22-1用户手册(华为USG防火墙)解析_第1页
22-1用户手册(华为USG防火墙)解析_第2页
22-1用户手册(华为USG防火墙)解析_第3页
22-1用户手册(华为USG防火墙)解析_第4页
22-1用户手册(华为USG防火墙)解析_第5页
已阅读5页,还剩50页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

华为防火墙配置用户手册1.1拓扑图GE0/0/1:/24GE0/0/2:6/24GE0/0/3:/24#进入系统视图。#进入用户界面视图dmplelantian配置空闲断开连接时间[USG5300]firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound//基于用户名和密码验证local-useradminpasswordcipher]MQ;4\]B+4Z,YWX*NZ55OA!!lfirewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninboundcaltelnet1.3地址配置[USG5300]interfaceGigabitEthernet0/0/1tterfaceGigabitEthernet[USG5300]interfaceGigabitEthernet0/0/2oneuntrustterfaceGigabitEthernetDMZ:[USG5300]interfaceGigabitEthernet0/0/3mz1.4防火墙策略本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。域间安全策略就是指不同的区域之间的安全策略。缺省情况下开放local域到其他任意安全区域的缺省包过滤,方便设备自身的对外访问。其加入安全区域,并配置域间安全策略或开放缺省包过滤。每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。安全策略可以指定多种匹配条件,报文必须同时满足所有条件才会匹配上策略。policy1配置的,策略的优先级按照策略ID的大小进行排列,策略ID越小,优先级越高,越先匹来开启安全策略自动排序功能,默认是关闭的。注意与缺省包过滤的关系。例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤,将造成那些没有匹配到安全策略的流量也会通过,就失去配置安全策略的意义了。缺省包过滤才能实现需求,否则会造成所有流量都不能通过。执行命令displaythis查看当前已有的安全策略,策略显示的顺序就是策略的匹配顺序,越前边的优先级越高licyidbeforeafterpolicyidUTM策略安全策略的应用方向USG是基于会话的安全策略,只对同一会话的首包检测,后续包直接按照首包的动作进行处理。所以对同一条会话来说只需要在首包的发起方向上,也就是访问发起的方向上应用安全策略。C话而允许通过。策略一般都是优先级高的在前,优先级低的在后。[USG5300]policyinterzonetrustuntrustoutboundyt如果是允许所有的内网地址上公网可以用以下命令:untrusttrustoutbound也会变成policyinterzonetrustuntrustoutbound。由优先级低的区域访问优先级高的区域用inbound,比如是policyinterzoneuntrusttrustinbound,为了保持优先级高的区域在前,优先级低的区域在后,命令会自动变成icyinterzonetrustuntrustinboundpolicysourceipterzonetrustuntrusticy[USG5300]firewallinterzonedmzuntrust###优先级高的区域在前配置NATALG功能与配置应用层包过滤(ASPF)功能使用的是同一条命令。所以如果已ASPF功能的目的是识别多通道协议,并自动为其开放相应的包过滤策略。配置内部服务器:USG00]natserverprotocoltcpglobal68080insidewww[USG5300]natserverprotocoltcpglobal7ftpinsideftptboundInbound方向:数据包从低安全级别流向高安全级别高优先级与低优先级是相对的NAPT方式:用于多对一或多对多IP地址转换,涉及端口转换1、通过地址池的方式配置地址池[USG5300]nataddress-group160[USG5300]nat-policyinterzonetrustuntrustoutbound55t如果是基于外网接口的nat转换可以不用配置地址池,直接在nat-policyinterzonetrustuntrustoutboundearyip接口2、通过公网接口的方式创建Trust区域和Untrust区域之间的NAT策略,确定进行NAT转换的源地址范围[USG]nat-policyinterzonetrustuntrustoutboundtnet2.1查看防火墙的会话的命令[USG5320]disfirewallsessiontable[source|destination][inside|global]可以查看个数据包有没有过来。displayfirewallsessiontableverbosesourceinside//inside可以查看私.66“+->”表示启用了ASPF;-->packets:14bytes:840表示该会话出方向的包数和字节数统计<--packets:5bytes:420表示该会话入方向的包数和字节数统计。2.2查看防火墙序列号displayfirewallesn可以查看防火墙的序列号2.3DHCP配置[USG5300]interfaceVlan-interface2IP围,缺省情况下,接口地址池的地址范围就是接口的IP地址所在的网段)[USG5300]dhcpserverip-pool136(定义一个全局的地址池,名子自己定义)S[USG5300-dhcp-136]static-bindip-addressmask[USG5300-dhcp-136]static-bindmac-address0000-e03f-0305#facevlanPP2.4配置透明模式n[USG5300]vlan2[USG5300]intg0/0/0[USG5300-GigabitEthernet0/0/0]portswitch[USG5300-GigabitEthernet0/0/0]portlink-typeaccess[USG5300-GigabitEthernet0/0/0]portaccessvlan2[USG5300]intg0/0/1[USG5300-GigabitEthernet0/0/1]portswitch[USG5300-GigabitEthernet0/0/1]portlink-typeaccess[USG5300-GigabitEthernet0/0/1]portaccessvlan2然后把相应的端口加入到相应的区域就可以了!