USG6310S防火墙配置说明书

USG6310S防火墙配置说明概述防火墙使用场景为子站保护管理机〔安全II区〕接入站内继保保护装置〔安全I区〕，通过对ip地址与端口进展限制，达到阻止非法访问的目的。为方便现场调试与日后维护工作现规定如下：1）防火墙ETH0的IP固定为，用作配置用；2）防火墙ETH0接从交换机过来的网线；3）防火墙ETH4接从子站管理机过来的网线。登录将笔记本通过网线接入防火墙的ETH0，通过浏览器访问s://:8443。用户名：admin、密码：Admin123〔初始密码〕进展配置，第一次登录时需要修改密码，将密码改为“Nice2003"。图21登录首页3.网络配置点击快捷按钮“网络",可以对所使用的接入口进展配置，操作顺序如如下图所示：装置后面板网口标识0至7与配置页面中接口名称对应关系如下：后面板ETH0对应配置页面中接口GE0/0/0后面板ETH1对应配置页面中接口GE0/0/1

后面板ETH7对应配置页面中接口GE0/0/73・1・ETH0配置ETH保存作为配置使用。出厂时已经设好，无需变更。利名亏*1-页利名亏*1-页IPV4IFVB*舟藩IPODHCPOPPPaEiPJrjil192160.01j2SS£5S.2SED—「—足记录,m&W1.M1/255^55.2!?l.O'—E1/1.1/24'-烈MH釜苗用g瞒踏整□带宽|Kbps■罚｛PIQOOOan|捆”•闵•也澎fT.nl：-1?7h^hnfR71^finIrtrtnnn^11此=rrt!!jtilL：1图31ETH0配置3・2・ETH1配置选择GE0/0/1行右如此的编辑买，在弹出的界面中设置如下：图32ETH1配置配置项如下：别名：保护安全区域：trust模式：交换连接类型：Access犊口槌e其m时，可^兰清眸醐掐［置，是吉维嫁多推定卫g图33模式切换确认提示3・3・ETH4配置选择GE0/0/4行右如此的编辑，在弹出的界面中设置如下：图34ETH4配置配置项如下：别名：子站安全区域：dmz

模式：交换连接类型：Access4.对象配置对象配置中主要配置需放行的ip与端口号，ip在“地址“中配置、端口号在“服务中配置“，配置操作顺序如如下图所示：Huaweihum祯1USG6310SBI板明证书•官本地征书图,前E书Huaweihum祯1USG6310SBI板明证书•官本地征书图,前E书^CRL地址列去名新描述§策略一地址:量地批位膺地区[gjgggrArfrm图41对象配置操作顺序4.1.地址配置首次配置选择“新建“，如已有配置如此选择“编辑「礼配置界面如如下图所示：

修改地址者秘保炉地址-QO2每行H臼〔置i、In地*亡匡芭修改地址者秘保炉地址-QO210.1D.T5/266.2&&.256.0-0.13.-1.2Z32-0.1D.-1.2^&&-Q.13.-1.2-0a23U-120/120a23-.a237-b2S1:b2S7aaaa-aaaa-aaaa主直：莞I』对七褚三芫对卫氏於封阿币景，要升归摄立於弟、版世i!54i=%姑廿，饴无f二字绵-苹嵯中开启黔二目明甘T别山牝＜:图42保护IP配置注：1）第行可配置1个IP/X围或MAC地址，行之间使用回车分隔；2）掩码可以使用255.255.X.X样式，也可使用掩码位数来表示；3）IP配置支持多种方式，假如连续的IP，可在首末2个IP之间通过“-“连接，如；4）单个IP配置，其掩码必须为55或32,否如此保存时其最后1至2段会变成0；新建地址分两局部,是可以通过IP,是需要屏蔽的IP图43子站地址配置4.2.服务配置4.2.1.服务配置服务配置中我们选择放行的端口，根据实际配置：常用放行的端口如下：icmp:ping月艮务

协该国置?X协议TCP"*协议号6*<0-255>源端口0-65535目的端口102确定国消4.2.2.月艮务组配置为方便选择与管理，将子站与保护通信的端口归到保护通信组中。5.策略点击快捷按钮“策略",可以对所使用的策略进展配置，操作顺序如如下图所示：HuaweihuaweiHuaweihuaweiUSG6310Sa*扉二并管啤整宣…目的…虫旃…目的携址…时..，；压目秘硝制笛昭共峡度眺富四旬疔、食导出，㈣清*曰村佃国W口曾:因巫乏策匪C国更全第略Z图51策略配置顺序

