华为防火墙配置使用手册(自己写).doc

《华为防火墙配置使用手册(自己写).doc》由会员分享，可在线阅读，更多相关《华为防火墙配置使用手册(自己写).doc（31页珍藏版）》请在三一文库上搜索。

1、 华为防火墙配置使用手册防火墙默认的管理接口为g0/0/0，默认的ip地址为192.168.0.1/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin123一、 配置案例1.1 拓扑图GE 0/0/1：10.10.10.1/24GE 0/0/2：220.10.10.16/24GE 0/0/3：10.10.11.1/24WWW服务器：10.10.11.2/24（DMZ区域）FTP服务器：10.10.11.3/24（DMZ区域）1.2 Telnet配置配置VTY 的优先级为3，基于密码验证。# 进入系统视图。 system-view# 进入用户界面

2、视图USG5300 user-interface vty 0 4# 设置用户界面能够访问的命令级别为level 3USG5300-ui-vty0-4 user privilege level 3配置Password验证 # 配置验证方式为Password验证USG5300-ui-vty0-4 authentication-mode password# 配置验证密码为lantianUSG5300-ui-vty0-4 set authentication password simple lantian #最新版本的命令是authentication-mode password cipher hua

3、wei123配置空闲断开连接时间# 设置超时为30分钟USG5300-ui-vty0-4 idle-timeout 30USG5300 firewall packet-filter default permit interzone untrust local direction inbound /不加这个从公网不能telnet防火墙。基于用户名和密码验证user-interface vty 0 4 authentication-mode aaaaaa local-user admin password cipher MQ;4B+4Z,YWX*NZ55OA! local-user admin s

4、ervice-type telnet local-user admin level 3firewall packet-filter default permit interzone untrust local direction inbound如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。1.3 地址配置内网：进入GigabitEthernet 0/0/1视图 USG5300 interface GigabitEthernet 0/0/1配置GigabitEthernet 0/0/1的IP

5、地址 USG5300-GigabitEthernet0/0/1 ip address 10.10.10.1 255.255.255.0配置GigabitEthernet 0/0/1加入Trust区域USG5300 firewall zone trustUSG5300-zone-untrust add interface GigabitEthernet 0/0/1USG5300-zone-untrust quit外网：进入GigabitEthernet 0/0/2视图 USG5300 interface GigabitEthernet 0/0/2配置GigabitEthernet 0/0/2的I

6、P地址 USG5300-GigabitEthernet0/0/2 ip address 220.10.10.16 255.255.255.0配置GigabitEthernet 0/0/2加入Untrust区域USG5300 firewall zone untrustUSG5300-zone-untrust add interface GigabitEthernet 0/0/2USG5300-zone-untrust quitDMZ：进入GigabitEthernet 0/0/3视图USG5300 interface GigabitEthernet 0/0/3配置GigabitEthernet

7、0/0/3的IP地址。 USG5300-GigabitEthernet0/0/3 ip address 10.10.11.1 255.255.255.0USG5300 firewall zone dmzUSG5300-zone-untrust add interface GigabitEthernet 0/0/3USG5300-zone-untrust quit1.4 防火墙策略本地策略是指与Local安全区域有关的域间安全策略，用于控制外界与设备本身的互访。域间安全策略就是指不同的区域之间的安全策略。域内安全策略就是指同一个安全区域之间的策略，缺省情况下，同一安全区域内的数据流都允许通过，域

8、内安全策略没有Inbound和Outbound方向的区分。策略内按照policy的顺序进行匹配，如果policy 0匹配了，就不会检测policy 1了,和policy的ID大小没有关系，谁在前就先匹配谁。缺省情况下开放local域到其他任意安全区域的缺省包过滤，方便设备自身的对外访问。其他接口都没有加安全区域，并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域，并配置域间安全策略或开放缺省包过滤。安全策略的匹配顺序：每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。匹配条件安全策略可以指定多种匹配条件，报文必须同时满足所有条件才会匹配上策略。比如如下策略polic

9、y 1 policy service service-set dnspolicy destination 221.2.219.123 0policy source 192.168.10.1在这里policy service的端口53就是指的是221.2.219.123的53号端口，可以说是目的地址的53号端口。域间可以应用多条安全策略，按照策略列表的顺序从上到下匹配。只要匹配到一条策略就不再继续匹配剩下的策略。如果安全策略不是以自动排序方式配置的，策略的优先级按照配置顺序进行排列，越先配置的策略，优先级越高，越先匹配报文。但是也可以手工调整策略之间的优先级。缺省情况下，安全策略就不是以自动排序

