hcie-security内容修订17套第一部分hc防火墙初始化配置

1、修订记录课程编码适用产品产品版本课程版本ISSUEHC13031031 USG6000 V1R11.00开发/优化者时间审核人开发类型（新开发/优化）周常青2014.09.15陈昊新开发丁祖贤2015.04.18优化本页不打印讲师授课建议：1、xxxHC13031031防火墙初始化配置 前言华为NGFW同时支持WEB配置和命令行配置，在WEB配置时还支持快速向导操作。本章节主要讲解防火墙的初始化配置，主要包括接口配置、远程管理配置、管理员角色配置、license激活、时钟配置、文件操作等内容。 目标学完本课程后，您将能够:使用向导进行防火墙基础配置配置防火墙远程管理配置防火墙管理员角色配置防火

2、墙系统时钟配置防火墙License对防火墙文件进行备份还原 目录下一代防火墙硬件简介防火墙配置向导防火墙基础配置防火墙文件管理华为下一代防火墙简介 2GUSG6370/6380/6390USG6550/6570USG6320USG6510-SJJ 固定接口： 8GE 扩展槽： - 桌面型 外置适配器固定接口： 8GE+4SFP扩展槽数： 21U选配冗余电源USG6650/6660USG6680USG6670固定接口： 2*10GE+8GE+8SFP扩展槽数： 63U标配冗余电源固定接口：4*10GE+16GE+8SFP扩展槽数： 53U标配冗余电源固定接口：4*10GE+16GE+8SFP扩展

3、槽数： 23U标配冗余电源标配SPUB卡中小企业USG6300/6500系列大中企业&数据中心USG6600系列35G40G4G/6G/8G5G/9G20G/25GUSG6370/6380/6390/6550/6570外观USG6650/6660外观NGFW支持的扩展接口卡8GEF WSIC接口卡2XG8GE WSIC接口卡4GE-BYPASS WSIC卡8GE WSIC接口卡 目录下一代防火墙硬件简介防火墙配置向导防火墙基础配置防火墙文件管理使用WEB配置防火墙登陆入口： 或 。用户名admin；密码Admin123。修改管理员密码第一次登陆成功后必须修改管理员密码。为提高安全性，密码必须满

4、足最小复杂度要求，包含英文大写字母（AZ）、英文小写字母（az）、数字（09）、特殊字符（如!、#、$、%等）中的三种。请牢记输入的新密码避免无法登录。使用快速向导配置密码修改后默认会进入如下配置向导页面：可以点“取消”，取消配置向导。或点“下一步”开快速度向导。配置基本信息此处可以修改主机名称和管理员密码。配置系统时间此处可以配置时区、日期、时间、夏令时等参数。配置互联网接入方式此处可选静态IP、DHCP、PPPOE三种的一种。配置互联网接入参数各种上网方式配置示例：配置局域网接口配置局域网接口IP地址：配置局域网DHCP服务配置DHCP池的起止地址：核对配置信息核对信息确保无错误后点应用（

5、同时勾选“下次登陆不再显示”）。完成向导配置出现如下页面表示已经成功完成向导配置：防火墙WEB主页面介绍主要配置项有：面板、监控、策略、对象、网络、系统。面板页功能介绍实时查看最常用的系统信息，监测系统是否正常运行。监控页功能介绍查看系统日志与报表，了解设备与网络状态，为新策略制定与配置调整提供依据。策略页功能介绍配置各种业务策略，控制流量转发，防范网络威胁，保证网络安全运行。对象页功能介绍创建各种被多个策略共同引用的公共元素，简化策略配置。网络页功能介绍配置接口、安全区域和网络层协议，保证网络互联互通。系统页功能介绍系统时间、管理员、高可靠性、license、升级等配置。保存配置文件右上角点

