华为防火墙配置利用手册自己写.docx

华为防火墙配置利用手册自己写.docx

《华为防火墙配置利用手册自己写.docx》由会员分享，可在线阅读，更多相关《华为防火墙配置利用手册自己写.docx（32页珍藏版）》请在冰点文库上搜索。

华为防火墙配置利用手册自己写

华为防火墙配置利用手册

防火墙默许的治理接口为g0/0/0，默许的ip地址为，默许g0/0/0接口开启了dhcpserver，默许用户名为admin，默许密码为Admin@123

一、配置案例

拓扑图

GE0/0/1：

.1/24GE0/0/2：

GE0/0/3：

WWW效劳器：

（DMZ区域）FTP效劳器：

（DMZ区域）

Telnet配置

配置VTY的优先级为3，基于密码验证。

#进入系统视图。

system-view

#进入用户界面视图

[USG5300]user-interfacevty04

#设置用户界面能够访问的命令级别为level3

[USG5300-ui-vty0-4]userprivilegelevel3

配置Password验证

#配置验证方式为Password验证

[USG5300-ui-vty0-4]authentication-modepassword

#配置验证密码为lantian

[USG5300-ui-vty0-4]setauthenticationpasswordsimplelantian###最新版本的命令是authentication-modepasswordcipherhuawei@123

配置空闲断开连接时刻

#设置超时为30分钟

[USG5300-ui-vty0-4]idle-timeout30

[USG5300]firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound.10配置GigabitEthernet0/0/1加入Trust区域