10、方式。如果安全策略是以自动排序方式配置的，策略的优先级按照策略ID的大小进行排列，策略ID越小，优先级越高，越先匹配报文。此时，策略之间的优先级关系不可调整。policy create-mode auto-sort enable命令用来开启安全策略自动排序功能，默认是关闭的。如果没有匹配到安全策略，将按缺省包过滤的动作进行处理，所以在配置具体安全策略时要注意与缺省包过滤的关系。例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤，将造成那些没有匹配到安全策略的流量也会通过，就失去配置安全策略的意义了。同样，如果安全策略中只配置了需要拒绝的流量，其他流量都是允许通过的，这时需要开放缺省包过滤才

11、能实现需求，否则会造成所有流量都不能通过。执行命令display this查看当前已有的安全策略，策略显示的顺序就是策略的匹配顺序，越前边的优先级越高执行命令policy move policy-id1 before | after policy-id2，调整策略优先级。UTM策略安全策略中除了基本的包过滤功能，还可以引用IPS、AV、应用控制等UTM策略进行进一步的应用层检测。但前提是匹配到控制动作为permit的流量才能进行UTM处理，如果匹配到deny直接丢弃报文。安全策略的应用方向域间的Inbound和Outbound方向上都可以应用安全策略，需要根据会话的方向合理应用。因为USG是基

12、于会话的安全策略，只对同一会话的首包检测，后续包直接按照首包的动作进行处理。所以对同一条会话来说只需要在首包的发起方向上，也就是访问发起的方向上应用安全策略。如上图所示，Trust域的PC访问Untrust域的Server，只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC访问Server即可，对于Server回应PC的应答报文会命中首包建立的会话而允许通过。1.4.1 Trust和Untrust域间：允许内网用户访问公网策略一般都是优先级高的在前，优先级低的在后。policy 1：允许源地址为10.10.10.0/24的网段的报文通过配置Trust和Untrust

13、域间出方向的防火墙策略。 /如果不加policy source就是指any，如果不加policy destination目的地址就是指any。USG5300 policy interzone trust untrust outboundUSG5300-policy-interzone-trust-untrust-outbound policy 1USG5300-policy-interzone-trust-untrust-outbound-1 policy source 10.10.10.0 0.0.0.255 USG5300-policy-interzone-trust-untrust-ou

14、tbound-1 action permitUSG5300-policy-interzone-trust-untrust-outbound-1 quit如果是允许所有的内网地址上公网可以用以下命令：USG2100firewall packet-filter default permit interzone trust untrust direction outbound /必须添加这条命令，或者firewall packet-filter default permit all，但是这样不安全。否则内网不能访问公网。注意：由优先级高访问优先级低的区域用outbound，比如policy inte

15、rzone trust untrust outbound。这时候policy source ip地址，就是指的优先级高的地址，即trust地址，destination地址就是指的untrust地址。只要是outbound，即使配置成policy interzone untrust trust outbound也会变成policy interzone trust untrust outbound。由优先级低的区域访问优先级高的区域用inbound，比如是policy interzone untrust trust inbound，为了保持优先级高的区域在前，优先级低的区域在后，命令会自动变成po

16、licy interzone trust untrust inbound，这时候policy source ip地址，就是指的优先级低的地址，即untrust地址，destination地址就是指的优先级高的地址，即trust地址。总结：outbount时，source地址为优先级高的地址，destination地址为优先级低的地址。inbount时，source地址为优先级低的地址，destination地址为优先级高的地址配置完成后可以使用display policy interzone trust untrust来查看策略。1.4.2 DMZ和Untrust域间：从公网访问内部服务器po

17、licy 2：允许目的地址为10.10.11.2，目的端口为21的报文通过policy 3：允许目的地址为10.10.11.3，目的端口为8080的报文通过配置Untrust到DMZ域间入方向的防火墙策略，即从公网访问内网服务器只需要允许访问内网ip地址即可，不需要配置访问公网的ip地址。注意：在域间策略里匹配的顺序和policy的数字没有关系，他是从前往后检查，如果前一个匹配就不检查下一条了，假如先写的policy 3后写的policy 2，那么就先执行policy 3里的语句，如果policy 3里和policy 2里有相同的地址，只要上一个匹配了就不执行下一个一样的地址了。举例说明：po

18、licy 2里允许192.168.0.1通过，policy 3里拒绝192.168.0.1通过，哪个policy先写的就执行哪个。USG5300 policy interzone untrust dmz inboundUSG5300-policy-interzone-dmz-untrust-inbound policy 2USG5300-policy-interzone-dmz-untrust-inbound-2 policy destination 10.10.11.3 0USG5300-policy-interzone-dmz-untrust-inbound-2 policy servic

