华为防火墙配置使用手册

华为防火墙配置使用手册（自己写）华为防火墙配置使用手册防火墙默认的管理接口为g0/0/0，默认的ip地址为/24,默认g0/0/0接口开启了dhcpserver，默认用户名为admin，默认密码为Admin@123一、配置案例拓扑图GE0/0/1:/24GE0/0/2：/24GE0/0/3：/24WWW服务器：/24FTP服务器：/24Telnet配置配置VTY的优先级为3,基于密码验证。#进入系统视图。system-view#进入用户界面视图[USG5300]user-interfacevty04#设置用户界面能够访问的命令级别为level3[USG5300-ui-vty0-4]userprivilegelevel3配置Password验证#配置验证方式为Password验证[USG5300-ui-vty0-4]authentication-modepassword#配置验证密码为lantian[USG5300-ui-vty0-4]setauthenticationpasswordsimplelantian###最新版本的命令是authentication-modepasswordcipherhuawei@123配置空闲断开连接时间#设置超时为30分钟[USG5300-ui-vty0-4]idle-timeout30[USG5300]firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound//不加这个从公网不能telnet防火墙。基于用户名和密码验证user-interfacevty04authentication-modeaaaaaalocal-useradminpasswordcipher]MQ;4\\]B+4Z,YWX*NZ55OA!!local-useradminservice-typetelnetlocal-useradminlevel3firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。地址配置内网：进入GigabitEthernet0/0/1视图[USG5300]interfaceGigabitEthernet0/0/1配置GigabitEthernet0/0/1的IP地址[USG5300-GigabitEthernet0/0/1]ipaddress配置GigabitEthernet0/0/1加入Trust区域[USG5300]firewallzonetrust[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/1[USG5300-zone-untrust]quit外网：进入GigabitEthernet0/0/2视图[USG5300]interfaceGigabitEthernet0/0/2配置GigabitEthernet0/0/2的IP地址[USG5300-GigabitEthernet0/0/2]ipaddress配置GigabitEthernet0/0/2加入Untrust区域[USG5300]firewallzoneuntrust[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/2[USG5300-zone-untrust]quitDMZ：进入GigabitEthernet0/0/3视图[USG5300]interfaceGigabitEthernet0/0/3配置GigabitEthernet0/0/3的IP地址。[USG5300-GigabitEthernet0/0/3]ipaddress[USG5300]firewallzonedmz[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/3[USG5300-zone-untrust]quit防火墙策略本地策略是指与Local安全区域有关的域间安全策略，用于控制外界与设备本身的互访。域间安全策略就是指不同的区域之间的安全策略。域内安全策略就是指同一个安全区域之间的策略，缺省情况下，同一安全区域内的数据流都允许通过，域内安全策略没有Inbound和Outbound方向的区分。策略内按照policy的顺序进行匹配，如果policy0匹配了，就不会检测policy1了，和policy的ID大小没有关系，谁在前就先匹配谁。缺省情况下开放local域到其他任意安全区域的缺省包过滤，方便设备自身的对外访问。其他接口都没有加安全区域，并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域，并配置域间安全策略或开放缺省包过滤。安全策略的匹配顺序：每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。匹配条件安全策略可以指定多种匹配条件，报文必须同时满足所有条件才会匹配上策略。比如如下策略policy1policyserviceservice-setdnspolicydestination0policysource在这里policyservice的端口53就是指的是的53号端口，可以说是目的地址的53号端口。域间可以应用多条安全策略，按照策略列表的顺序从上到下匹配。只要匹配到一条策略就不再继续匹配剩下的策略。如果安全策略不是以自动排序方式配置的，策略的优先级按照配置顺序进行排列，越先配置的策略，优先级越高，越先匹配报文。但是也可以手工调整策略之间的优先级。缺省情况下，安全策略就不是以自动排序方式。如果安全策略是以自动排序方式配置的，策略的优先级按照策略ID的大小进行排列，策略ID越小，优先级越高，越先匹配报文。此时，策略之间的优先级关系不可调整。policycreate-modeauto-sortenable命令用来开启安全策略自动排序功能，默认是关闭的。如果没有匹配到安全策略，将按缺省包过滤的动作进行处理，所以在配置具体安全策略时要注意与缺省包过滤的关系。