华为防火墙配置大全
今天浩道跟大家分享关于华为防火墙设备配置大全的硬核干货,通过本文,即使是小白,也可以掌握华为防火墙配置!
防火墙(firewall)也称防护墙,是由check point创立者gil shwed于1993年发明并引入国际互联网(us5606668(a)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。
初始化防火墙
初始化防火墙: 默认用户名为admin,默认的密码admin@123,这里修改密码为fox@666.
username:adminpassword:*****the password needs to be changed. change now? [y/n]: yplease enter old password: admin@123please enter new password: fox@666please confirm new password: fox@666 system-view // 进入系统视图[fw1] sysname fw1 // 给防火墙命名[fw1] undo info-center enable // 关闭日志弹出功能[fw1] quit language-mode chinese // 将提示修改为中文change language mode, confirm? [y/n] y提示:改变语言模式成功.
开启web管理界面: 默认防火墙console接口ip地址是192.168.0.1.
system-view[fw1] web-manager enable // 开启图形管理界面[fw1] interface gigabitethernet 0/0/0[fw1-gigabitethernet0/0/0] ip address 192.168.0.1 24 // 给接口配置ip地址[fw1-gigabitethernet0/0/0] service-manage all permit // 放行该端口的请求[fw1-gigabitethernet0/0/0] display this
配置console口登陆:
system-view // 进入系统视图[fw1] user-interface console 0 // 进入console0的用户配置接口[fw1-ui-console0] authentication-mode password // 使用密码验证模式[fw1-ui-console0] set authentication password cipher admin1234 // 设置密码为admin1234[fw1-ui-console0] quit // 退出用户配置接口
配置telnet密码认证: 配置密码认证模式,此处配置密码为admin@123.
fw1> system-view[fw1] telnet server enable // 开启telnet支持[fw1] interface gigabitethernet 0/0/0 // 选择配置接口[fw1-gigabitethernet0/0/0] service-manage telnet permit // 允许telnet[fw1-gigabitethernet0/0/0] quit[fw1] user-interface vty 0 4 // 开启虚拟终端[fw1-ui-vty0-4] protocol inbound telnet // 允许telnet[fw1-ui-vty0-4] authentication-mode password // 设置为密码认证模式[fw1-ui-vty0-4] set authentication password cipher admin@123 // 设置用户密码[usg6000v1] firewall zone trust // 选择安全区域[usg6000v1-zone-trust] add interface ge0/0/0 // 添加到安全区域
配置telnet用户名密码认证:
system-view // 进入系统视图[fw1] interface gigabitethernet 0/0/0 // 进入接口配置[fw1-gigabitethernet0/0/0] ip address 192.168.0.1 24 // 配置接口ip[fw1-gigabitethernet0/0/0] service-manage telnet permit // 允许telnet[fw1-gigabitethernet0/0/0] service-manage ping permit // 允许ping[fw1-gigabitethernet0/0/0] quit //退出[fw1] firewall zone trust // 进入trust安全域配置[fw1-zone-trust] add interface gigabitethernet 0/0/0 // 把ge0/0/0加入到trust安全域[fw1-zone-trust] quit[fw1] telnet server enable // 启用telnet服务[fw1] user-interface vty 0 4 // 进入vty0-4的用户配置接口[fw1-ui-vty0-4] authentication-mode aaa // 使用aaa验证模式[fw1-ui-vty0-4] user privilege level 3 // 配置用户访问的命令级别为3[fw1-ui-vty0-4] protocol inbound telnet // 配置telnet[fw1-ui-vty0-4] quit // 退出用户配置接口[fw1] aaa // 进入aaa配置视图[fw1-aaa] manager-user lyshark // 创建用户vtyadmin[fw1-aaa-manager-user-lyshark] password cipher admin@123 // 配置用户密码[fw1-aaa-manager-user-lyshark] service-type telnet // 配置服务类型[fw1-aaa-manager-user-lyshark] quit // 退出[fw1-aaa] bind manager-user lyshark role system-admin // 绑定管理员角色[fw1-aaa] quit // 退出aaa视图
常用查询命令: 查询防火墙的其他配置,常用的几个命令如下.
