华为防火墙配置使用手册 防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了 dhcp server,默认用户名为admin,默认密码为Admin@123 一、配置案例 1.1拓扑图 地址池: 10.10.10.0/24 220.10.10.16-20 GE 0/0/1 GE 0/0/2 局城网 Internet GE 0/0/3 DMZ 10.10.11.0/24 GE 0/0/1:10.10.10.1/24 GE 0/0/2: 220.10.10.16/24 GE 0/0/3: 10.10.11.1/24 WWW服务器:10.10.11.2/24(DMZ区域) FTP服务器:10.10.11.3/24(DMZ区域) 1.2Telnet配置 配置VTY的优先级为3,基于密码验证.
#进入系统视图.
system-view #进入用户界面视图 [USG5300] user-interface vty 0 4 #设置用户界面能够访问的命令级别为level3
[USG5300-ui-vty0-4] user privilege level 3 配置Password验证 #配置验证方式为Password验证 [USG5300-ui-vty0-4] authentication-mode password 配置验证密码为lantian [USG5300-ui-vty0-4] set authentication password simple lantian###最新版本的命令是 authentication-mode password cipher huawei@123 配置空闲断开连接时间 #设置超时为30分钟 [USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local diretion inbound // 不加这个从公网不能telnet防火墙.
基于用户名和密码验证 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher [MQ;4↓B4Z YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direetion inbound 如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认 情况下已经开放了trust域到local域的缺省包过滤.
1.3地址配置 内网: 进入GigabitEthernet 0/0/1视图 [USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1 的 IP 地址 [USG5300-GigabitEthernet0/0/1] ip address 10. 10. 10. 1 255. 255. 255. 0 配置 GigabitEthernet 0/0/1 加入 Trust 区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网: 进入GigabitEthernet 0/0/2视图 [USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的 IP 地址 [USG5300-GigabitEthernet0/0/2] ip address 220. 10. 10. 16 255. 255. 255. 0 配置GigabitEthernet 0/0/2加入 Untrust 区域 [USG5300] firewall zone untrust
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit DMZ: 进入GigabitEthernet 0/0/3视图 [USG5300] interface GigabitEthernet 0/0/3 配置 GigabitEthernet 0/0/3 的 IP 地址.
[USG5300-GigabitEthernet0/0/3] ip address 10. 10. 11. 1 255. 255. 255. 0 [USG5300] firewallzone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit 1.4防火墙策略 本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访.
域间安全策略就是指不同的区域之间的安全策略.
域内安全策略就是指同一个安全区域之间的策略,缺省情况下,同一安全区域内的数据流 都允许通过,域内安全策略没有Inbound和Outbound方向的区分.
策略内按照policy的顺序进行匹配,如果policy0匹配了,就不会检测policy1了,和policy 的ID大小没有关系,谁在前就先匹配谁.
缺省情况下开放local域到其他任意安全区域的缺省包过滤,方便设备自身的对外访问.
其 他接口都没有加安全区域,并且其他域间的缺省包过滤关闭.
要想设备转发流量必须将接 口加入安全区域,并配置域间安全策略或开放缺省包过滤.
安全策略的匹配顺序:
域间某个方向的策略视图 policyinterzone trustuntrust{inbound|outbound} PolicyO:policy source source-address policy destination destination-address policy service service-set service-set policy time-range time-name 二 ...... 匹配条件N 匹配顺序 action{permit|deny} IPS、AV等UTM策略(action为permit) Policy1:policy的N个匹配条件 action{permit|deny} IPS、AV等UTM策略(action为permit) PolicyN:policy的N个匹配条件 action{permit|deny} IPS、AV等UTM策略(action为permit) 域间缺省包过滤规则(firewallpacket-filterdefault) 每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略.
匹配条件 安全策略可以指定多种匹配条件,报文必须同时满足条件才会匹配上策略.
比如如下策略 policy 1 policy service service-set dns policy destination 221.2.219.123 0 policy source 192.168.10.1 在这里policy service的端口53就是指的是221.2.219.123的53号端口,可以说是目的地址 的53号端口.
域间可以应用多条安全策略,按照策略列表的顺序从上到下匹配.
只要匹配到一条策略就 不再继续匹配剩下的策略.
如果安全策略不是以自动排序方式配置的,策略的优先级按照 配置顺序进行排列,越先配置的策略,优先级越高,越先匹配报文.
但是也可以手工调整 策略之间的优先级.
缺省情况下,安全策略就不是以自动排序方式.
如果安全策略是以自动 排序方式配置的,策略的优先级按照策略ID的大小进行排列,策略ID越小,优先级越高, 越先匹配报文.
此时,策略之间的优先级关系不可调整.
poliey create-mode auto-sort enable 命令用来开启安全策略自动排序功能,默认是关闭的.
如果没有匹配到安全策略,将按缺省包过滤的动作进行处理,所以在配置具体安全策略时 要注意与缺省包过滤的关系.
例如安全策略中只允许某些报文通过但是没有关闭缺省包过 滤,将造成那些没有匹配到安全策略的流量也会通过,就失去配置安全策略的意义了.
同样,如果安全策略中只配置了需要拒绝的流量,其他流量都是允许通过的,这时需要开 放缺省包过滤才能实现需求,否则会造成流量都不能通过.
执行命令display this查看当前已有的安全策略,策略显示的顺序就是策略的匹配顺序,越前边 的优先级越高 执行命令polley move policy-ill{before|after}policy-id2,调整策略优先级.
UTM策略 安全策略中除了基本的包过滤功能,还可以引用IPS、AV、应用控制等UTM策略进行进 一步的应用层检测.
但前提是匹配到控制动作为permit的流量才能进行UTM处理,如果 匹配到deny直接丢弃报文.
安全策略的应用方向 域间的 Inbound和Outbound方向上都可以应用安全策略,需要根据会话的方向合理应用.
因为 USG是基于会话的安全策略,只对同一会话的首包检测,后续包直接按照首包的动作进行处理.
所以对同一条会话来说只需要在首包的发起方向上,也就是访问发起的方向上应用安全策略.
Outbound policy source 10.1.1.10 Trust Untrust PC 访问发起方向 Server 10.1.1.1/24 (会话方向) 如上图所示,Trust 域的 PC 访间 Untrust城的 Server,只需要在Trust 到Untrust 的 Outbound 方向 上应用安全策略允许PC访间Server即可,对于Server回应PC的应答报文会命中首包建立的会 话而允许通过.
1.4.1Trust和Untrust域间:允许内网用户访问公网 策略一般都是优先级高的在前,优先级低的在后.
policy1:允许源地址为10.10.10.0/24的网段的报文通过 配置Trust 和Untrust 域间出方向的防火墙策略.
//如果不加policy source 就是指any,如果 不加 policy destination目的地址就是指 any.
[USG5300] policy interzone trust untrust outbound [ otod [pnoqo-snun-sn-uozu-od-o] [USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10. 10. 10. 0 0. 0. 0. 255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许的内网地址上公网可以用以下命令: [USG2100]firewall packet-filter default permit interzone trust untrust direction outbound /必 须 添加这条命令,或者firewall packet-filter default permit all,但是这样不安全.
否则内网不 能访问公网.
注意:由优先级高访问优先级低的区域用outbound,比如policy interzone trust untrust outbound.
这时候policy source ip增址,就是指的优先级高的地址,即trust