19、e service-set ftpUSG5300-policy-interzone-dmz-untrust-inbound-2 action permitUSG5300-policy-interzone-dmz-untrust-inbound-2 quitUSG5300-policy-interzone-dmz-untrust-inbound policy 3USG5300-policy-interzone-dmz-untrust-inbound-3 policy destination 10.10.11.2 0USG5300-policy-interzone-dmz-untrust-inbo

20、und-3 policy service service-set httpUSG5300-policy-interzone-dmz-untrust-inbound-3 action permitUSG5300-policy-interzone-dmz-untrust-inbound-3 quitUSG5300-policy-interzone-dmz-untrust-inbound quit应用FTP的NAT ALG功能。USG5300 firewall interzone dmz untrust #优先级高的区域在前USG5300-interzone-dmz-untrust detect f

21、tpUSG5300-interzone-dmz-untrust quit在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、SQL.NET、NETBIOS、MMS等协议的会话时，需要在域间启动ALG功能配置NAT ALG功能与配置应用层包过滤（ASPF）功能使用的是同一条命令。所以如果已经在域间配置过ASPF功能的话，可以不需要再重复配置NAT ALG功能。两者的区别在于：l ASPF功能的目的是识别多通道协议，并自动为其开放相应的包过滤策略。 l NAT ALG功能的目的是识别多通道协议，并自动转换报文载荷中的IP地址和端口

22、信息。在域间执行detect命令，将同时开启两个功能。配置内部服务器： system-viewUSG5300 nat server protocol tcp global 220.10.10.16 8080 inside 10.10.11.2 wwwUSG5300 nat server protocol tcp global 220.10.10.17 ftp inside 10.10.11.3 ftp1.4.3 NAT策略Trust和Untrust域间： 如果是同一个区域，比如trust到trust就是域内。基于源IP地址转换方向Outbound方向：数据包从高安全级别流向低安全级别Inbou

23、nd方向：数据包从低安全级别流向高安全级别高优先级与低优先级是相对的根据基于源IP地址端口是否转换分为no-pat方式和napt方式。No-PAT方式：用于一对一IP地址转换，不涉及端口转换NAPT方式：用于多对一或多对多IP地址转换，涉及端口转换1、通过地址池的方式policy 1：允许网段为10.10.10.0/24的内网用户访问Internet时进行源地址转换,采用公网地址池的形式。配置地址池USG5300nat address-group 1 220.10.10.16 220.10.10.20配置Trust和Untrust域间出方向的策略USG5300 nat-policy inter

24、zone trust untrust outboundUSG5300-policy-interzone-trust-untrust-outbound policy 1USG5300- nat-policy -interzone-trust-untrust-outbound-1 policy source 10.10.10.0 0.0.0.255USG5300- nat-policy -interzone-trust-untrust-outbound-1 action source-natUSG5300- nat -policy-interzone-trust-untrust-outbound-

25、1 address-group 1 no pat如果是基于外网接口的nat转换可以不用配置地址池，直接在nat-policy interzone trust untrust outbound里配置eary-ip 外网接口这里的policy source指的是trust地址，nat转换成untrust地址，如果是nat-policy interzone trust untrust inbound，源地址就是指untrust地址，转换成trust地址。2、通过公网接口的方式创建Trust区域和Untrust区域之间的NAT策略，确定进行NAT转换的源地址范围192.168.1.0/24网段，并且将

26、其与外网接口GigabitEthernet 0/0/4进行绑定。USG nat-policy interzone trust untrust outboundUSG-nat-policy-interzone-trust-untrust-outbound policy 0USG-nat-policy-interzone-trust-untrust-outbound-0 policy source 192.168.1.0 0.0.0.255USG-nat-policy-interzone-trust-untrust-outbound-0 action source-natUSG-nat-polic

27、y-interzone-trust-untrust-outbound-0 easy-ip GigabitEthernet 0/0/4 USG-nat-policy-interzone-trust-untrust-outbound-0 quit3、直接在接口启用nat如果是针对内网用户上公网做nat，需要在内网接口使用USG-GigabitEthernet0/0/0nat enable二、其他常用配置2.1 查看防火墙的会话的命令USG5320dis firewall session table source|destination inside|global可以查看这个数据包有没有过来。dis

28、play firewall session table verbose source inside 2.2.2.2 /inside可以查看私网ip地址信息，global可以查看公网ip地址信息。如上图所示icmp表示协议的类型。local - trust 表示这个包是从local区域到trust区域的192.168.200.5:1 - 172.16.4.66:2048表示这个包是从192.168.200.5访问172.16.4.66的，如果该会话项有就表示做了nat转换，里的地址是转换后的地址。如果该会话项为“+-”表示启用了ASPF；-packets：14 bytes:840表示该会话出方向

