目前市面上华为的防火墙主要有Eudemon和华赛USG系列,以下是我使用华为USG5310系列防火墙时,总结的一点点经验,同大家分享下。 首先谈谈华赛防火墙的一些默认配置: console默认采用aaa local本地认证登录,故运行和启动配置中,console下本地认证看不到;默认用户名:admin;密码:Admin@123,默认admin的级别是level 3,最高权限,允许通过terminal、http登录;初始配置下,telnet是不能够登录的,没有配置登录的验证;USG系列防火墙,默认是带虚拟防火墙功能的,称为vzone,并且设置的默认优先级别为0;另外还有属于public的四个区域,local区域的优先级为100,主要是指本地设备信息;trust区域优先级为85,dmz区域的优先级为50,untrust区域的优先级为5,而且这些默认区域的优先级别是不能更改,有点类似于cisco的安全等级;默认防火墙策略是允许local区域的数据到trust区域的进出方向;huawei的设备接口规则,从下往上从左往右分别按照G0/0/0-G0/0/n-1(n等于接口的数量)。 同时华赛的防火墙有三种模式:透明模式,路由模式,混杂模式(主要是在透明模式使用到双机热备时采用);路由模式分为简单的路由模式和UTM(统一网关)模式 现在来谈谈华赛防火墙的基本需求配置: 当你拿到一台防火墙,想让它能够带着内网的机器上网,同时还要发布某些服务器出去,那么就需要进行基本的配置。以下是usg系列防火墙的基本配置命令方式 <usg5310> 当你通过console输入正确的用户名和密码后的提示符,属于用户视图,可以查看全部的配置,同时也能够对设备的配置进行相关的升级操作 [usg5310] 只有当你在用户视图输入system-view命令后,才能够进入该视图,从该视图可以配置大部分的配置,同时可以切换到任意的其它视图,属于最高级别的权限; [usg5310]sysname USG-5300-cave 将防火墙命名为自己希望的名字; [USG-5300-cave]super password level 3 ciper !Q@W#E$R 配置level 3超级权限的密码,主要是针对那些没有授权为level 3的用户,如果需要进入系统模式就要切换到高级别 [USG-5300-cave]ur-interface vty 0 4 进入到虚拟登录线程配置模式, [USG-5300-cave-ui-vty0-4]authentication-mode aaa/none/password 设置认证的模式为aaa认证/不需要认证/密码认证,自己从中间选择一种,本次选择为localur/password [USG-5300-cave-ui-vty0-4]idle-timeout 20 0 设置登录用户超时时间为20分钟 [USG-5300-cave-ui-vty0-4] acl acl-number 可以是基本的或者高级的acl,设置允许虚拟登录的源和登录的地址等信息 [USG-5300-cave-ui-vty0-4]lock authentication-counter 5 设置登录认证出错5次就锁定的机制,范围1-12,默认是三次 [USG-5300-cave-ui-vty0-4]lock lock-timeout 30 设置锁定的时间为30分钟,默认为10分钟,取值范围0-1500分钟 [USG-5300-cave-ui-vty0-4]history-command max-size 10 设置记录的历史键入命令的最大值为10条,范围在0-256之间 [USG-5300-cave-ui-vty0-4]t authentication password ciper cave@hs-usg-5310 设置通过认证密码来登录设备,要么在线上对登录用户进行登录级别授权,要么设置sup level 3的密码,允许用户权限提升进行操作。 [USG-5300-cave-ui-vty0-4]ur privilege level 3 设置用户登录的级别为3,主要是针对那些采用简单密码认证方式的用户,默认的用户级别为0,没有权限进行操作和查看, [USG-5300-cave-ui-vty0-4]screen-length 50 设置屏显长度为50行,范围在0-512行之间 [USG-5300-cave]aaa 进入到aaa配置模式 [USG-5300-cave-aaa]local-ur admin rvice-type terminal telnet web 允许用户admin通过三种方式登录 [USG-5300-cave]firewall zone trust 进入到防火墙trust区域配置模式下 [USG-5300-cave-zone-trust]add interface g0/0/0 将接口添加到trust区域 [USG-5300-cave]interface g0/0/0 进入接口配置模式 [USG-5300-cave-gigabitethernet0/0/0]ip address 192.168.0.1 255.255.255.0 给trust接口配置ip地址,这里与思科有点区别,思科防火墙接口要先加区域,然后配置ip,华赛是可以先配置ip再加入区域的; [USG-5300-cave-gigabitethernet0/0/0]quit [USG-5300-cave]interface g0/0/1 进入接口配置模式 [USG-5300-cave-gigabitethernet0/0/1]ip address 202.101.100.1 255.255.255.0 给untrust接口配置ip地址,这里与思科有点区别,思科防火墙接口要先加区域,然后配置ip,华赛是可以先配置ip再加入区域的; [USG-5300-cave-gigabitethernet0/0/1]quit 退出当前模式 [USG-5310-cave]ip route-static 0.0.0.0 0.0.0.0 g0/0/1 202.101.100.254 设置到互联网的默认路由,通过互联网出接口转发到下一跳网关 [USG-5310-cave]ip route-static 172.18.0.0 255.255.0.0 g0/0/0 192.168.0.2 设置到内网的多网段的路由,如果是直连的,则不需要添加内网路由 [USG-5310-cave]aaa [USG-5310-cave-aaa]local-ur cave password ciper cave@hs-usg-5310 在AAA数据库中间创建本地用户以及密码和密码采用的加密方式 [USG-5310-cave-aaa]local-ur cave rvice-type web terminal telnet 针对用户cave开启三种登录方式可以通过http或者https、console和telnet [USG-5310-cave-aaa]local-ur cave privilege level 3 设置cave的用户等级为最高级别,拥有最高级别的用户,不需要通过输入super pass level 3的密码即可以完全操作整台设备 [USG-5310-cave]nat address-group 1 untrust-vip 202.101.100.5 202.101.100.5 设置地址映射全局地址池的编号和名字,用户做pat使用,可以是出接口的地址,也可以一段地址 [USG-5310-cave]nat-policy interzone trust untrust outbound 