[USG5300]firewallzonetrust

[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/1

[USG5300-zone-untrust]quit

外网：

进入GigabitEthernet0/0/2视图

[USG5300]interfaceGigabitEthernet0/0/2

配置GigabitEthernet0/0/2的IP地址

[USG5300-GigabitEthernet0/0/2]ipaddress配置GigabitEthernet0/0/2加入Untrust区域

[USG5300]firewallzoneuntrust

[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/2

[USG5300-zone-untrust]quit

DMZ：

进入GigabitEthernet0/0/3视图

[USG5300]interfaceGigabitEthernet0/0/3

配置GigabitEthernet0/0/3的IP地址。

[USG5300-GigabitEthernet0/0/3]ipaddress.1firewallzonedmz

[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/3

[USG5300-zone-untrust]quit

防火墙策略

本地策略是指与Local平安区域有关的域间平安策略，用于操纵外界与设备本身的互访。

域间平安策略确实是指不同的区域之间的平安策略。

域内平安策略确实是指同一个平安区域之间的策略，缺省情形下，同一平安区域内的数据流都许诺通过，域内平安策略没有Inbound和Outbound方向的区分。

策略内依照policy的顺序进行匹配，若是policy0匹配了，就可不能检测policy1了,和policy的ID大小没有关系，谁在前就先匹配谁。

缺省情形下开放local域到其他任意平安区域的缺省包过滤，方便设备自身的对外访问。

其他接口都没有加平安区域，而且其他域间的缺省包过滤关闭。

要想设备转发流量必需将接口加入平安区域，并配置域间平安策略或开放缺省包过滤。

平安策略的匹配顺序：

每条平安策略中包括匹配条件、操纵动作和UTM等高级平安策略。

匹配条件

平安策略能够指定多种匹配条件，报文必需同时知足所有条件才会匹配上策略。

比如如下策略

policy1

policyserviceservice-setdns

policydestination0

policysource在那个地址policyservice的端口53确实是指的是的53号端口，能够说是目的地址的53号端口。

域间能够应用多条平安策略，依照策略列表的顺序从上到下匹配。

只要匹配到一条策略就再也不继续匹配剩下的策略。

若是平安策略不是以自动排序方式配置的，策略的优先级依照配置顺序进行排列，越先配置的策略，优先级越高，越先匹配报文。

可是也能够手工调整策略之间的优先级。

缺省情形下，平安策略就不是以自动排序方式。

若是平安策略是以自动排序方式配置的，策略的优先级依照策略ID的大小进行排列，策略ID越小，优先级越高，越先匹配报文。

现在，策略之间的优先级关系不可调整。

policycreate-modeauto-sortenable命令用来开启平安策略自动排序功能，默许是关闭的。

若是没有匹配到平安策略，将按缺省包过滤的动作进行处置，因此在配置具体平安策略时要注意与缺省包过滤的关系。

例如平安策略中只许诺某些报文通过可是没有关闭缺省包过滤，将造成那些没有匹配到平安策略的流量也会通过，就失去配置平安策略的意义了。

一样，若是平安策略中只配置了需要拒绝的流量，其他流量都是许诺通过的，这时需要开放缺省包过滤才能实现需求，不然会造成所有流量都不能通过。

执行命令displaythis查看当前已有的平安策略，策略显示的顺序确实是策略的匹配顺序，越前边的优先级越高

执行命令policymovepolicy-id1{before|after}policy-id2，调整策略优先级。

UTM策略

平安策略中除大体的包过滤功能，还能够引用IPS、AV、应用操纵等UTM策略进行进一步的应用层检测。

但前提是匹配到操纵动作为permit的流量才能进行UTM处置，若是匹配到deny直接抛弃报文。

平安策略的应用方向

域间的Inbound和Outbound方向上都能够应用平安策略，需要依照会话的方向合理应用。

因为USG是基于会话的平安策略，只对同一会话的首包检测，后续包直接依照首包的动作进行处置。

因此对同一条会话来讲只需要在首包的发起方向上，也确实是访问发起的方向上应用平安策略。

如上图所示，Trust域的PC访问Untrust域的Server，只需要在Trust到Untrust的Outbound方向上应用平安策略许诺PC访问Server即可，关于Server回应PC的应答报文会命中首包成立的会话而许诺通过。

Trust和Untrust域间：

许诺内网用户访问公网

策略一样都是优先级高的在前，优先级低的在后。

policy1：

许诺源地址为.0/24的网段的报文通过

配置Trust和Untrust域间出方向的防火墙策略。

.255

[USG5300-policy-interzone-trust-untrust-outbound-1]actionpermit

[USG5300-policy-interzone-trust-untrust-outbound-1]quit

若是是许诺所有的内网地址上公网能够用以下命令：

[USG2100]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound10.10.11，目的端口为21的报文通过

policy3：

许诺目的地址为10.10.11.3，目的端口为8080的报文通过

配置Untrust到DMZ域间入方向的防火墙策略，即从公网访问内网效劳器

只需要许诺访问内网ip地址即可，不需要配置访问公网的ip地址。

注意：

在域间策略里匹配的顺序和policy的数字没有关系，他是之前去后检查，若是前一个匹配就不检查下一条了，假设先写的policy3后写的policy2，那么就先执行policy3里的语句，若是policy3里和policy2里有相同的地址，只要上一个匹配了就不执行下一个一样的地址了。

举例说明：

policy2里许诺通过，policy3里拒绝通过，哪个policy先写的就执行哪个。

[USG5300]policyinterzoneuntrustdmzinbound

[USG5300-policy-interzone-dmz-untrust-inbound]policy2

[USG5300-policy-interzone-dmz-untrust-inbound-2]policydestination.30

[USG5300-policy-interzone-dmz-untrust-inbound-2]policyserviceservice-setftp

[USG5300-policy-interzone-dmz-untrust-inbound-2]actionpermit

[USG5300-policy-interzone-dmz-untrust-inbound-2]quit

[USG5300-policy-interzone-dmz-untrust-inbound]policy3

[USG5300-policy-interzone-dmz-untrust-inbound-3]policydestination.20

[USG5300-policy-interzone-dmz-untrust-inbound-3]policyserviceservice-sethttp

[USG5300-policy-interzone-dmz-untrust-inbound-3]actionpermit

[USG5300-policy-interzone-dmz-untrust-inbound-3]quit

[USG5300-policy-interzone-dmz-untrust-inbound]quit

应用FTP的NATALG功能。

[USG5300]firewallinterzonedmzuntrust###优先级高的区域在前[USG5300-interzone-dmz-untrust]detectftp[USG5300-interzone-dmz-untrust]quit在USG5300支持FTP、HTTP、、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、、NETBIOS、MMS等协议的会话时，需要在域间启动ALG功能