通过策略配置对需要从防火墙放行的IP与服务进展配置，配置如下：图52子站至保护策略图53保护至子站策略保存配置修改完毕，按界面右上角“保存“，如如下图所示保存所做的配置。图61保存配置重启点击快捷按钮“系统“，在左侧目录树中选择“系统重启“，选择“保存并重启"，弹出确认对话框，确定即可。重启后所做的配置即生效，防火墙装置重启后至系统正常时间较长。备份点击快捷按钮“系统",在左侧目录树中选择“配置文件管理“，选择“导出“，在弹出的对话框中选择文件备置位置与文件名，确定即可。HuaweiMQ<waiUSG6310S%口莅■/半抱安■JSSMMP卜写芸三MMAC识别聊口净.•：HuaweiMQ<waiUSG6310S%口莅■/半抱安■JSSMMP卜写芸三MMAC识别聊口净.•：•手乾•切3#况贸扁ixh圈LJ.Crr上•」cen踞菖件z*食=白感叫时*2Lil-.f零普t氾~=-II尊吐郎qhdai必也罪恢更出Jashdai质p®珈r^_mSEO出宸祖保存Loading图81备份导出当无法测试出防火墙的登录密码后，可在防火墙通电正常运行后用顶端尖硬的物体去捅防火墙后面板上RST键5秒以上，防火墙会清空当前配置恢复出厂设置。复位过程中前面板SYS灯先熄灭、后闪烁最后长亮，如果想快速启动可在按RST键5秒后关电重启防火墙。10.附录10・1.同一安全区域多个网口同一安全区域如trust假如有多个网线接入，将接入网口的安全区域配置成待参加的安全区域即可。同区域内多个网口间是互通，与交换机类似。对象与策略无需特殊配置。称口郴顷TMI，VLAJJ珈♦理|Pi4GEDlillCOGE&lKlliTI132153X11BSilPilM：ft=E!PpPM5：-tf*giSGEMRICffi柄i血如拍即四得1***be.3GEMl林朗保铲|iinsrS网州嚼*£041351#4*sGEMIQ；敢M以"却PUFM；B3-IP0M：-Rffi4*J贸GEf■子站I由迎囹倒bi©1■:=t**l£i0GEDfH巧-M=r£-iSpubkc)bSIPUPrf：PS-IPllPsfl；Hffl4*鼠GEMJIB-|-«NE-|2四呻1I5EIP0M：岸翊叩『Z：**0s-f-K>J£dSBuhic)肘IFg；维由***o-i-ene-iQ皿顺f-曾a图101同安全区域多个网口接入102配置案例!SoftwareVersionV500R001C30SPC100!Lastconfigurationwassavedat2017-08-2101:42:05UTC#sysnameUSG6300#undol2tpsendaccmenablel2tpdomainsuffix-separator#ipsecsha2patibleenable#undofactory-configurationprohibitundotelnetserverenableundotelnetipv6serverenable#clocktimezoneBeijingadd08:00:00#hrpconfigurationauto-check1440#firewalldetectftp#firewalldefendactiondiscard#logtypetrafficenablelogtypesyslogenablelogtypepolicyenableundologtypethreatenableundologtypeurlenableundologtypeumenable#undodataflowenable#saforce-detectionenable#ispname"chinamobile"setfilenamechina-mobile.csvispname"chinauni"setfilenamechina-uni.csvispname"chinatele"setfilenamechina-tele.csvispname"chinaeducationnet"setfilenamechina-educationnet.csv#user-manageweb-authenticationsecurityport8887password-policylevelhighuser-managesingle-sign-onaduser-managesingle-sign-ontsmuser-managesingle-sign-onradiususer-managesso-syncradiussetting#firewallidsauthenticationtypesha256#snmp-agentsessionhistory-max-numberenable#web-managerenableweb-managersecurityenable#firewalldataplanetomanageplaneapplication-apperceivedefault-actiondrop#updatescheduleips-sdbdaily22:10updatescheduleav-sdbdaily22:10updateschedulesa-sdbdaily22:10updateschedulecdaily22:10#ipvpn-instancedefaultipv4-family#ipaddress-set保护地址typeobject#ipaddress-set子站地址typeobjectaddress051mask32#time-rangeworktimeperiod-range08:00:00to18:00:00working-day#aaaauthentication-schemedefaultauthentication-schemeadmin_localauthentication-schemeadmin_radius_localauthentication-schemeadmin_hwtacacs_localauthentication-schemeadmin_ad_localauthentication-schemeadmin_ldap_localauthentication-schemeadmin_radiusauthentication-schemeadmin_hwtacacsauthentication-schemeadmin_adauthentication-schemeadmin_ldapauthorization-schemedefaultaccounting-schemedefaultdomaindefaultservice-typeinternetaccessssl-vpnl2tpikeinternet-accessmodepasswordreferenceusercurrent-domainmanager-useraudit-adminpasswordcipher%%nQX1YTEI~m/KF=h;&'6)jh3'D2e=!|2t2e%(*8*T"dYjh6)%%service-typewebterminallevel15manager-userapi-adminpasswordcipher%%+'AVN+p~RIl]*Y'yIIT+3(8B8G)*:zmSCqC&uOr4jk;3(;+%%service-typeapilevel15manager-useradminpasswordcipher%%VA>'3aSb0(40'm7kA%,L-pm>[HVj4O-WZsc6dl{p~,L0%%%service-typewebterminallevel15rolesystem-adminroledevice-adminroledevice-admin(monitor)roleaudit-adminbindmanager-useraudit-adminroleaudit-adminbindmanager-useradminrolesystem-admin#l2tp-groupdefault-lns#interfaceGigabitEthernet0/0/0undoshutdownipbindingvpn-instancedefaultservice-managepermitservice-managespermitservice-managepingpermit#interfaceGigabitEthernet0/0/1portswitchundoshutdownportlink-typeaccessalias保护interfaceGigabitEthernet0/0/2undoshutdown#interfaceGigabitEthernet0/0/3undoshutdown#interfaceGigabitEthernet0/0/4portswitchundoshutdownportlink-typeaccessalias子站#interfaceGigabitEthernet0/0/5undoshutdown#interfaceGigabitEthernet0/0/6undoshutdown#interfaceGigabitEthernet0/0/7undoshutdown#interfaceVirtual-if0#interfaceCellular0/0/0#interfaceNULL0#firewallzonelocalsetpriority100#firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0addinterfaceGigabitEthernet0/0/1#firewallzoneuntrustsetpriority5#firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/4#undosshserverpatible-ssh1xenable#user-interfacecon0authentication-modeaaauser-interfacevty04authentication-modeaaaprotocolinboundsshuser-interfacevty16