USG6310S防火墙配置说明

-.z.USG6310S防火墙配置说明概述防火墙使用场景为子站保护管理机（安全II区）接入站内继保保护装置（安全I区），通过对IP地址及端口进行限制，达到阻止非法访问的目的。为方便现场调试及日后维护工作现规定如下：防火墙ETH0的IP固定为，用作配置用；防火墙ETH0接从交换机过来的网线；防火墙ETH4接从子站管理机过来的网线。登录将笔记本通过网线接入防火墙的ETH0，通过浏览器访问:8443。用户名：admin、密码：Admin123（初始密码）进行配置，第一次登录时需要修改密码，将密码改为“Nice2003”。登录后设置界面如下图所示图STYLEREF1\s2SEQ图\*ARABIC\s11登录首页网络配置点击快捷按钮“网络”,可以对所使用的接入口进行配置，操作顺序如下图所示：装置后面板网口标识0至7与配置页面中接口名称对应关系如下：后面板ETH0对应配置页面中接口GE0/0/0后面板ETH1对应配置页面中接口GE0/0/1…后面板ETH7对应配置页面中接口GE0/0/7ETH0配置ETH保留作为配置使用。出厂时已经设好，无需变更。图STYLEREF1\s3SEQ图\*ARABIC\s11ETH0配置ETH1配置选择GE0/0/1行右则的编辑，在弹出的界面中设置如下：图STYLEREF1\s3SEQ图\*ARABIC\s12ETH1配置配置项如下：别名：保护安全区域：trust模式：交换连接类型：Access确定后第一次操作会弹出提示，如下图所示，确定即可。图STYLEREF1\s3SEQ图\*ARABIC\s13模式切换确认提示ETH4配置选择GE0/0/4行右则的编辑，在弹出的界面中设置如下：图STYLEREF1\s3SEQ图\*ARABIC\s14ETH4配置配置项如下：别名：子站安全区域：dmz模式：交换连接类型：Access对象配置对象配置中主要配置需放行的IP及端口号，IP在“地址”中配置、端口号在“服务中配置”，配置操作顺序如下图所示：图STYLEREF1\s4SEQ图\*ARABIC\s11对象配置操作顺序地址配置首次配置选择“新建”，如已有配置则选择“编辑”，配置界面如下图所示：图STYLEREF1\s4SEQ图\*ARABIC\s12保护IP配置注：第行可配置1个IP/*围或MAC地址，行之间使用回车分隔；掩码可以使用255.255.*.*样式，也可使用掩码位数来表示；IP配置支持多种方式，若连续的IP，可在首末2个IP之间通过“-”连接，如；单个IP配置，其掩码必须为或32，否则保存时其最后1至2段会变成0；新建地址分两部分，一是可以通过IP，一是需要屏蔽的IP图STYLEREF1\s4SEQ图\*ARABIC\s13子站地址配置服务配置服务配置服务配置中我们选择放行的端口，根据实际配置：常用放行的端口如下：icmp:ping服务服务组配置为方便选择及管理，将子站与保护通信的端口归到保护通信组中。策略点击快捷按钮“策略”,可以对所使用的策略进行配置，操作顺序如下图所示：图STYLEREF1\s5SEQ图\*ARABIC\s11策略配置顺序通过策略配置对需要从防火墙放行的IP及服务进行配置，配置如下：图STYLEREF1\s5SEQ图\*ARABIC\s12子站至保护策略图STYLEREF1\s5SEQ图\*ARABIC\s13保护至子站策略保存配置修改完毕，按界面右上角“保存”，如下图所示保存所做的配置。图STYLEREF1\s6SEQ图\*ARABIC\s11保存配置重启点击快捷按钮“系统”,在左侧目录树中选择“系统重启”，选择“保存并重启”，弹出确认对话框，确定即可。重启后所做的配置即生效，防火墙装置重启后至系统正常时间较长。备份点击快捷按钮“系统”,在左侧目录树中选择“配置文件管理”，选择“导出”，在弹出的对话框中选择文件备置位置及文件名，确定即可。图STYLEREF1\s8SEQ图\*ARABIC\s11备份导出复位当无法测试出防火墙的登录密码后，可在防火墙通电正常运行后用顶端尖硬的物体去捅防火墙后面板上RST键5秒以上，防火墙会清空当前配置恢复出厂设置。复位过程中前面板SYS灯先熄灭、后闪烁最后长亮，如果想快速启动可在按RST键5秒后关电重启防火墙。附录同一安全区域多个网口同一安全区域如trust若有多个网线接入，将接入网口的安全区域配置成待加入的安全区域即可。同区域内多个网口间是互通，与交换机类似。对象及策略无需特殊配置。图STYLEREF1\s9SEQ图\*ARABIC\s11同安全区域多个网口接入配置案例!SoftwareVersionV500R001C30SPC100!Lastconfigurationwassavedat2017-08-2101:42:05UTC*sysnameUSG6300*undol2tpsendaccmenablel2tpdomainsuffi*-separator*ipsecsha2patibleenable*undofactory-configurationprohibit*undotelnetserverenableundotelnetipv6serverenable*clocktimezoneBeijingadd08:00:00*hrpconfigurationauto-check1440*firewalldetectftp*firewalldefendactiondiscard*logtypetrafficenablelogtypesyslogenablelogtypepolicyenableundologtypethreatenableundologtypeurlenableundologtypeumenable*undodataflowenable*saforce-detectionenable*ispname"chinamobile"setfilenamechina-mobile.csvispname"chinauni"setfilenamechina-uni.csvispname"chinatele"setfilenamechina-tele.csvispname"chinaeducationnet"setfilenamechina-educationnet.csv*user-manageweb-authenticationsecurityport8887password