一般只需要加物理接口即可。子接口的配置方法:子接口不能配置portswitch命令,可以将子接口划分到某个vlan。2.5配置时钟用户模式下2.6系统更新2.6.1使用命令进行升级版本文件。USGstartupsavedconfigurationvrpcfgnewcfg下次启动时使用的配置文件,这个是可选配置继续,请您不保存配置重新启动。要保存配置。nHpat5、运行补丁[USG5300]patchrunV300R001C10SPH102.pat2.6.2使用图形界面升级点击维护—系统更新选择需要更新的系统文件,点击导入。使用图形界面升级的时候,升级完成后不需要保存配置。直接重启就是。2.7防火墙策略的配置对于policyinterzonetrustdmzoutbound之间的策略有以下需求:1、源地址为43能访问所有的目的地址,服务全部开放。3、源地址是所有的访问目的地址是0、1的服务全部开放。icmp议。里不知道源和目的就是指anyipservice-settest1typeobject//创建自定义服务service0protocoltcpdestination-port8080service1protocoltcpdestination-port3389也可以指定一个范围,比如:service1protocoltcpdestination-port8080to8090ipservice-settesttypegroup//创建服务组,可以将创建的自定义服务或者预定义的服务加到服务组里。service0service-sethttpservice1service-sethttpsservice2service-seticmpservice3service-settest1//将以上创建的自定义服务添加到服务组里policyinterzonetrustdmzoutbound//配置域间包过滤策略,3个需求3个policy策略policy0actionpermitpolicysource43mask55policy1actionpermitpolicyserviceservice-settest//指定上面创建的服务组policydestinationmask55policydestinationmask55policydestinationmask55policy2actionpermitpolicydestination0mask55policydestination1mask55#有地方还需要创建地址集,方法如下ipaddress-setaptypeobject//创建地址集:address02mask32//一个单独地址address1range555//创建一个地址范围tgroup。ipaddress-set生产网ip限制typegroup//创建地址组address0address-setap//可以包含以前的object。address1range55address2range555address3range55address4range55//一个地址范围,组里可以包含以前创建的地添加地址界面创建的地址集或者是地址组需要在策略里引用:policyinterzonetrustdmzoutboundpolicy1o//增加自定义服务组//这个可以是自定义的服务集policy12.9配置域内NAT,实现内网用户通过公网访问内部服务器###不正常的时候在配置。zt2.10配置策略路由aclnumber3000rule1permitipsource55aclnumber3001rule1permitipsource55policy-based-routeinternetpermitnode0if-matchacl3000applyip-addressnext-hop77policy-based-routeinternetpermitnode1if-matchacl3001applyip-addressnext-hop33、将策略路由引用到入接口(内网口)ippolicy-based-routeinternet4、配置默认路由,配置策略路由的时候不需要配置明细路由。iproute-static77iproute-static3dispolicy-based-route2.11双线接入时的路由配置双线接入时必须选择等价路由,配置到达相同目的地的多条路由,如果指定相同优先级,则可实现负载分担。此时,多条路由之间称为等价路由。dd配置内部服务器natoutboundaddressgroup1aclnumber3000rule10permittcpdestination0destination-porteqwwwnatserverprotocoltcpglobalwwwinsidewwwfirewallinterzonetrustuntrustpacket-filter3000inboundaclnumber3002rule10permitipdestination0user-interfacevty04acl3002inbound前提条件SG••背景信息动将回应报文的源地址(私网地址)转换成公网地址。操作步骤。[vrrpvirtual-router-id][vpn-instancevpn-instance-name],▪执行命令natserver[id]protocolprotocol-typeglobal[vrrpvirtual-router-id][vpn-instancevpn-instance-name],[vrrpvirtual-router-id]no-reverse[vpn-instancevpn-instance-name],配置不指定协议类型的内部服务器。▪执行命令natserver[id]protocolprotocol-typeglobal[vrrpvirtual-router-id]no-reverse[vpn-instancevpn-instance-name],配置指定协议类型的内部服务器。。址转换成公网地址。当内部服务器主动访问外部网络时需要执行nat3.执行命令firewallinterzone[vpn-instancevpn-instance-name]配置举例no-reverseno-reverseUSGnataddressgroup2.2.2USGnataddressgroup.3.3.3natpolicyinterzonedmzuntrustoutboundicyinterzonedmzuntrustoutboundpolicysourcedestinationmask8nterzonedmzuntrustoutboundaddressgrouperzonedmzuntrustoutboundpolicyicyinterzonedmzuntrustoutboundpolicysourcedestinationmask8toutboundaddressgroup注意根据向运营商租用的总带宽、上网人数规划数据。