华为防火墙配置使用手册自己写.docx
《华为防火墙配置使用手册自己写.docx》由会员分享,可在线阅读,更多相关《华为防火墙配置使用手册自己写.docx(16页珍藏版)》请在冰点文库上搜索。
华为防火墙配置使用手册自己写
.
华为防火墙配置使用手册(自己写)
华为防火墙配置使用手册
防火墙默认的管理接口为g0/0/0,默认的ip地址为/24,默认g0/0/0接口开启了dhcpserver,默认用户名为admin,默认密码为Admin@123一、配置案例拓扑图GE0/0/1:
/24GE
0/0/2:
/24GE0/0/3:
/24WWW服务器:
/24FTP服务器:
/24Telnet配置配置VTY的优先级为3,基于密码验证。
#进入系统视图。
system-view#进入用户界面视图
[USG5300]user-interfacevty04
#设置用户界面能够访问的命令级别为level3[USG5300-ui-vty0-4]user
privilegelevel3配置Password验证
#配置验证方式为Password验证
[USG5300-ui-vty0-4]
authentication-modepassword#配置验证密码为lantian
资料Word
.
[USG5300-ui-vty0-4]set
authenticationpasswordsimple
lantian###最新版本的命令是authentication-modepasswordcipher
huawei@123配置空闲断开连接时间#
设置超时为30分钟
[USG5300-ui-vty0-4]idle-timeout30
packet-filterfirewall[USG5300]
untrustinterzonedefaultpermit
不加这个localdirectioninbound//基于用户从公网不能telnet防火墙。
user-interfacevty04名和密码验证aaaaaaauthentication-mode
passwordadminlocal-user
]MQ;4\\]B+4Z,YWX*NZ55OA!
!
cipher
telnetlocal-useradminservice-type
local-useradminlevel3
defaultfirewallpacket-filter
localuntrustinterzonepermit
放如开果不inbounddirection
那么域的缺省包过滤,localtrust域到但是默从内网也不能的防火墙,telnet资料Word
.
认情况下已经开放了trust域到local域的缺省包过滤。
地址配置
内网:
进入GigabitEthernet
0/0/1视图[USG5300]interface
GigabitEthernet0/0/1配置GigabitEthernet0/0/1的IP地址
[USG5300-GigabitEthernet0/0/1]ip
address配置GigabitEthernet
0/0/1加入Trust区域[USG5300]
firewallzonetrust
[USG5300-zone-untrust]add
interfaceGigabitEthernet0/0/1
[USG5300-zone-untrust]quit外网:
进入GigabitEthernet0/0/2视图[USG5300]interface
GigabitEthernet0/0/2配置GigabitEthernet0/0/2的IP地址
[USG5300-GigabitEthernet0/0/2]ip
address配置GigabitEthernet
0/0/2加入Untrust区域[USG5300]
firewallzoneuntrust
[USG5300-zone-untrust]add
资料Word
.
interfaceGigabitEthernet0/0/2
[USG5300-zone-untrust]quit
DMZ:
进入GigabitEthernet0/0/3视图[USG5300]interface
GigabitEthernet0/0/3配置GigabitEthernet0/0/3的IP地址。
[USG5300-GigabitEthernet0/0/3]ip
address[USG5300]firewallzone
dmz[USG5300-zone-untrust]add
interfaceGigabitEthernet0/0/3
[USG5300-zone-untrust]quit防火墙策略本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。
域间安全策略就是指不同的区域之间的安全策略。
域内安全策略就是指同一个安全区域之间的策略,缺省情况下,同一安全区域内的数据流都允许通过,域内安全策略没有Inbound和Outbound方向的区分。
策略内按照policy的顺序进行匹配,如果policy0匹配了,就不会检测policy
1了,和policy的ID大小没有关系,谁资料Word
.
