华为防⽕墙配置命令⼤全,带案例,相当详细的!
关于阿龙
⼀个专注于计算机⽹络的⾮著名砖家,2016年拥有HCIE认证(数通⽅向),全球唯⼀编号:3558,分享计算机⽹络知识,让枯燥的技术知识变得更有趣,让⽂字动起来,让⽹络变得更简单。信息爆炸的年代,过多⽆⽤的信息充斥着我们,学⽹络技术,关注⼀个号就够了,⼀起交流,共同进步。
初始化防⽕墙
初始化防⽕墙: 默认⽤户名为admin,默认的密码Admin@123,这⾥修改密码为along@163.
Urname:admin
Password:*****雅思学校首选北京新航道
The password needs tobechanged. Change now? [Y/ N]: y
Plea enter old password: Admin@ 123
Plea enter newpassword: Along@ 163
Plea confirmnewpassword: Along@ 163
<FW1>system- view// 进⼊系统视图
[FW1] sysname FW1 // 给防⽕墙命名
[FW1] undoinfo- centerenable // 关闭⽇志弹出功能
[FW1] quit
<FW1>language- modeChine // 将提⽰修改为中⽂
Change languagemode, confirm? [Y/ N] y
提⽰:改变语⾔模式成功.
开启Web管理界⾯: 默认防⽕墙console接⼝IP地址是192.168.0.1.
<FW1>system- view
[FW1] web-manager enable // 开启图形管理界⾯
[FW1] interface GigabitEthernet 0/ 0/ 0
[FW1-GigabitEthernet0/ 0/ 0] ip address 192.168. 0.124// 给接⼝配置IP地址
[FW1-GigabitEthernet0/ 0/ 0] rvice-manage allpermit // 放⾏该端⼝的请求
[FW1-GigabitEthernet0/ 0/ 0] displaythis
配置Console⼝登陆:
tarc配置Console⼝登陆:
<FW1> system-view // 进⼊系统视图
[FW1]ur-interface console 0 // 进⼊console0的⽤户配置接⼝
[FW1-ui-console0]authentication-mode password // 使⽤密码验证模式
[FW1-ui-console0]t authentication password cipher Admin1234 // 设置密码为Admin1234 [FW1-ui-console0]quit // 退出⽤户配置接⼝
配置telnet密码认证: 配置密码认证模式,此处配置密码为Admin@123.
FW1> system-view
[FW1]telnetrverenable// 开启Telnet⽀持
歌曲[FW1]interfaceGigabitEthernet0/ 0/ 0// 选择配置接⼝
四级分数分配情况[FW1-GigabitEthernet0/0/0]rvice-managetelnetpermit// 允许telnet
[FW1-GigabitEthernet0/0/0]quit
[FW1]ur-interfacevty04// 开启虚拟终端
[FW1-ui-vty0-4]protocolinboundtelnet// 允许telnet
[FW1-ui-vty0-4]authentication-modepassword// 设置为密码认证模式
[FW1-ui-vty0-4]tauthenticationpasswordcipherAdmin@ 123// 设置⽤户密码
[USG6000V1]firewallzonetrust// 选择安全区域
[USG6000V1-zone-trust]addinterfaceGE0/ 0/ 0// 添加到安全区域
配置telnet⽤户名密码认证:
<FW1> system-view // 进⼊系统视图
[FW1] interfaceGigabitEthernet 0/ 0/ 0// 进⼊接⼝配置
[FW1-GigabitEthernet0/ 0/ 0] ip address 192.168.0.124// 配置接⼝IP
[FW1-GigabitEthernet0/ 0/ 0] rvice-manage telnet permit // 允许telnet
拉姆斯 波顿[FW1-GigabitEthernet0/ 0/ 0] rvice-manage ping permit // 允许ping
[FW1-GigabitEthernet0/ 0/ 0] quit //退出
[FW1] firewall zone trust // 进⼊trust安全域配置
[FW1-zone-trust] add interfaceGigabitEthernet 0/ 0/ 0// 把GE0/0/0加⼊到trust安全域
[FW1-zone-trust] quit
[FW1] telnet rver enable // 启⽤telnet服务
[FW1] ur- interfacevty 04// 进⼊vty0-4的⽤户配置接⼝
[FW1-ui-vty0 -4] authentication-mode aaa // 使⽤AAA验证模式buenos aires
[FW1-ui-vty0 -4] ur privilege level 3// 配置⽤户访问的命令级别为3
princess什么意思[FW1-ui-vty0 -4] protocol inbound telnet // 配置telnet
[FW1-ui-vty0 -4] quit // 退出⽤户配置接⼝
[FW1] aaa // 进⼊AAA配置视图
[FW1-aaa] manager-ur lyshark // 创建⽤户vtyadmin
[FW1-aaa-manager-ur-lyshark] password cipher admin@ 123// 配置⽤户密码[FW1-aaa-manager-ur-lyshark] rvice- typetelnet // 配置服务类型
[FW1-aaa-manager-ur-lyshark] quit // 退出
[FW1-aaa] bind manager-ur lyshark role system-admin // 绑定管理员⾓⾊[FW1-aaa] quit // 退出AAA视图
常⽤查询命令: 查询防⽕墙的其他配置,常⽤的⼏个命令如下.