6、“保存”即可进行保存配置。打开基于WEB的CLI右下角点击“CLI控制台”：已经打开的命令行窗口：使用Console接口配置防火墙通过Console登录CLI管理员界面组网图。WinXP可以使用超级终端进行连接。Win7可以使用Putty进行连接。 目录下一代防火墙硬件简介防火墙配置向导防火墙基础配置3.1 配置防火墙远程管理3.2 配置防火墙管理员角色3.3 配置防火墙系统时钟3.4 配置防火墙License防火墙文件管理配置防火墙远程管理选择“系统-管理员-设置”，点击“设置设备服务”，可以选择配置如下功能： HTTP服务HTTPS服务STELNET服务SFTP服务配置防火墙远程管理（CL

7、I）该配置实现和上页WEB配置一样的功能。#生成RSA密钥对USG6600Arsa local-key-pair create 10:57:51 2014/09/18The key name will be: USG6600A_HostThe range of public key size is (512 2048).NOTES: A key shorter than 1024 bits may cause security risks. The generation of a key longer than 512 bits may take several minutes.Input t

8、he bits in the modulusdefault = 1024:1024Generating keys.+.+.+.+#配置WEB、SSH、SFTP服务 web-manager security cipher-suit all web-manager security version sslv3 tlsv1 web-manager enable web-manager security enable port 8443# ssh server authentication-retries 5 ssh server rekey-interval 10 sftp server enabl

9、e stelnet server enable# 使用SSH登陆防火墙配置完成后可以使用Putty或SecureCRT进行登陆。 目录下一代防火墙硬件简介防火墙配置向导防火墙基础配置3.1 配置防火墙远程管理3.2 配置防火墙管理员角色3.3 配置防火墙系统时钟3.4 配置防火墙License防火墙文件管理管理员角色介绍默认情况系统支持四种角色：可以自定义新的角色。角色名角色描述默认用户系统管理员拥有除审计功能以外的所有权限。admin/Admin123配置管理员拥有业务配置和设备监控权限。无配置管理员(只读)拥有设备监控权限。无审计管理员配置审计策略和查看审计日志的专用管理员角色。audit

10、-admin/Admin123管理员角色和管理员级别管理员角色优先级高于管理员级别，即如果将管理员绑定角色，那么管理员级别将不再有效。管理员角色优先级高于远程服务器授权，即如果管理员绑定角色，那么远程服务器授权不再有效。管理员级别说明0只可以使用参观级（0级）的命令。1可以使用监控（1级）及参观级（0级）的命令。2可以使用配置（2级）、监控（1级）及参观级（0级）的命令。3可以使用管理（3级）、配置（2级）、监控（1级）及参观级（0级）的命令。415缺省与3级管理员权限相同，当命令级别扩充时，可配合扩充的命令级别使用。创建新的管理员角色选择“系统-管理员-管理员角色”，点“新建”，按如下参数创

11、建：创建新的管理员角色（CLI）创建策略管理员角色：role policy_admindashboard read-only monitor read-only log-traffic log-threat log-content log-url log-operation log-syslog log-user-activity log-policy-matching log-mail-filtering report session statistic none packet-capture none diagnosepolicy read-write object read-writen

12、etwork read-onlysystem nonerole network_admindashboard none monitor nonepolicy noneobjectnone address service application user-manage time-range url-category keyword-group signature av ips data-filter file-filter app-control mail-filter url-filter authen-server certificate mail-address-groupnetwork

13、read-onlysystem none创建策略管理员角色：创建管理员选择“系统-管理员-管理员”，点击“新建”，按如下参数新建：创建管理员（CLI）使用如下命令可以创建管理员并分配角色：aaa# manager-user policy_admin password cipher Admin123 level 15 ssh authentication-type password ssh service-type stelnet authentication-scheme admin_local # manager-user network_admin password cipher Admi

14、n123 level 15 ssh authentication-type password ssh service-type stelnet authentication-scheme admin_local # bind manager-user policy_admin role policy_admin bind manager-user network_admin role network_admin#验证用户登陆及权限使用不同的用户登陆即可看到不同的权限页面：用户network_admin登陆后只有读写“网络”的权限，其它权限都没有用户policy_admin登陆后可以读写“策略”