个人可获得的平均带宽为5M,规划每个人的最大带宽可以高于平均带宽,保证带宽则要低于平均带宽,否则无法保证最低带宽。限制上传、下载两个方向的流量需要配置两条限流策略,上传是Trust到Untrust区域的策发现网络总带宽还有剩余,还可以获得剩余的带宽。配置整体限流策略,限制上网的总体最大上传/下载带宽均为100Mbps#####//动作为限流//上传要指定源地址,目的地址是所有。#//动作为限流//下载要指定目的地址,源地址是所有。配置每IP限流策略,限制每个员工的上传流量。每个员工的最大上传/下载带宽:8Mbps/10Mbps每个员工的上传/下载保证带宽:4Mbps#car-classper_upload_classtypeper-ipcarmax8000guaranteed4000//上传最大带宽8M,保证带宽4M。car-classper_download_classtypeper-ipcarmax10000guaranteed4000//下载最大带宽10M,保证带宽4M。connection-number10//也可以设置最大连接数,一般不设置,把这条命令去掉即可。#traffic-policyinterzonetrustuntrustoutboundper-ippolicy0actioncarpolicysourcemask24//因为需要限制上网员工的上传流量,所以限流对象选择“源地址”。policycar-typesource-ippolicycar-classper_upload_classtraffic-policyinterzonetrustuntrustinboundper-ippolicy0actioncarpolicydestinationmask24//为需要限制上网员工的下载流量,所以限流对象选择“目的地址”。policycar-typedestination-ippolicycar-classper_download_classcar-classip线速typeper-ipconnection-number10carmax20guaranteed10#配置限制外网用户访问内网服务器连接数的整体限流策略。car-classconnection_classtypesharedconnection-number20//限制外网用户访问内网FTP服务器的最大连接数不能超过20个traffic-policyinterzonedmzuntrustinboundsharedpolicy0actioncarpolicydestinationmask24//ftp服务器的ip地址policycar-classconnection_class上传的整体限流策略:3协议集:saenable//全局启用应用控制功能sasa视图user-define-ruletest//在sa视图下创建自定义应用程序testprotocoltcpsource-port10destination-port10ruleenablesadescription禁止某些应用categorycategoryWeb_VideocategoryGamecategoryAttackcategoryNetwork_StoragecategoryStreamingcategoryPeerCastingcategoryVoIPcategoryuserdefineapplicationtest//可以将创建的自定义应用程序添加到应用协议集[huawei]sa-policytest//系统视图命令,对应于防火墙的UTM下的应用控制下的策略。policydefaultactionpermitrule0ruleenableactiondenyrulecategoryWeb_BrowsingapplicationHTTPrule3ruleenableactiondenyruleapp-settest//引用上面创建的应用协议集在策略上引用创建的应用程序:policyinterzonetrustuntrustoutboundpolicy24actionpermitpolicysourceaddress-set生产网ip限制policysa生产网ip限网policy23actionpermitpolicysourceaddress-set质量管理部及pmcpolicysa质量管理部及pmcpolicy22actionpermitpolicylogging//记录策略匹配日志policysourceaddress-setoempolicysaoempolicy21actionpermitpolicysourceaddress-setme制造一课二课policysame制造一课二课移动策略的优先级:域间或者域内视图下。policymove的优先级调整到policy-id2之后。功能开启。Web口配置“安全防护”里的配置。firewalldefendactionalertfirewalldefendudp-short-headerenablefirewalldefendport-scanenablefirewalldefendip-sweepenablefirewalldefendteardropenablefirewalldefendip-fragmentenablefirewalldefendtcp-flagenablefirewalldefendwinnukeenablefirewalldefendfraggleenablefirewalldefendping-of-deathenablepolicy2actionpermitfirewalldefendudp-floodenablefirewalldefendsmurfenablefirewalldefendlandenablefirewalldefendarp-floodenablefirewalldefendarp-spoofingenablefirewalldefendudp-floodbase-sessionmax-rate20000firewalldefendicmp-floodbase-sessionmax-rate255firewallsource-ipdetectinterfaceGigabitEthernet0/0/5firewallsource-ipdetectinterfaceGigabitEthernet0/0/6firewalldefendicmp-floodinterfaceGigabitEthernet0/0/5max-rate200000firewalldefendicmp-floodinterfaceGiga

人人文库> 全部分类> 办公材料 > 办公文档

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论