配置NATALG功能与配置应用层包过滤（ASPF）功能利用的是同一条命令。

因此若是已经在域间配置过ASPF功能的话，能够不需要再重复配置NATALG功能。

二者的区别在于：

●ASPF功能的目的是识别多通道协议，并自动为其开放相应的包过滤策略。

●NATALG功能的目的是识别多通道协议，并自动转换报文载荷中的IP地址和端口信息。

在域间执行detect命令，将同时开启两个功能。

配置内部效劳器：

system-view

[USG5300]natserverprotocoltcpglobal8080inside.2www

[USG5300]natserverprotocoltcpglobalftpinside.3ftp

NAT策略

Trust和Untrust域间：

若是是同一个区域，比如trust到trust确实是域内。

基于源IP地址转换方向

Outbound方向：

数据包从高平安级别流向低平安级别

Inbound方向：

数据包从低平安级别流向高平安级别

高优先级与低优先级是相对的

依照基于源IP地址端口是不是转换分为no-pat方式和napt方式。

No-PAT方式：

用于一对一IP地址转换，不涉及端口转换

NAPT方式：

用于多对一或多对多IP地址转换，涉及端口转换

一、通过地址池的方式

policy1：

许诺网段为.0/24的内网用户访问Internet时进行源地址转换,采纳公网地址池的形式。

配置地址池

[USG5300]nataddress-group1配置Trust和Untrust域间出方向的策略

[USG5300]nat-policyinterzonetrustuntrustoutbound

[USG5300--policy-interzone-trust-untrust-outbound]policy1

[USG5300-nat-policy-interzone-trust-untrust-outbound-1]policysource.0.255

[USG5300-nat-policy-interzone-trust-untrust-outbound-1]actionsource-nat

[USG5300-nat-policy-interzone-trust-untrust-outbound-1]address-group1[nopat]

若是是基于外网接口的nat转换能够不用配置地址池，直接在nat-policyinterzonetrustuntrustoutbound里配置eary-ip外网接口

那个地址的policysource指的是trust地址，nat转换成untrust地址，若是是nat-policyinterzonetrustuntrustinbound，源地址确实是指untrust地址，转换成trust地址。

二、通过公网接口的方式

创建Trust区域和Untrust区域之间的NAT策略，确信进行NAT转换的源地址范围网段，而且将其与外网接口GigabitEthernet0/0/4进行绑定。

[USG]nat-policyinterzonetrustuntrustoutbound

[USG-nat-policy-interzone-trust-untrust-outbound]policy0

[USG-nat-policy-interzone-trust-untrust-outbound-0]policysourceactionsource-nat

[USG-nat-policy-interzone-trust-untrust-outbound-0]easy-ipGigabitEthernet0/0/4

[USG-nat-policy-interzone-trust-untrust-outbound-0]quit

3、直接在接口启用nat

若是是针对内网用户上公网做nat，需要在内网接口利用

[USG-GigabitEthernet0/0/0]natenable

二、其他经常使用配置

查看防火墙的会话的命令

[USG5320]disfirewallsessiontable[source|destination][inside|global]能够查看那个数据包有无过来。

displayfirewallsessiontableverbosesourceinside

maskstatic-bindmac-address0000-e03f-0305#[USG5300]dhcpserverip-pool149（概念一个全局的地址池，名子自己概念）[USG5300-dhcp-149]networkmask（那个地址池可供分派的IP段）[USG5300-dhcp-149]gateway-list（自动获取的IP主机取得的网关）[USG5300-dhcp-149]dns-list（DNS配置）

[USG5300]interfaceVlan-interface2（概念vlan接口，自由概念）[USG5300-Vlanif2]dhcpselectgloble（接口上启用dhcpselectgloble功能）[USG5300-Vlanif2]ipaddress接口必需要分一个IP，即与网关相同的IP,系统依照接口IP与掩码确信自动分派哪个IP-Pool的IP）

[USG5300]interfaceVlan-interface3（概念vlan接口，自由概念）[USG5300-Vlanif3]dhcpselectgloble（接口上启用dhcpselectgloble功能）[USG5300-Vlanif3]ipaddress接口必需要分一个IP，即与网关相同的IP,系统依照接口IP与掩码确信自动分派哪个IP-Pool的IP）