29、的包数和字节数统计-packets:5 bytes:420 表示该会话入方向的包数和字节数统计。如上图所示:“-packets:0 bytes:0”表示回来的包没有收到。2.2 查看防火墙序列号display firewall esn 可以查看防火墙的序列号2.3 DHCP配置2.3.1 接口dhcp用接口的DHCP功能 (在某个VLAN接口下启用DHCP功能，这个VLAN里的所有主机将自动获得IP地址，网段就是接口IP的网段，网关为接口IP）例：USG5300 dhcp enable (启用dhcp服务，缺省情况下启用)USG5300 interface Vlan-interface2USG

30、5300-Vlanif2 ip address 219.225.149.1 255.255.255.0USG5300-Vlanif2 dhcp select interface（启用接口的DHCP功能）USG5300-Vlanif2 dhcp server static-bind ip-address 219.225.149.8 mac-address 00e0-4c58-0d26（做IP与mac绑定, 对于一些特定的客户端（例如WWW服务器）需要静态分配固定IP地址，此时可以在DHCP服务器侧绑定IP地址和特定客户端MAC地址。）USG5300-Vlanif2 dhcp server dns

31、-list 219.225.128.6 219.225.159.6(指定DNS地址）USG5300-Vlanif2 dhcp server ip-range 10.1.1.1 10.1.1.100 (配置接口地址池的IP地址范围, 缺省情况下，接口地址池的地址范围就是接口的IP地址所在的网段)USG5300 dhcp server forbidden-ip 10.110.1.1 10.110.1.63 (配置DHCP地址池中不参与自动分配的IP地址)2.3.2全局DHCP功能USG5300 dhcp enableUSG5300 dhcp server ip-pool 136（定义一个全局的地址

32、池，名子自己定义）USG5300-dhcp-136network 219.225.136.0 mask 255.255.255.0（这个地址池可供分配的IP段）USG5300-dhcp-136gateway-list 219.225.136.1（必须写网关，否则自动分配的IP地址无网关）USG5300-dhcp-136dns-list 219.225.128.6（DNS配置）USG5300-dhcp-136 static-bind ip -address 10.1.1.1 mask 255.255.255.0USG5300-dhcp-136 static-bind mac-address 00

33、00-e03f-0305#USG5300dhcp server ip-pool 149（定义一个全局的地址池，名子自己定义）USG5300-dhcp-149network 219.225.149.0 mask 255.255.255.0（这个地址池可供分配的IP段）USG5300-dhcp-149gateway-list 219.225.149.1（自动获取的IP主机获得的网关）USG5300-dhcp-149dns-list 219.225.128.6（DNS配置）USG5300interface Vlan-interface2 (定义vlan接口，自由定义）USG5300-Vlanif2d

34、hcp select globle(接口上启用dhcp select globle功能）USG5300-Vlanif2ip address 219.225.136.1 255.255.255.0(vlan接口必须要分一个IP，即与网关相同的IP,系统根据接口IP与掩码确定自动分配哪一个IP-Pool的IP）USG5300 interface Vlan-interface3 (定义vlan接口，自由定义）USG5300-Vlanif3dhcp select globle(接口上启用dhcp select globle功能）USG5300-Vlanif3ip address 219.225.149

35、.1 255.255.255.0(vlan接口必须要分一个IP，即与网关相同的IP,系统根据接口IP与掩码确定自动分配哪一个IP-Pool的IP）2.4 配置透明模式目前华为的防火墙不支持透明模式的命令，只能用Vlan，把端口加入到vlan的方式。USG5300 vlan 2USG5300 int g0/0/0 USG5300-GigabitEthernet0/0/0 portswitch USG5300-GigabitEthernet0/0/0 port link-type access USG5300-GigabitEthernet0/0/0 port access vlan 2USG53

36、00 int g0/0/1 USG5300-GigabitEthernet0/0/1portswitch USG5300-GigabitEthernet0/0/1 port link-type accessUSG5300-GigabitEthernet0/0/1 port access vlan 2然后把相应的端口加入到相应的区域就可以了！一般只需要加物理接口即可。 如果防火墙只是用在服务器和内网之间，一般将连接服务器接口设置为trust，将内网设置为untrust。子接口的配置方法：子接口不能配置portswitch命令，可以将子接口划分到某个vlan。USG5300-GigabitEthe