[fw1] display ip interface brief // 查默认接口信息[fw1] display ip routing-table // 显示路由表[fw1] display zone // 显示防火墙区域[fw1] display firewall session table // 显示当前会话[fw1] display security-policy rule all // 显示安全策略
配置到这里,我们就可以在浏览器中访问了,其访问地址是http://192.168.0.1
防火墙基本配置
初始化防火墙: 初始化配置,并设置好防火墙密码,此处用户名admin密码是fox@666.
username:adminpassword:*****the password needs to be changed. change now? [y/n]: yplease enter old password: admin@123please enter new password: fox@666please confirm new password: fox@666 system-view // 进入系统视图[usg6000v1] sysname fw1 // 给防火墙命名[fw1] undo info-center enable // 关闭日志弹出功能[fw1] quit language-mode chinese // 将提示修改为中文[fw1] web-manager enable // 开启图形管理界面[fw1] interface gigabitethernet 0/0/0[fw1-gigabitethernet0/0/0] service-manage all permit // 放行该端口的请求
配置内网接口: 配置内网的接口信息,这里包括个ge 1/0/0 and ge 1/0/1这两个内网地址.
system-view[fw1] interface gigabitethernet 1/0/0[fw1-gigabitethernet1/0/0] ip address 192.168.1.1 255.255.255.0[fw1-gigabitethernet1/0/0] undo shutdown[fw1-gigabitethernet1/0/0] quit[fw1] interface gigabitethernet 1/0/1[fw1-gigabitethernet1/0/1] ip address 192.168.2.1 255.255.255.0[fw1-gigabitethernet1/0/1] undo shutdown[fw1-gigabitethernet1/0/1] quit# -------------------------------------------------------[fw1] firewall zone trust // 将前两个接口加入trust区域[fw1-zone-trust] add interface gigabitethernet 1/0/0[fw1-zone-trust] add interface gigabitethernet 1/0/1
配置外网接口: 配置外网接口ge 1/0/2接口的ip地址,并将其加入到untrust区域中.
[fw1] interface gigabitethernet 1/0/2 // 选择外网接口[fw1-gigabitethernet1/0/2] undo shutdown // 开启外网接口[fw1-gigabitethernet1/0/2] ip address 10.10.10.10 255.255.255.0 // 配置ip地址[fw1-gigabitethernet1/0/2] gateway 10.10.10.20 // 配置网关[fw1-gigabitethernet1/0/2] undo service-manage enable[fw1-gigabitethernet1/0/2] quit# -------------------------------------------------------[fw1] firewall zone untrust // 选择外网区域[fw1-zone-untrust] add interface gigabitethernet 1/0/2 // 将接口加入到此区域
配置安全策略: 配置防火墙安全策略,放行trust(内网)-->untrust(外网)的数据包.
[fw1] security-policy // 配置安全策略[fw1-policy-security] rule name lyshark // 规则名称[fw1-policy-security-rule-lyshark] source-zone trust // 原安全区域(内部)[fw1-policy-security-rule-lyshark] destination-zone untrust // 目标安全区域(外部)[fw1-policy-security-rule-lyshark] source-address any // 原地址区域[fw1-policy-security-rule-lyshark] destination-address any // 目标地址区域[fw1-policy-security-rule-lyshark] service any // 放行所有服务[fw1-policy-security-rule-lyshark] action permit // 放行配置[fw1-policy-security-rule-lyshark] quit
配置源nat:配置原nat地址转换,仅配置源地址访问内网 --> 公网的转换.
[fw1] nat-policy // 配置nat地址转换[fw1-policy-nat] rule name lyshark // 指定策略名称[fw1-policy-nat-rule-lyshark] egress-interface gigabitethernet 1/0/2 // 外网接口ip[fw1-policy-nat-rule-lyshark] action source-nat easy-ip // 源地址转换[fw1-policy-nat-rule-lyshark] display this
配置目标nat: 外网访问10.10.10.10自动映射到内网的192.168.2.1这台主机上.
[fw1] firewall zone untrust // 选择外网区域[fw1-zone-untrust] add interface gigabitethernet 1/0/2 // 将接口加入到此区域# ----nat规则---------------------------------------------------# 外网主机访问10.10.10.10主机自动映射到内部的192.168.2.2[fw1] firewall detect ftp[fw1] nat server lyshark global 10.10.10.10 inside 192.168.2.2 no-reverse# ----放行规则---------------------------------------------------[fw1] security-policy // 配置安全策略[fw1-policy-security] rule name untrs-trs // 规则名称[fw1-policy-security-rule-lyshark] source-zone untrust // 原安全区域(外部)[fw1-policy-security-rule-lyshark] destination-zone trust // 目标安全区域(内部)[fw1-policy-security-rule-lyshark] action permit // 放行配置[fw1-policy-security-rule-lyshark] quit
nat 地址转换
配置内网区域: 分别配置防火墙内网接口ge1/0/0 and ge1/0/1设置ip地址,并加入指定区域内.
system-view[fw1]undo info-center enable# ----配置ip地址-----------------------------------------------[fw1] interface gigabitethernet 1/0/0[fw1-gigabitethernet1/0/0] ip address 192.168.1.1 24[fw1-gigabitethernet1/0/0] quit[fw1] interface gigabitethernet 1/0/1[fw1-gigabitethernet1/0/1] ip address 192.168.2.1 24[fw1-gigabitethernet1/0/1] quit# ----加入到指定区域--------------------------------------------[fw1] firewall zone trust[fw1-zone-trust] add interface gigabitethernet 1/0/0[fw1] firewall zone dmz[fw1-zone-dmz] add interface gigabitethernet 1/0/1
配置外网区域: 然后配置外网地址,将gig 1/0/2加入到untrust区域内.