配置透明模式

目前华为的防火墙不支持透明模式的命令，只能用Vlan，把端口加入到vlan的方式。

[USG5300]vlan2

[USG5300]intg0/0/0

[USG5300-GigabitEthernet0/0/0]portswitch

[USG5300-GigabitEthernet0/0/0]portlink-typeaccess

[USG5300-GigabitEthernet0/0/0]portaccessvlan2

[USG5300]intg0/0/1

[USG5300-GigabitEthernet0/0/1]portswitch

[USG5300-GigabitEthernet0/0/1]portlink-typeaccess

[USG5300-GigabitEthernet0/0/1]portaccessvlan2

然后把相应的端口加入到相应的区域就能够够了！

一样只需要加物理接口即可。

若是防火墙只是用在效劳器和内网之间，一样将连接效劳器接口设置为trust，将内网设置为untrust。

子接口的配置方式：

子接口不能配置portswitch命令，能够将子接口划分到某个vlan。

[USG5300-GigabitEthernet0/0/3]intg0/0/

[USG5300-GigabitEthernet0/0/]vlan-typedot1q60

设置GigabitEthernet0/0/与VLANID60相关联，以太网子接口GigabitEthernet0/0/的封装格式为dot1q

配置时钟

用户模式下

clocktimezoneBeijingminus08:

00:

00

clockdatetime0:

0:

02021/12/01

displayclock能够查看时刻

系统更新

利用命令进行升级

1、先将升级文件上传到防火墙

tftpget

2、startupsystem-software##指定下次启动时利用的版本文件。

startupsaved-configuration##指定下次启动时利用的配置文件，那个是可选配置

3、displaystartup###验证配置

4、利用reboot重启防火墙，执行reboot命令后，设备将会显示两次提示信息，询问是不是继续，请您不保留配置从头启动。

5、用户模式命令。

若是有license能够通过命令加载license。

系统视图命令：

[USG5300]licensefile，然后利用reboot命令从头启动系统，从头启动时请必然不要保留配置。

6、加载补丁的方式：

一、在任意视图下，执行displaypatch-information，查看补丁信息。

显示例如如下：

二、若是没有补丁信息能够直接加载补丁；若是有补丁信息，需要先删除原有补丁再加载，例如如下：

[USG5300]patchdelete

3、加载补丁：

[USG5300]patchload

4、激活补丁[USG5300]patchactive

5、运行补丁[USG5300]patchrun

利用图形界面升级

点击保护—系统更新

选择需要更新的系统文件，点击导入。

利用图形界面升级的时候，升级完成后不需要保留配置。

直接重启确实是。

用图形界面加载License的方式如下：

选择License文件，然后点击激活。

防火墙策略的配置

策略需求：

关于policyinterzonetrustdmzoutbound之间的策略有以下需求：

1、源地址为能访问所有的目的地址，效劳全数开放。

2、源地址是所有的，目的地址是、和开放80、8080、443和3389端口。

3、源地址是所有的访问目的地址是、的服务全部开放。

这三个都要求开放icmp协议。

在那个地址源为优先级高的的trust区，目的为优先级低的的dmz区。

若是策略里不明白源和目的确实是指any

配置方式：

ip service-set test1 type object

AT

　aclnumber2000 　　rule10permitsource　nataddress-group1　firewallinterzonetrustuntrust　　packet-filter2000outbound 　　natoutbound2000address-group1

　aclnumber3000　　 rule10permittcpdestination0destination-porteqwww

　natserverprotocoltcpglobalwwwinsidewww

　firewallinterzonetrustuntrust　　packet-filter3000inbound

aclnumber3002 rule10permitipdestination0

user-interfacevty04 acl3002inbound

当内网部署了一台效劳器，其真实IP是私网地址，可是希望公网用户能够通过一个公网地址来访问该效劳器，这时能够配置NATServer，使设备将公网用户访问该公网地址的报文自动转发给内网效劳器。

前提条件

∙已经配置USG5300的工作模式（只能为路由模式，混合模式也是能够的）

∙已经配置接口IP地址

∙已经配置接口加入平安区域

∙（可选）若是利用虚拟防火墙功能，需要已经创建VPN实例，并配置接口绑定VPN实例

背景信息

在实际应用中，可能需要提供给外部一个访问内部主机的机遇，如提供给外部一个WWW的效劳器，或是一台FTP效劳器。

利用NATServer能够灵活地添加内部效劳器，例如，能够将内网一台真实IP为的Web效劳器的80端口映射为公网IP地址的80端口，将一台真实IP为的FTP效劳器的23端口一样映射为公网IP地址的23端口。

外部网络的用户访问内部效劳器时，NATServer将请