例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤，将造成那些没有匹配到安全策略的流量也会通过，就失去配置安全策略的意义了。同样，如果安全策略中只配置了需要拒绝的流量，其他流量都是允许通过的，这时需要开放缺省包过滤才能实现需求，否则会造成所有流量都不能通过。执行命令displaythis查看当前已有的安全策略，策略显示的顺序就是策略的匹配顺序，越前边的优先级越高执行命令policymovepolicy-idl(before|after}policy-id2调整策略优先级。UTM策略安全策略中除了基本的包过滤功能，还可以引用IPS、AV、应用控制等UTM策略进行进一步的应用层检测。但前提是匹配到控制动作为permit的流量才能进行UTM处理，如果匹配到deny直接丢弃报文。安全策略的应用方向域间的Inbound和Outbound方向上都可以应用安全策略，需要根据会话的方向合理应用。因为USG是基于会话的安全策略，只对同一会话的首包检测，后续包直接按照首包的动作进行处理。所以对同一条会话来说只需要在首包的发起方向上，也就是访问发起的方向上应用安全策略。如上图所示，Trust域的PC访问Untrust域的Server，只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC访问Server即可，对于Server回应PC的应答报文会命中首包建立的会话而允许通过。Trust和Untrust域间：允许内网用户访问公网策略一般都是优先级高的在前，优先级低的在后。policy1：允许源地址为/24的网段的报文通过配置Trust和Untrust域间出方向的防火墙策略。//如果不加policysource就是指any，如果不加policydestination目的地址就是指any。[USG5300]policyinterzonetrustuntrustoutbound[USG5300-policy-interzone-trust-untrust-outbound]policy1[USG5300-policy-interzone-trust-untrust-outbound-1]policysource[USG5300-policy-interzone-trust-untrust-outbound-1]actionpermit[USG5300-policy-interzone-trust-untrust-outbound-1]quit如果是允许所有的内网地址上公网可以用以下命令：[USG2100]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound//必须添加这条命令，或者firewallpacket-filterdefaultpermitall，但是这样不安全。否则内网不能访问公网。注意：优先级高访问优先级低的区域用outbound，比如policyinterzonetrustuntrustoutbound。这时候policysourceip地址，就是指的优先级高的地址，即trust地址，destination地址就是指的untrust地址。只要是outbound，即使配置成policyinterzoneuntrusttrustoutbound也会变成policyinterzonetrustuntrustoutboundo优先级低的区域访问优先级高的区域用inbound，比如是policyinterzoneuntrusttrustinbound，为了保持优先级高的区域在前，优先级低的区域在后，命令会自动变成policyinterzonetrustuntrustinbound，这时候policysourceip地址，就是指的优先级低的地址，即untrust地址，destination地址就是指的优先级高的地址，即trust地址。总结：outbount时，source地址为优先级高的地址，destination地址为优先级低的地址。inbount时，source地址为优先级低的地址，destination地址为优先级高的地址配置完成后可以使用displaypolicyinterzonetrustuntrust来查看策略。DMZ和Untrust域间：从公网访问内部服务器policy2:允许目的地址为，目的端口为21的报文通过policy3：允许目的地址为，目的端口为8080的报文通过配置Untrust到DMZ域间入方向的防火墙策略，即从公网访问内网服务器只需要允许访问内网ip地址即可，不需要配置访问公网的ip地址。address-group3配置策略路配置要求：走，走。1、创建aclaclnumber3000rule1permitipsourceaclnumber3001rule1permitipsource2、创建策略路policy-based-routeinternetpermitnode0if-matchacl3000applyip-addressnext-hoppolicy-based-routeinternetpermitnode1if-matchacl3001applyip-addressnext-hop3、将策略路引用到入接口ippolicy-based-routeinternet4、配置默认路，配置策略路的时候不需要配置明细路。iproute-staticiproute-static检查配置：dispolicy-based-route双线接入时的路配置双线接入时必须选择等价路，配置到达相同目的地的多条路，如果指定相同优先级，则可实现负载分担。此时，多条路之间称为等价路。load-balanceflow命令用来配置IP报文逐流负载分担。主要有destination-ip,destination-portsource-ip|,source-port对应的截图如下。相当于等价路。firewallpacket-filterdefaultpermitinterzonelocaltrustdirectioninbound//允许ping通trust,允许telnettrust接口，使能够访问trust接口，如果不加这条命令不能在防火墙上ping通trust，也不能telnettrust接口。