在前就先匹配谁。
缺省情况下开放local域到其他任意安全区域的缺省包过滤,方便设备自身的对外访问。
其他接口都没有加安全区域,并且其他域间的缺省包过滤关闭。
要想设备转发流量必须将接口加入安全区域,并配置域间安全策略或开放缺省包过滤。
安全策略的匹配顺序:
每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。
匹配条件安全策略可以指定多种匹配条件,报文必须同时满足所有条件才会匹配上策略。
比如如下策略policy1policy
serviceservice-setdnspolicy
destination0policysource
在这里policyservice的端口53就是指的是的53号端口,可以说是目的地址的53号端口。
域间可以应用多条安全策略,按照策略列表的顺序从上到下匹配。
只要匹配到一条策略就不再继续匹配剩下的策略。
如果安全策略不是以自动排序方式配置的,策略的优先级资料Word
.
按照配置顺序进行排列,越先配置的策略,优先级越高,越先匹配报文。
但是也可以手工调整策略之间的优先级。
缺省情况下,安全策略就不是以自动排序方式。
如果安全策略是以自动排序方式配置的,策略的优先级按照策略ID的大小进行排列,策略ID越小,优先级越高,越先匹配报文。
此时,策略之间的优先级关系不可调整。
policycreate-mode
auto-sortenable命令用来开启安全策略自动排序功能,默认是关闭的。
如果没有匹配到安全策略,将按缺省包过滤的动作进行处理,所以在配置具体安全策略时要注意与缺省包过滤的关系。
例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤,将造成那些没有匹配到安全策略的流量也会通过,就失去配置安全策略的意义了。
同样,如果安全策略中只配置了需要拒绝的流量,其他流量都是允许通过的,这时需要开放缺省包过滤才能实现需求,否则会造成所有流量都不能通过。
资料Word
.
执行命令displaythis查看当前已有的安全策略,策略显示的顺序就是策略的匹配顺序,越前边的优先级越高执行命令policymovepolicy-id1
{before|after}policy-id2,调整策略优先级。
UTM策略安全策略中除了基本的包过滤功能,还可以引用IPS、AV、应用控制等UTM策略进行进一步的应用层检测。
但前提是匹配到控制动作为permit的流量才能进行UTM处理,如果匹配到deny直接丢弃报文。
安全策略的应用方向域间的Inbound和Outbound方向上都可以应用安全策略,需要根据会话的方向合理应用。
因为USG是基于会话的安全策略,只对同一会话的首包检测,后续包直接按照首包的动作进行处理。
所以对同一条会话来说只需要在首包的发起方向上,也就是访问发起的方向上应用安全策略。
如上图所示,Trust域的PC访问Untrust域的Server,只需要在Trust到Untrust的Outbound方向上应用安全策略允资料Word
.
许PC访问Server即可,对于Server回应PC的应答报文会命中首包建立的会话而允许通过。
Trust和Untrust域间:
允许内网用户访问公网策略一般都是优先级高的在前,优先级低的在后。
policy1:
允许源地址为/24的网段的报文通过配置Trust和Untrust域间出方向的防火墙策略。
//如果不加policysource就是指any,如果不加policydestination目的地址就是指any。
[USG5300]policy
interzonetrustuntrustoutbound
[USG5300-policy-interzone-trust-untrust-outbound]policy1
[USG5300-policy-interzone-trust-untrust-outbound-1]policysource
[USG5300-policy-interzone-trust-untrust-outbound-1]actionpermit
[USG5300-policy-interzone-trust-untrust-outbound-1]quit如果是允许所有的内网地址上公网可以用以下命令:
[USG2100]firewallpacket-filter
资料Word
.
defaultpermitinterzonetrust
untrustdirectionoutbound//必须添加这条命令,或者firewall
packet-filterdefaultpermitall,但是这样不安全。
否则内网不能访问公网。
注意:
优先级高访问优先级低的区域用outbound,比如policy
interzonetrustuntrustoutbound。
这时候policysourceip地址,就是指的优先级高的地址,即trust地址,destination地址就是指的untrust地址。
只要是outbound,即使配置成policy
interzoneuntrusttrustoutbound也会变成policyinterzonetrust
untrustoutbound。
优先级低的区域访问优先级高的区域用inbound,比如是policyinterzoneuntrusttrust
inbound,为了保持优先级高的区域在前,优先级低的区域在后,命令会自动变成policyinterzonetrustuntrust
inbound,这时候policysourceip地址,就是指的优先级低的地址,即资料Word
.
