE1O2trust3(国public)Tnmk15,25交换GE1O3trusM(翦public)Tnmk10交换GE1O4-NO?!-(黜public)_詈弱牖路由M*rwrvPHuaweiUSG6000V1IS自a-据要HUAW1 Huaweimuawci USG6000V1后 日 自专 盘 要面板 案 策崎 对象 网络 检Ifil 接口口接

28、口对安全区域。曜 DNSCJ匮DHCP服务者Qe路由 IPSecL2TP L2TP over IPSec 口 J GRE接口另放新建X删赊励刷款接口名称V接口名称安全区域IP地址连接类型VLANGEOOO(GEOMQ()trust ( default)192.168.0.1静态IP(IPV 铮态IPjlWGE1/O/Otrustl(S3 public)Access 101/0/1rust2( public)Access 10GE1/0/2trust3( public)Truzik15t 25GE1/0/3rust4( public)Trunk10GE1/0/4ToNE-趣 public)二铮态

29、 IP(IPv 母态IP。GE1/0/5ToNE-园 public)管态 IP(IPv 脩阖P(RiGE1/0/6-NOXE-(3 public)静态IP(IPV 音态 IP(IPvlVirtaal-ifO-NONE-(国 public)I vlanlsvil(圄 public)192.168.1.1 I管态 IP(IPVrn 称态IP(I卬wvlanl5trust (回 public)192.168.15.1静态 IP(IPVF静态 IP(IPVl 10静态Ip(IPv 7-铮阖P(Ipvl 20IVlaII25svi2 (l3 public)192.168.25 1 I然后可以基于SVil

30、和svi2两个区域配置精细化的安全管控注意：如果想实现不同Vlan的互访管控，可以将不同的三层SVi接口加入到不同的安全区域，便于配置安全策略。14双机热备基础配置：配置完接口ip防火墙接口已规划区域放行IOCaLto_any防火墙接口都允许ping防火墙vrrp和路由器的不同：防火墙vrrp需要解决的两个问题：多个vrrp组同时切换（VGMP,不需特殊配置自动加入vgmp组,多个vrrp组要切一起切）安全策略配置和会话状态同步（会话同步HRP）VRRP酉己置:FWl:intgi1/0/0vrrpvrid1virtual-ip192.168.1.1activeintgi1/0/1vrrpvri

31、d2virtual-ip202.1.1.1activeFW2:intgi1/0/0vrrpvrid1virtual-ip192.168.1.1standbyintgi1/0/1vrrpvrid2vritual-ip202.1.1.1standbyHRP配置:FWl:hrpenablehrpinterfacegi1/0/6remote172.16.1.253FW2:hrpenablehrpstandby-devicehrpintgi1/0/6remote172.16.1.254注意：处于standby状态的设备不允许配置安全策略（可以其他的），只允许在主设备配置安全策略，且安全策略会自动同步到备

32、设备上面。主设备配置由trust_toJjntrust放行策略+B表示配置已经同步到备设备上面。FWl:security-policyrulenametrust_to_untrustsource-zonetrustdestination-zoneuntrustactionpermit测试1:RlpingR2通信！可以做冗余性测试！测试2:去掉HRP看看配置安全策略是否还同步（HRP切换需要1分钟时间有standbymaster）测试3:RltelrletR2查看两个FW的会话状态是否都有注意：处于standby状态的设备不允许配置安全策略（可以其他的），只允许在主设备配置安全策略，且安全策略会自动同步到备设备上面。主设备配置由trust_to_untrust放行策略+B表示配置已经同步到备设备上面。FWl:security-policyrulenametrust_to_untrustsource-zonetrustdestination-zoneuntrustactionpermit测试1:RlpingR2通信！可以做冗余性测试！测试2:去掉HRP看看配置安全策略是否还同步（HRP切换需要1分钟时间有standbymaster）测试3:RlteIrletR2查看两个FW的会话状态是否都有15双机热备Web配置图形化配置: