没有合适的资源?快使用搜索试试~ 我知道了~
华为防火墙配置使用手册自己写.docx
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 180 浏览量
2022-01-02
08:33:55
上传
评论
收藏 744KB DOCX 举报
温馨提示
试读
15页
华为防火墙配置使用手册自己写.docx
资源推荐
资源详情
资源评论
防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了dhcp
server,默认用户名为admin,默认密码为Admin@123
一、配置案例
1.1 拓扑图
GE
0/0/1:(DMZ区域)(DMZ区域)
Telnet配置
配置VTY 的优先级为3,基于密码验证。
# 进入系统视图。
<USG5300> system-view
# 进入用户界面视图
[USG5300] user-interface vty 04
# 设置用户界面能够访问的命令级别为level 3
[USG5300-ui-vty0-4] user privilege level 3
配置Password验证
# 配置验证方式为Password验证
[USG5300-ui-vty0-4] authentication-mode password
# 配置验证密码为lantian
[USG5300-ui-vty0-4] set authentication password simple lantian ###最新版本的命令是authentication-mode
password cipher huawei@123
配置空闲断开连接时间
# 设置超时为30分钟
[USG5300-ui-vty0-4] idle-timeout 30
[USG5300] firewall packet-filter default permit interzone untrustlocal direction inbound
//不加这个从公网不能telnet防火墙。
基于用户名和密码验证
user-interface vty 0 4
authentication-mode aaa
aaa
local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!
local-user admin service-type telnet
local-user admin level 3
firewall packet-filter default permit interzone untrustlocal direction inbound
如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了tru
st域到local域的缺省包过滤。
地址配置
内网:
进入GigabitEthernet 0/0/1视图
[USG5300] interface GigabitEthernet 0/0/1
配置GigabitEthernet 0/0/1的IP地址[USG5300-GigabitEthernet0/0/1] ip address .10
配置GigabitEthernet 0/0/1加入Trust区域
[USG5300] firewall zone trust
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1
[USG5300-zone-untrust] quit
外网:
进入GigabitEthernet 0/0/2视图
[USG5300] interface GigabitEthernet 0/0/2
配置GigabitEthernet 0/0/2的IP地址
[USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16
配置GigabitEthernet 0/0/2加入Untrust区域
[USG5300] firewall zone untrust
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2
[USG5300-zone-untrust] quit
DMZ:
进入GigabitEthernet 0/0/3视图
[USG5300] interface GigabitEthernet 0/0/3
配置GigabitEthernet 0/0/3的IP地址。
[USG5300-GigabitEthernet0/0/3] ip address
[USG5300] firewall zone dmz
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3
[USG5300-zone-untrust] quit
1.4 防火墙策略
本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。
域间安全策略就是指不同的区域之间的安全策略。
域内安全策略就是指同一个安全区域之间的策略,缺省情况下,同一安全区域内的数据流都允许通过,域内
安全策略没有Inbound和Outbound方向的区分。
策略内按照policy的顺序进行匹配,如果policy 0匹配了,就不会检测policy
1了,和policy的ID大小没有关系,谁在前就先匹配谁。
缺省情况下开放local域到其他任意安全区域的缺省包过滤,方便设备自身的对外访问。其他接口都没有加安
全区域,并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域,并配置域间安全策
略或开放缺省包过滤。
安全策略的匹配顺序:
每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。
匹配条件
安全策略可以指定多种匹配条件,报文必须同时满足所有条件才会匹配上策略。
比如如下策略
policy 1
policy service service-set dns
policy destination 221.2.219.123 0
在这里policy service的端口53就是的53号端口,可以说是目的地址的53号端口。
域间可以应用多条安全策略,按照策略列表的顺序从上到下匹配。只要匹配到一条策略就不再继续匹配剩下
的策略。如果安全策略不是以自动排序方式配置的,策略的优先级按照配置顺序进行排列,越先配置的策略
,优先级越高,越先匹配报文。但是也可以手工调整策略之间的优先级。缺省情况下,安全策略就不是以自
动排序方式。如果安全策略是以自动排序方式配置的,策略的优先级按照策略ID的大小进行排列,策略ID越
小,优先级越高,越先匹配报文。此时,策略之间的优先级关系不可调整。policy create-mode auto-sort
enable命令用来开启安全策略自动排序功能,默认是关闭的。
如果没有匹配到安全策略,将按缺省包过滤的动作进行处理,所以在配置具体安全策略时要注意与缺省包过
滤的关系。例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤,将造成那些没有匹配到安全策略
的流量也会通过,就失去配置安全策略的意义了。
同样,如果安全策略中只配置了需要拒绝的流量,其他流量都是允许通过的,这时需要开放缺省包过滤才能
实现需求,否则会造成所有流量都不能通过。
执行命令display this查看当前已有的安全策略,策略显示的顺序就是策略的匹配顺序,越前边的优先级越高
执行命令policy movepolicy-id1 { before | after } policy-id2,调整策略优先级。
UTM策略
安全策略中除了基本的包过滤功能,还可以引用IPS、AV、应用控制等UTM策略进行进一步的应用层检测
。但前提是匹配到控制动作为permit的流量才能进行UTM处理,如果匹配到deny直接丢弃报文。
安全策略的应用方向
域间的Inbound和Outbound方向上都可以应用安全策略,需要根据会话的方向合理应用。因为USG是基于会话的安
全策略,只对同一会话的首包检测,后续包直接按照首包的动作进行处理。所以对同一条会话来说只需要在首包
的发起方向上,也就是访问发起的方向上应用安全策略。
如上图所示,Trust域的PC访问Untrust域的Server,只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC
访问Server即可,对于Server回应PC的应答报文会命中首包建立的会话而允许通过。
1.4.1 Trust和Untrust域间:允许内网用户访问公网
策略一般都是优先级高的在前,优先级低的在后。
policy 1:允许源地址为.0/24的网段的报文通过
配置Trust和Untrust域间出方向的防火墙策略。 //如果不加policy
source就是指any,如果不加policydestination目的地址就是指any。
[USG5300] policy interzone trust untrust outbound
[USG5300-policy-interzone-trust-untrust-outbound] policy 1
[USG5300-policy-interzone-trust-untrust-outbound-1] policy source .0 .255
[USG5300-policy-interzone-trust-untrust-outbound-1] action permit
[USG5300-policy-interzone-trust-untrust-outbound-1] quit
如果是允许所有的内网地址上公网可以用以下命令:
[USG2100]firewall packet-filter default permit interzone trust untrust directionoutbound
//必须添加这条命令,或者firewall packet-filter default permit all,但是这样不安全。否则内网不能访问公网。
注意:由优先级高访问优先级低的区域用outbound,比如policy interzone trust untrust
outbound。这时候policy source
ip地址
,就是指的优先级高的地址,即trust地址,destination地址就是指的untrust地址。只要是outboun
d,即使配置成policy interzone untrust trust outbound也会变成policy interzone trust untrust
outbound。
由优先级低的区域访问优先级高的区域用inbound,比如是policy interzone untrust trust
inbound,为了保持优先级高的区域在前,优先级低的区域在后,命令会自动变成policy interzone trust
untrust inbound,这时候policy source
ip地址
,就是指的优先级低的地址,即untrust地址,destination地址就是指的优先级高的地址,即trust
地址。
总结:outbount时,source地址为优先级高的地址,destination地址为优先级低的地址。inbount时,sou
rce地址为优先级低的地址,destination地址为优先级高的地址
配置完成后可以使用display policy interzone trust untrust来查看策略。
1.4.2 DMZ和Untrust域间:从公网访问内部服务器
policy 2:允许目的地址为10.10.11.2,目的端口为21的报文通过
policy 3:允许目的地址为10.10.11.3,目的端口为8080的报文通过
配置Untrust到DMZ域间入方向的防火墙策略,即从公网访问内网服务器