untrust地址,destination地址就是指的优先级高的地址,即trust地址。
总结:
outbount时,source地址为优先级高的地址,destination地址为优先级低的地址。
inbount时,source地址为优先级低的地址,destination地址为优先级高的地址配置完成后可以使用displaypolicyinterzonetrust
untrust来查看策略。
DMZ和Untrust域间:
从公网访问内部服务器
policy2:
允许目的地址为,目的端口为21的报文通过policy3:
允许目的地址为,目的端口为8080的报文通过
配置Untrust到DMZ域间入方向的防火墙策略,即从公网访问内网服务器只需要允许访问内网ip地址即可,不需要配置访问公网的ip地址。
address-group3
配置策略路配置要求:
走,走。
1、资料Word
.
创建aclaclnumber3000
rule1permitipsourceaclnumber
3001rule1permitipsource
2、创建策略路
policy-based-routeinternetpermit
node0if-matchacl3000
applyip-addressnext-hop
policy-based-routeinternetpermit
node1if-matchacl3001
applyip-addressnext-hop3、将策略路引用到入接口ip
policy-based-routeinternet4、配置默认路,配置策略路的时候不需要配置明细路。
iproute-staticip
route-static检查配置:
dispolicy-based-route双线接入时的路配置双线接入时必须选择等价路,配置到达相同目的地的多条路,如果指定相同优先级,则可实现负载分担。
此时,多条路之间称为等价路。
load-balanceflow命令用来配置IP报文逐流负载分担。
主要有资料Word
.
destination-ip,destination-port
source-ip|,source-port对应的截图如下。
相当于等价路。
firewallpacket-filterdefault
permitinterzonelocaltrust
directioninbound//允许ping通trust,允许telnettrust接口,使能够访问trust接口,如果不加这条命令不能在防火墙上ping通trust,也不能telnettrust接口。
所有的local与业务无关。
firewallpacket-filter
defaultpermitinterzonelocaltrust
directionoutboundfirewall
packet-filterdefaultpermit
interzonelocaluntrustdirection
inboundfirewallpacket-filter
defaultpermitinterzonelocal
untrustdirectionoutboundfirewall
packet-filterdefaultpermit
interzonelocaldmzdirection
inboundfirewallpacket-filter
defaultpermitinterzonelocaldmz
资料Word
.
directionoutbound配置内部服务器V3版本通过acl指定,v5版本通过域间策略指定。
拓扑:
Internet------USG2000------WEB服务器要求:
服务器及其内网通过NAT能访问Internet,服务器80端口对外发布网页配置:
1.NATaclnumber
2000rule10permitsource
nataddress-group1firewall
interzonetrustuntrust
packet-filter2000outboundnat
outbound2000address-group12.外网访问服务器aclnumber3000
rule10permittcpdestination0
destination-porteqwwwnatserver
protocoltcpglobalwwwinsidewww
firewallinterzonetrustuntrust
packet-filter3000inbound3.配置telnetaclnumber3002
rule10permitipdestination0
user-interfacevty04acl3002
inbound当内网部署了一台服务资料Word
.
器,其真实IP是私网地址,但是希望公网用户可以通过一个公网地址来访问该服务器,这时可以配置NATServer,使设备将公网用户访问该公网地址的报文自动转发给内网服务器。
前提条件
已经配置USG5300的工作模式?
已经配置接口IP地址?
已经配置接口加入安全区域?
如果使用虚拟防火墙功能,需要已经创建VPN实例,并配置接口绑定VPN实例?
背景信息在实际应用中,可能需要提供给外部一个访问内部主机的机会,如提供给外部一个WWW的服务器,或是一台FTP服务器。
使用NATServer可以灵活地添加内部服务器,例如,可以将内网一台真实IP为的Web服务器的80端口映射为公网IP地址的80端口,将一台真实IP为的FTP服务器的23端口同样映射为公网IP地址的23端口。
外部网络的用户访问内部服务器时,NATServer将请求报文的目的地址转换成内部服务器的私有地址。
对内部服务器回应报文资料Word
.