-policylevelhighuser-managesingle-sign-onaduser-managesingle-sign-ontsmuser-managesingle-sign-onradiususer-managesso-syncradiussettinguser-managesecurityversiontlsv1.1tlsv1.2*firewallidsauthenticationtypesha256*snmp-agentsessionhistory-ma*-numberenable*web-managersecurityversiontlsv1.1tlsv1.2web-managerenableweb-managersecurityenable*firewalldataplanetomanageplaneapplication-apperceivedefault-actiondrop*updatescheduleips-sdbdaily22:10updatescheduleav-sdbdaily22:10updateschedulesa-sdbdaily22:10updateschedulecdaily22:10*ipvpn-instancedefaultipv4-family*ipaddress-set保护地址typeobject*ipaddress-set子站地址typeobjectaddress051mask32*time-rangeworktimeperiod-range08:00:00to18:00:00working-day*aaaauthentication-schemedefaultauthentication-schemeadmin_localauthentication-schemeadmin_radius_localauthentication-schemeadmin_hwtacacs_localauthentication-schemeadmin_ad_localauthentication-schemeadmin_ldap_localauthentication-schemeadmin_radiusauthentication-schemeadmin_hwtacacsauthentication-schemeadmin_adauthentication-schemeadmin_ldapauthorization-schemedefaultaccounting-schemedefaultdomaindefaultservice-typeinternetaccessssl-vpnl2tpikeinternet-accessmodepasswordreferenceusercurrent-domainmanager-useraudit-adminpasswordcipher%%nQ*1YTEI~m/KF=h;&'6)jh3`D2e=!|2t2e%(*8*T"dYjh6)%%service-typewebterminallevel15manager-userapi-adminpasswordcipher%%+`^VN+p~RIl]*Y'yIIT+3(8B8G)*:zmSCqC&uOr4jk;3(;+%%service-typeapilevel15manager-useradminpasswordcipher%%VA>`3aSb0(40`m7kA%,L-pm>[HVj4O-WZsc6dl{p~,L0%%%service-typewebterminallevel15rolesystem-adminroledevice-adminroledevice-admin(monitor)roleaudit-adminbindmanager-useraudit-adminroleaudit-adminbindmanager-useradminrolesystem-admin*l2tp-groupdefault-lns*interfaceGigabitEthernet0/0/0undoshutdownipbindingvpn-instancedefaultservice-managehttppermitservice-managehttpspermitservice-managepingpermit*interfaceGigabitEthernet0/0/1portswitchundoshutdownportlink-typeaccessalias保护*interfaceGigabitEthernet0/0/2undoshutdown*interfaceGigabitEthernet0/0/3undoshutdown*interfaceGigabitEthernet0/0/4portswitchundoshutdownportlink-typeaccessalias子站*interfaceGigabitEthernet0/0/5undoshutdown*interfaceGigabitEthernet0/0/6undoshutdown*interfaceGigabitEthernet0/0/7undoshutdown*interfaceVirtual-if0*interfaceCellular0/0/0*interfaceNULL0*firewallzonelocalsetpriority100*firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0addinterfaceGigabitEthernet0/0/1*firewallzoneuntrustsetpriority5*firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/4*undosshserverpatible-ssh1*enable*user-interfacecon0authentication-modeaaauser-interfacevty04authentication-modeaaaprotocolinboundsshuser-interfacevty1620*sa*location*multi-interfacemodeproportion-of-weight*right-