所有的local与业务无关。firewallpacket-filterdefaultpermitinterzonelocaltrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaluntrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaluntrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaldmzdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaldmzdirectionoutbound配置内部服务器V3版本通过acl指定，v5版本通过域间策略指定。拓扑：InternetUSG2000WEB服务器要求：服务器及其内网通过NAT能访问Internet,服务器80端口对外发布网页配置：1.NATaclnumber2000rule10permitsourcenataddress-group1firewallinterzonetrustuntrustpacket-filter2000outboundnatoutbound2000address-group12.夕卜网访问服务器aclnumber3000rule10permittcpdestination0destination-porteqwwwnatserverprotocoltcpglobalwwwinsidewwwfirewallinterzonetrustuntrustpacket-filter3000inbound3.配置telnetaclnumber3002rule10permitipdestination0user-interfacevty04acl3002inbound当内网部署了一台服务器，其真实IP是私网地址，但是希望公网用户可以通过一个公网地址来访问该服务器，这时可以配置NATServer，使设备将公网用户访问该公网地址的报文自动转发给内网服务器。前提条件已经配置USG5300的工作模式？已经配置接口IP地址？已经配置接口加入安全区域？如果使用虚拟防火墙功能，需要已经创建VPN实例，并配置接口绑定VPN实例？背景信息在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部一个WWW的服务器，或是一台FTP服务器。使用NATServer可以灵活地添加内部服务器，例如，可以将内网一台真实IP为的Web服务器的80端口映射为公网IP地址的80端口，将一台真实IP为的FTP服务器的23端口同样映射为公网IP地址的23端口。外部网络的用户访问内部服务器时，NATServer将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言，NATServer还会自动将回应报文的源地址转换成公网地址。说明：当针对同一私网IP地址配置了NAT和内部服务器两个功能时，USG5300将优先根据内部服务器功能的配置进行地址转换。操作步骤1.执行命令system-view，进入系统视图。2.选择执行以下命令之一，配置内部服务器。对所有安全区域发布同一个公网IP，即这些安全区域的用户都可以通过访问同一个公网IP来访问内部服务器。执行命令natserver[id]globalglobal-addressinsidehost-address[vrrpvirtual-router-id_,vpn-instancevpn-instance-name_，配置不指定协议类型的内部服务器。？执行命令natserver[id_protocolprotocol-typeglobalglobal-address[global-port]insidehost-address[host-port_,vrrpvirtual-router-id__vpn-instancevpn-instance-name]，配置指定协议类型的内部服务器。’说明：配置natserverprotocol命令时，global-port和host-port只要有一个定义了any，则另一个要么不定义，要么是any。?多个不同内部服务器使用一个公有地址对外发布时，可以多次使用natserver命令对其进行配置，但是global-port不能相同。对所有安全区域发布多个公网IP，即这些安全区域的用户都可以通过访问任意一个公网IP来访问内部服务器。？执行命令natserver[id]globalglobal-addressinsidehost-address[vrrpvirtual-router-id_no-reverse[vpn-instancevpn-instance-name_，配置不指定协议类型的内部服务器。？执行命令natserver[id_protocolprotocol-typeglobalglobal-address[global-port_insidehost-address,host-port_[vrrpvirtual-router-id_no-reverse,vpn-instancevpn-instance-name」，配置指定协议类型的内部服务器。'说明：与发布一个公网IP地址相比，发布多个公网IP地址时多了个参数no-reverseo配置不带no-reverse参数的natserver后，当公网用户访问服务器时，设备能将服务器的公网地址转换成私网地址；同时，当服务器主动访问公网时，设备也能将服务器的私网地址转换成公网地址。？参数no-reverse表示设备只将公网地址转换成私网地址，不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行natoutbound命令，natoutbound命令引用的地址池里必需是natserver配置的公网IP地址，否则反向NAT地址与正向访问的公网IP地址不一致，会导致网络连接失败。？？