设置地址映射策略,从内部区域的信任区域到非信任区域的出方向的地址映射 [USG-5310-cave-policy-interzone-trust-untrust-outbound]policy 1 映射的第一条策略,可以定义很多条,尤其是当需要不同的源,通过不同的地址映射时使用多条策略区分 [USG-5310-cave-policy-interzone-trust-untrust-outbound-1]action source-nat 在策略中执行的是源地址转换 [USG-5310-cave-policy-interzone-trust-untrust-outbound-1]policy source 192.168.0.0 24 针对该策略的需要转换的源地址段 [USG-5310-cave-policy-interzone-trust-untrust-outbound-1]address-group untrust-vip 将先前定义的地址池应用到该地址转发策略上 [USG-5310-cave]nat rver 1 zone untrust global 202.101.100.100 inside 172.18.100.100 将外部不信任区域上将内部的一台服务器发布到外网 [USG-5310-cave]nat rver 2 zone untrust protocol tcp global 202.101.100.101 80 inside 172.18.100.101 80 采用地址复用功能,将内部主机的对外提供服务端口映射到外网 [USG-5310-cave]nat rver 3 zone untrust protocol tcp global 202.101.100.101 8080 inside 172.18.100.102 8080 采用地址复用功能,将同一个外网地址的不同端口映射到不同的内网服务的不同应用 [USG-5310-cave]policy interzone untrust trust inbound 设置访问控制策略,放行从untrust区域到trust区域的进方向的策略 [USG-5310-cave-policy-interzone-trust-untrust-inbound]policy 1 定义区域间访问的第一条策略 [USG-5310-cave-policy-interzone-trust-untrust-inbound-1]action permit 针对该策略的动作是允许 [USG-5310-cave-policy-interzone-trust-untrust-inbound-1]policy destination address-t 172.18.100.100 设置允许访问的目的主机, [USG-5310-cave-policy-interzone-trust-untrust-inbound-1]policy rvice rvice-t http 设置被访问主机对外提供的服务 [USG-5310-cave]ip rvice-t tcp8080 type object 自定义的服务类,名叫tcp8080服务类, [USG-5310-cave-object-rvice-t-tcp8080]rvice 0 protocol tcp source-port 0 to 65535 destination-port 8080 定义tcp8080服务类的协议类型为tcp,源端口不限制,目的端口为8080的;即自定义一个8080的tcp服务端口 [USG-5310-cave-policy-interzone-trust-untrust-inbound]policy 2 定义区域间访问的第二条策略 [USG-5310-cave-policy-interzone-trust-untrust-inbound-2]action permit 针对该策略的动作是允许 [USG-5310-cave-policy-interzone-trust-untrust-inbound-2]policy destination address-t 172.18.100.101 设置允许访问的目的主机, [USG-5310-cave-policy-interzone-trust-untrust-inbound-2]policy rvice rvice-t tcp8080 设置被访问主机对外提供的服务,自定义服务tcp8080 <USG-5310-cave>save 保存配置文件 以下是配置HA的部分(注意当启用ha配置,备机会同步主机上面的配置,包括各种管理密码;但是必须登陆到备机进行配置保存) [USG-5310-cave]firewall zone name HA_zone 创建做HA的区域,将hrp的接口划分到专用的failover区域 [USG-5310-cave-zone-hrp_zone]t priority 90 设置该区域的优先级为90,用于hrp备份的专用区域 [USG-5310-cave-zone-hrp_zone]add interface gigabitethernet 0/0/2 将g0/0/2添加到HA_zone区域,用于hrp信息传递和状态备份信息 [USG-5310-cave]hrp mirror ssion enable 开启华为冗余协议会话镜像功能,通过该功能实现高效的failover功能,实现现有主设备会话在状态切换时也同步到备份设备上,降低由于重新建立地址映射表导致的延时 [USG-5310-cave]interface g0/0/1 进入到接口下 [USG-5310-cave-gigabitethernet0/0/1]vrrp vrid 1 virtual-ip 202.101.100.3 255.255.255.0 master 配置该接口冗余虚地址,设置为vrrp主 [USG-5310-cave-gigabitethernet0/0/1]link-group 1 将接口放置到线路监控组中,当一条链路出现故障时,将另外一条线路也切断,切换状态,保证该设备切换自己的状态,在链路恢复时,接口会自己恢复 [USG-5310-cave]interface g0/0/0 [USG-5310-cave-gigabitethernet0/0/0]vrrp vrid 2 virtual-ip 192.168.0.3 24 master 设置内部接口的vrrp的id号为2,vrrp主 [USG-5310-cave]interface g0/0/2 [USG-5310-cave-gigabitethernet0/0/2]ip address 10.10.10.1 24 [USG-5310-cave-gigabitethernet0/0/0]vrrp vrid 3 virtual-ip 10.10.10.3 24 master 设置冗余接口的虚ip,本地设备变为主 [USG-5310-cave]hrp enable 开启该台防火墙的hrp功能 HRP_M[USG-5310-cave]hrp interface gigabitethernet 0/0/2 transfer-only 设置华为热备冗余协议的通讯接口为g0/0/2,仅仅只传输冗余协议相关信息;备用设备显示为HRP_S |
本文发布于:2023-05-07 08:56:41,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/fanwen/fan/90/99062.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