15、和对象，只读“面板”和“监控”，没有“系统”权限 目录下一代防火墙硬件简介防火墙配置向导防火墙基础配置 3.1 配置防火墙远程管理 3.2 配置防火墙管理员角色 3.3 配置防火墙系统时钟 3.4 配置防火墙License防火墙文件管理配置系统时钟选择“系统-配置-时钟配置-配置方式”，配置时钟：配置系统时钟（CLI）手工配置：从NTP服务器获取：clock timezone beijing add 8clock datetime 14:52:20 2014/09/18dis clock14:53:45 2014/09/182014-09-18 14:53:45ThursdayTime Zon

16、e : beijing add 08:00:00clock timezone beijing add 8sysUSG6600Antp-service unicast-server 目录下一代防火墙硬件简介防火墙配置向导防火墙基础配置 3.1 配置防火墙远程管理 3.2 配置防火墙管理员角色 3.3 配置防火墙系统时钟 3.4 配置防火墙License防火墙文件管理激活系统LicenseLicense激活支持在线激活和本地激活两种方式。激活系统License（CLI）查看ESN用来申请License：USG6600Alicense file hda1:/license.dat display l

17、icenseDevice ESN is : 210235G7G410DC000001The file activated is : hda1:/license.datThe time when activated is : 2014/04/21 11:23:45The time when expired is : 2014/05/20Virtual System: 500SSL VPN Concurrent User: 500Content Security Group: DisabledEncryption Function: EnabledIPS : Enabled; service ex

18、pire time: 2016/04/20Anti Virus : Enabled; service expire time: 2016/04/20URL Filter : Enabled; service expire time: 2016/04/20USG6600Adis firewall esn15:09:06 2014/09/18Device ESN is: 210235G7G410DC000001配置手工激活： 目录下一代防火墙硬件简介防火墙配置向导防火墙基础配置防火墙文件管理4.1 配置备份、还原4.2 升级中心、系统更新配置备份选择“系统-高可靠性-配置文件管理”，点击“导出”可

19、以对文件进行备份操作。配置还原选择“系统-高可靠性-配置文件管理”，点击“下次启动文件-上传”可以对文件进行还原操作。配置备份及还原（CLI）startup saved-configuration vrpcfgbk.cfg 15:56:46 2014/09/18 Info: Succeeded in setting the configuration for booting system.dis startup 15:57:39 2014/09/18 MainBoard: Configed startup system software: hda1:/suampua10v1r1c00spc10

20、0.bin Startup system software: hda1:/suampua10v1r1c00spc100.bin Next startup system software: hda1:/suampua10v1r1c00spc100.bin Startup saved-configuration file: hda1:/vrpcfg.zip Next startup saved-configuration file: hda1:/vrpcfgbk.cfg命令行可以使用FTP/SFTP/TFTP协议对配置进行备份和还原。配置进行备份前要使用save命令进行保存。配置还原后使用star

21、tup saved-configuration命令设置下次启动后加载配置文件。 目录下一代防火墙硬件简介防火墙配置向导防火墙基础配置防火墙文件管理4.1 配置备份、还原4.2 升级中心、系统更新升级中心升级中心目前提供特征库的升级：入侵防御特征库反病毒特征库应用识别特征库地区识别特征库升级方式：通过安全中心平台升级通过内网升级服务器进行升级配置升级中心配置升级中心(CLI)update schedule weekly Sun 23:00update schedule av-sdb enable update schedule ips-sdb enable update schedule sa-sdb enable USG6600Adis update conf 16:24:04 2014/09/18 Update Configuration Information:- Internal Update Mode : Disable Internal Update Server : - Internal Update Port : 80 IPS-SDB: Application Confirmation : Enable Schedule Update : Enable