37、rnet0/0/3int g0/0/3.1USG5300-GigabitEthernet0/0/3.1vlan-type dot1q 60设置GigabitEthernet 0/0/3.1与VLAN ID 60相关联，以太网子接口GigabitEthernet 0/0/3.1的封装格式为dot1q2.5 配置时钟用户模式下 clock timezone Beijing minus 08:00:00 clock datetime 0:0:0 2012/12/01display clock可以查看时间2.6 系统更新2.6.1 使用命令进行升级1、 先将升级文件上传到防火墙 tftp 192.16

38、8.0.100 get su5mpua07v3r1c00spc700.bin2、 startup system-software USG5300V200R001C00SPC800.bin #指定下次启动时使用的版本文件。 startup saved-configuration vrpcfg_new.cfg #指定下次启动时使用的配置文件，这个是可选配置3、 display startup #验证配置4、 使用reboot重启防火墙，执行reboot命令后，设备将会显示两次提示信息，询问是否继续，请您不保存配置重新启动。5、 用户模式命令。如果有license可以通过命令加载license。系统

39、视图命令：USG5300license file license.dat，然后使用reboot命令重新启动系统，重新启动时请一定不要保存配置。6、 加载补丁的方法：1、在任意视图下，执行display patch-information，查看补丁信息。显示示例如下：2、如果没有补丁信息可以直接加载补丁；如果有补丁信息，需要先删除原有补丁再加载，示例如下： USG5300 patch delete V300R001C10SPH101.pat3、加载补丁：USG5300 patch load V300R001C10SPH102.pat4、激活补丁USG5300 patch active V300R

40、001C10SPH102.pat5、运行补丁USG5300 patch run V300R001C10SPH102.pat2.6.2 使用图形界面升级点击维护系统更新选择需要更新的系统文件，点击导入。使用图形界面升级的时候，升级完成后不需要保存配置。直接重启就是。用图形界面加载License的方法如下：选择License文件，然后点击激活。2.7 防火墙策略的配置策略需求：对于policy interzone trust dmz outbound之间的策略有以下需求：1、源地址为10.28.197.143能访问所有的目的地址，服务全部开放。2、源地址是所有的，目的地址是192.168.1.5、

41、192.168.1.6和192.168.1.7开放80、8080、443和3389端口。3、源地址是所有的访问目的地址是192.168.1.10、192.168.1.11的服务全部开放。这三个都要求开放icmp协议。在这里源为优先级高的10.28.197.X的trust区，目的为优先级低的192.168.1.X的dmz区。如果策略里不知道源和目的就是指any配置方法：ipservice-settest1typeobject /创建自定义服务 service0protocoltcpdestination-port8080service1 protocoltcpdestination-port33

42、89也可以指定一个范围，比如：service1 protocoltcpdestination-port8080 to 8090ip service-set test type group /创建服务组，可以将创建的自定义服务或者预定义的服务加到服务组里。 service 0 service-set http service 1 service-set httpsservice 2 service-set icmpservice 3 service-set test1 /将以上创建的自定义服务添加到服务组里policyinterzonetrustdmzoutbound /配置域间包过滤策略，3个

43、需求3个policy策略policy0actionpermitpolicysource10.28.197.143mask255.255.255.255policy1actionpermitpolicyserviceservice-settest /指定上面创建的服务组policydestination192.168.1.5mask255.255.255.255policydestination192.168.1.6mask255.255.255.255policydestination192.168.1.7mask255.255.255.255policy2actionpermitpolicy

44、destination192.168.1.10mask255.255.255.255policydestination192.168.1.11mask255.255.255.255#有地方还需要创建地址集，方法如下ip address-set ap type object /创建地址集： address 0 192.168.100.62 mask 32 /一个单独地址 address 1 range 18.0.6.55 18.0.6.255 /创建一个地址范围类型是object和group的格式是一样的，只不过group里的地址里可以包含object和其他的group。ip address-s

45、et 生产网ip限制 type group /创建地址组address 0 address-set ap /可以包含以前的object。 address 1 range 18.0.7.0 18.0.7.255 address 2 range 18.0.6.55 18.0.6.255 address 3 range 18.0.5.0 18.0.5.255 address 4 range 18.0.4.0 18.0.4.255 /一个地址范围，组里可以包含以前创建的地址或者组。添加地址界面创建的地址集或者是地址组需要在策略里引用：policyinterzonetrustdmzoutboundpol

46、icy1policy destination address-set生产网ip限制2.8 内部服务器的映射ip service-set video type object /增加自定义服务，做域间策略的时候引用 service protocol tcp destination-port 10001 to 10007 /开启端口的范围 service protocol tcp destination-port 9001 service protocol tcp destination-port 3389 service protocol tcp destination-port 1521service protocol tcp destinatio