只需要允许访问内网ip地址即可,不需要配置访问公网的ip地址。
注意:在域间策略里匹配的顺序和policy的数字没有关系,他是从前往后检查,如果前一个匹配就不检查下
一条了,假如先写的policy 3后写的policy 2,那么就先执行policy 3里的语句,如果policy 3里和policy
2里有相同的地址,只要上一个匹配了就不执行下一个一样的地址了。
举例说明:policy 2里允许192.168.0.1通过,policy
3里拒绝192.168.0.1通过,哪个policy先写的就执行哪个。
[USG5300] policy interzone untrust dmz inbound
[USG5300-policy-interzone-dmz-untrust-inbound] policy 2
[USG5300-policy-interzone-dmz-untrust-inbound-2] policy destination .3 0
[USG5300-policy-interzone-dmz-untrust-inbound-2] policy service service-set ftp
[USG5300-policy-interzone-dmz-untrust-inbound-2] action permit
[USG5300-policy-interzone-dmz-untrust-inbound-2] quit
[USG5300-policy-interzone-dmz-untrust-inbound] policy 3
[USG5300-policy-interzone-dmz-untrust-inbound-3] policy destination .2 0
[USG5300-policy-interzone-dmz-untrust-inbound-3] policy service service-set http
[USG5300-policy-interzone-dmz-untrust-inbound-3] action permit
[USG5300-policy-interzone-dmz-untrust-inbound-3] quit
[USG5300-policy-interzone-dmz-untrust-inbound] quit
应用FTP的NAT ALG功能。
[USG5300] firewall interzone dmz untrust ###优先级高的区域在前[USG5300-interzone-dmz-untrust] detect
ftp
[USG5300-interzone-dmz-untrust]
quit在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、SQL.N
ET、NETBIOS、MMS等协议的会话时,需要在域间启动ALG功能
配置NAT
ALG功能与配置应用层包过滤(ASPF)功能使用的是同一条命令。所以如果已经在域间配置过ASPF功能的
话,可以不需要再重复配置NAT ALG功能。
两者的区别在于:
ASPF功能的目的是识别多通道协议,并自动为其开放相应的包过滤策略。
NAT ALG功能的目的是识别多通道协议,并自动转换报文载荷中的IP地址和端口信息。
在域间执行detect命令,将同时开启两个功能。
配置内部服务器:
<USG5300> system-view
[USG5300] natserver protocol tcp global 220.10.10.16 8080 inside .2 www
[USG5300] natserver protocol tcp global 220 ftp inside .3 ftp
1.4.3 NAT策略
Trust和Untrust域间: 如果是同一个区域,比如trust到trust就是域内。
基于源IP地址转换方向
Outbound方向:数据包从高安全级别流向低安全级别
Inbound方向:数据包从低安全级别流向高安全级别
高优先级与低优先级是相对的
根据基于源IP地址端口是否转换分为no-pat方式和napt方式。
No-PAT方式:用于一对一IP地址转换,不涉及端口转换
NAPT方式:用于多对一或多对多IP地址转换,涉及端口转换
1、通过地址池的方式
policy 1:允许网段为.0/24的内网用户访问Internet时进行源地址转换,采用公网地址池的形式。
配置地址池
[USG5300]220.10.10.20
配置Trust和Untrust域间出方向的策略
[USG5300] nat-policy interzone trust untrust outbound
[USG5300--policy-interzone-trust-untrust-outbound] policy 1
[USG5300- nat-policy -interzone-trust-untrust-outbound-1] policy source .0 .255
[USG5300- nat-policy -interzone-trust-untrust-outbound-1] action source-nat
[USG5300- nat -policy-interzone-trust-untrust-outbound-1] address-group 1 [no pat]
如果是基于外网接口的nat转换可以不用配置地址池,直接在nat-policy interzone trust untrust
outbound里配置eary-ip
外网接口
这里的policy source指的是trust地址,nat转换成untrust地址,如果是nat-policy interzone trust untrust
剩余14页未读,继续阅读
资源评论
yingyingyiwan
- 粉丝: 0
- 资源: 12万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功