而言,NATServer还会自动将回应报文的源地址转换成公网地址。
说明:
当针对同一私网IP地址配置了NAT和内部服务器两个功能时,USG5300将优先根据内部服务器功能的配置进行地址转换。
操作步骤1.执行命令system-view,进入系统视图。
2.选择执行以下命令之一,配置内部服务器。
对所有安全区域发布同一个公网IP,即这些安全区域的用户都可以通过访问同一个公网IP来访问内部服务器。
执行命令natserver[id]global
global-addressinsidehost-address
[vrrpvirtual-router-id]
[vpn-instancevpn-instance-name],配置不指定协议类型的内部服务器。
?
执行命令natserver[id]
protocolprotocol-typeglobal
global-address[global-port]
insidehost-address[host-port]
[vrrpvirtual-router-id]
[vpn-instancevpn-instance-name],资料Word
.
配置指定协议类型的内部服务器。
?
说明:
配置natserverprotocol命令时,global-port和host-port只要有一个定义了any,则另一个要么不定义,要么是any。
?
多个不同内部服务器使用一个公有地址对外发布时,可以多次使用natserver命令对其进行配置,但是global-port不能相同。
对所有安全区域发布多个公网IP,即这些安全区域的用户都可以通过访问任意一个公网IP来访问内部服务器。
?
执行命令natserver[id]global
global-addressinsidehost-address
[vrrpvirtual-router-id]
no-reverse[vpn-instance
vpn-instance-name],配置不指定协议类型的内部服务器。
?
执行命令nat
server[id]protocolprotocol-type
globalglobal-address
[global-port]insidehost-address
[host-port][vrrp
virtual-router-id]no-reverse
资料Word
.
[vpn-instancevpn-instance-name],配置指定协议类型的内部服务器。
?
说明:
与发布一个公网IP地址相比,发布多个公网IP地址时多了个参数
no-reverse。
配置不带no-reverse参数的natserver后,当公网用户访问服务器时,设备能将服务器的公网地址转换成私网地址;同时,当服务器主动访问公网时,设备也能将服务器的私网地址转换成公网地址。
?
参数no-reverse表示设备只将公网地址转换成私网地址,不能将私网地址转换成公网地址。
当内部服务器主动访问外部网络时需要执行natoutbound命令,natoutbound命令引用的地址池里必需是natserver配置的公网IP地址,否则反向NAT地址与正向访问的公网IP地址不一致,会导致网络连接失败。
?
?
多次执行带参数no-reverse的nat
server命令,可以为该内部服务器配置多个公网地址;未配置参数no-reverse则表示只能为该内部服务器配置一个公资料Word
.
网地址。
当统一安全网关同时应用于双机热备组网时,如果转换后的NAT服务器地址与VRRP备份组虚拟IP地址不在同一网段,则不必配置携带vrrp关键字的natserver命令;如果转换后的NAT服务器地址与VRRP备份组的虚拟IP地址在同一网段,则需要配置相关命令,且virtual-router-ID为统一安全网关NAT服务器出接口对应的VRRP备份组的ID。
3.执行命令firewall
interzone[vpn-instance
vpn-instance-name]zone-name1
zone-name2,进入域间视图。
4.
执行命令detectprotocol,配置NATALG功能。
在USG5300支持FTP、HTTP、、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、、NETBIOS、MMS等协议的会话时,需要在域间启动ALG功能。
配置举例当一个内部服务器需要对不同网段的外部用户提供服务时,多次执行带no-reverse参数的nat
server命令,可以为一个内部服务器配资料Word
.
置多个公网IP地址。
此时,外部的不同网段用户可以通过访问不同的公网IP地址来访问此内部服务器。
如图1所示,例如服务器内部IP地址为,其公网IP地址分别为和。
图1配置NAT
Server示意图[USG5300]
natserverprotocoltcpglobalftp
insideftpno-reverse[USG5300]
natserverprotocoltcpglobalftp
insideftpno-reverse
说明:
两次使用带no-reverse参数的natserver命令,为该内部服务器配置两个外部IP地址。
[USG5300]nataddress-group0
[USG5300]nataddress-group1
注意:
需要为不同的公网IP地址