多次执行带参数no-reverse的natserver命令，可以为该内部服务器配置多个公网地址；未配置参数no-reverse则表示只能为该内部服务器配置一个公网地址。当统一安全网关同时应用于双机热备组网时，如果转换后的NAT服务器地址与VRRP备份组虚拟IP地址不在同一网段，则不必配置携带vrrp关键字的natserver命令；如果转换后的NAT服务器地址与VRRP备份组的虚拟IP地址在同一网段，则需要配置相关命令，且virtual-router-ID为统一安全网关NAT服务器出接口对应的VRRP备份组的ID。3.执行命令firewallinterzone[vpn-instancevpn-instance-name]zone-name1zone-name2，进入域间视图。4.执行命令detectprotocol，配置NATALG功能。在USG5300支持FTP、HTTP、、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、、NETBIOS>MMS等协议的会话时，需要在域间启动ALG功能。配置举例当一个内部服务器需要对不同网段的外部用户提供服务时，多次执行带no-reverse参数的natserver命令，可以为一个内部服务器配置多个公网IP地址。此时，外部的不同网段用户可以通过访问不同的公网IP地址来访问此内部服务器。如图1所示，例如服务器内部IP地址为，其公网IP地址分别为和。图1配置NATServer示意图[USG5300]natserverprotocoltcpglobalftpinsideftpno-reverse[USG5300]natserverprotocoltcpglobalftpinsideftpno-reverse说明：两次使用带no-reverse参数的natserver命令，为该内部服务器配置两个外部IP地址。[USG5300]nataddress-group0[USG5300]nataddress-group1注意：需要为不同的公网IP地址配置各自所属的不同的地址池。[USG5300]nat-policyinterzonedmzuntrustoutbound[USG5300-nat-policy-interzone-dmz-untrust-outbound]policy0[USG5300-nat-policy-interzone-dmz-untrust-outbound-0]policysource0[USG5300-nat-policy-interzone-dmz-untrust-outbound-0]policydestinationmask8[USG5300-nat-policy-interzone-dmz-untrust-outbound-0]actionsource-nat[USG5300-nat-policy-interzone-dmz-untrust-outbound-0]address-group0[USG5300-nat-policy-interzone-dmz-untrust-outbound-0]quit[USG5300-nat-policy-interzone-dmz-untrust-outbound]policy1[USG5300-nat-policy-interzone-dmz-untrust-outbound-1]policysource0[USG5300-nat-policy-interzone-dmz-untrust-outbound-1]policydestinationmask8[USG5300-nat-policy-interzone-dmz-untrust-outbound-1]actionsource-nat[USG5300-nat-policy-interzone-dmz-untrust-outboundT]address-group1允许内部服务器访问外部不同网段的用户群或不同的安全区域时，需要配置不同的目的地址，使该内部服务器通过不同的公网IP地址访问。内部服务器访问/24网段时，内部服务器私网的IP地址转换为地址池0中的公网IP地址。内部服务器访问/24网段时，内部服务器私网的地址转换成地址池1中的公网IP地址。此可以配置内部服务器与用户群之间能相互访问。说明：注意根据企业向运营商租用的总带宽、上网人数规划数据。例如企业总带宽为150M，规划办公区上网的总带宽不能超过100M。上网人数为20人，此时每个人可获得的平均带宽为5M，规划每个人的最大带宽可以高于平均带宽，保证带宽则要低于平均带宽，否则无法保证最低带宽。限制上传、下载两个方向的流量需要配置两条限流策略，上传是Trust到Untrust区域的策略，下载是Untrust到Trust区域的策略。配置每IP限流策略时，除了可以指定每个IP的最大带宽还可以指定最低保证带宽。为使保证带宽达到效果，需要将每IP限流策略和整体限流结合使用，当某个IP获取到保证带宽后发现网络总带宽还有剩余，还可以获得剩余的带宽。1、命令行配置方式：配置整体限流策略，限制上网的总体最大上传/下载带宽均为100Mbps整体上传限流：traffic-policyenable//启用限流功能#car-classupload_classtypeshared/酒己置整体限流Class，名称为upload_classconnection-number2000//限制连接数上限为2000，一般上传不限制连接数。car10000//限制最大带宽为100Mbps，单位为kbps，1Mbps=1000kbps#//创建上传的限流策略，上传的方向是从Trust到Untrusttraffic-policyinterzonetrustuntrustoutboundsharedpolicy0actioncar//动作为限流policysourcemask24//上传要指定源地址，目的地址是所有。policycar-classupload_class//引用创建的限流class。#整体下载限流：traffic-policyenable//启用限流功能#car-classdownload_classtypesharedc