[FW1]displayip interface brief // 查默认接⼝信息
[FW1]displayip routing- table// 显⽰路由表
[FW1]displayzone // 显⽰防⽕墙区域
[FW1]displayfirewall ssion table// 显⽰当前会话
[FW1]displaycurity-policy rule all // 显⽰安全策略
防⽕墙基本配置
初始化防⽕墙: 初始化配置,并设置好防⽕墙密码,此处⽤户名admin密码是along@123. Urname:admin
Password:*****
The password needs tobechanged. Change now? [Y/ N]: y
Plea enter old password: Admin@ 123
Plea enter newpassword: Along@ 163
Plea confirmnewpassword: Along@ 163
<USG6000V1>system- view// 进⼊系统视图不言而喻英文
[USG6000V1] sysname FW1 // 给防⽕墙命名
[FW1] undoinfo- centerenable // 关闭⽇志弹出功能
[FW1] quit
<FW1>language- modeChine // 将提⽰修改为中⽂
[FW1] web-manager enable // 开启图形管理界⾯
[FW1] interface GigabitEthernet 0/ 0/ 0
[FW1-GigabitEthernet0/ 0/ 0] rvice-manage allpermit // 放⾏该端⼝的请求
配置内⽹接⼝:配置内⽹的接⼝信息,这⾥包括个GE 1/0/0 and GE 1/0/1这两个内⽹地址. <FW1>system- view
[FW1] interface GigabitEthernet 1/ 0/ 0
[FW1-GigabitEthernet1/ 0/ 0] ip address 192.168. 1.1255.255. 255.0
[FW1-GigabitEthernet1/ 0/ 0] undoshutdown
[FW1-GigabitEthernet1/ 0/ 0] quit
[FW1] interface GigabitEthernet 1/ 0/ 1
[FW1-GigabitEthernet1/ 0/ 1] ip address 192.168. 2.1255.255. 255.0
[FW1-GigabitEthernet1/ 0/ 1] undoshutdown
[FW1-GigabitEthernet1/ 0/ 1] quit
# -------------------------------------------------------
[FW1] firewall zone trust // 将前两个接⼝加⼊trust区域
[FW1-zone-trust] addinterface GigabitEthernet 1/ 0/ 0
[FW1-zone-trust] addinterface GigabitEthernet 1/ 0/ 1
配置外⽹接⼝: 配置外⽹接⼝GE 1/0/2接⼝的IP地址,并将其加⼊到untrust区域中. [FW1]interfaceGigabitEthernet1/ 0/ 2// 选择外⽹接⼝
[FW1-GigabitEthernet1/0/2]undoshutdown// 开启外⽹接⼝
一艘轮船[FW1-GigabitEthernet1/0/2]ipaddress10.10.10.10255.255.255.0// 配置IP地址[FW1-GigabitEthernet1/0/2]gateway10.10.10.20// 配置⽹关
[FW1-GigabitEthernet1/0/2]undorvice-manageenable
[FW1-GigabitEthernet1/0/2]quit
# -------------------------------------------------------
[FW1]firewallzoneuntrust// 选择外⽹区域
[FW1-zone-untrust]addinterfaceGigabitEthernet1/ 0/ 2// 将接⼝加⼊到此区域
配置安全策略: 配置防⽕墙安全策略,放⾏trust(内⽹)-->untrust(外⽹)的数据包. [FW1]curity-policy // 配置安全策略
[FW1-policy-curity]rule name lyshark // 规则名称
[FW1-policy-curity-rule-lyshark]source-zone trust // 原安全区域(内部)
[FW1-policy-curity-rule-lyshark]destination-zone untrust // ⽬标安全区域(外部) [FW1-policy-curity-rule-lyshark]source- addressany // 原地址区域
[FW1-policy-curity-rule-lyshark]destination- addressany // ⽬标地址区域[FW1-policy-curity-rule-lyshark]rvice any // 放⾏所有服务
[FW1-policy-curity-rule-lyshark]action permit // 放⾏配置
千千阙歌英文歌词
[FW1-policy-curity-rule-lyshark]quit
配置源NAT:配置原NAT地址转换,仅配置源地址访问内⽹ --> 公⽹的转换.