[fw1] interface gigabitethernet 1/0/2[fw1-gigabitethernet1/0/2] ip address 10.10.10.10 8[fw1] firewall zone untrust[fw1-zone-dmz] add interface gigabitethernet 1/0/2
配置源nat: 配置原nat地址转换,仅配置源地址访问内网 --> 公网的转换.
# ----配置源nat转换---------------------------------------------[fw1] nat-policy // 配置nat地址转换[fw1-policy-nat] rule name lyshark // 指定策略名称[fw1-policy-nat-rule-lyshark] egress-interface gigabitethernet 1/0/2 // 外网接口ip[fw1-policy-nat-rule-lyshark] action source-nat easy-ip // 源地址转换[fw1-policy-nat-rule-lyshark] display this# ----放行相关安全策略------------------------------------------[fw1] security-policy[fw1-policy-security] rule name trust_untrust[fw1-policy-security-rule] source-zone trust[fw1-policy-security-rule] destination-zone untrust[fw1-policy-security-rule] action permit
配置目标nat: 外网访问10.10.10.10自动映射到内网的192.168.2.2这台主机上.
# ----nat规则---------------------------------------------------# 外网主机访问10.10.10.10主机自动映射到内部的192.168.2.2[fw1] firewall detect ftp[fw1]nat server lyshark global 10.10.10.10 inside 192.168.2.2 no-reverse# ----放行规则---------------------------------------------------[fw1] security-policy // 配置安全策略[fw1-policy-security] rule name untrs-dmz // 规则名称[fw1-policy-security-rule-untrs-dmz] source-zone untrust // 原安全区域(外部)[fw1-policy-security-rule-untrs-dmz] destination-zone trust // 目标安全区域(内部)[fw1-policy-security-rule-untrs-dmz] destination-address 192.168.2.2 24[fw1-policy-security-rule-untrs-dmz] service any[fw1-policy-security-rule-untrs-dmz] action permit // 放行配置[fw1-policy-security-rule-untrs-dmz] quit
配成交换机(透明模式)
配置两台交换机: 分别配置两台交换机,并划分到相应的vlan区域内.
# ----配置lsw1交换机-------------------------------------------- system-view[lsw1] vlan 10 // 创建vlan10[lsw1] quit[lsw1] interface ethernet 0/0/1 // 将该接口配置为trunk[lsw1-ethernet0/0/1] port link-type trunk[lsw1-ethernet0/0/1] port trunk allow-pass vlan 10 // 加入到vlan 10[lsw1-ethernet0/0/1] quit[lsw1] port-group group-member eth0/0/2 to eth0/0/3[lsw1-port-group] port link-type access[lsw1-port-group] port default vlan 10[lsw1-port-group] quit# ----配置lsw2交换机-------------------------------------------- system-view[lsw2] vlan 20[lsw1] quit[lsw2] interface ethernet 0/0/1[lsw2-ethernet0/0/1] port link-type trunk[lsw2-ethernet0/0/1] port trunk allow-pass vlan 20[lsw2-ethernet0/0/1] quit[lsw2] port-group group-member eth0/0/2 to eth0/0/3[lsw2-port-group] port link-type access[lsw2-port-group] port default vlan 20[lsw2-port-group] quit
配置防火墙: 配置gig1/0/0和gig1/0/1接口为trunk模式,并分别配置好网关地址.
[fw1] vlan 10[fw1-vlan10] quit[fw1] vlan 20[fw1-vlan20] quit# ----配置防火墙接口地址-----------------------------------------[fw1] interface gigabitethernet 1/0/0[fw1-gigabitethernet1/0/0] portswitch[fw1-gigabitethernet1/0/0] port link-type trunk[fw1-gigabitethernet1/0/0] port trunk allow-pass vlan 10[fw1] interface gigabitethernet 1/0/1[fw1-gigabitethernet1/0/1] portswitch[fw1-gigabitethernet1/0/1] port link-type trunk[fw1-gigabitethernet1/0/1] port trunk allow-pass vlan 20# ----分别给vlan配置ip地址---------------------------------------[fw1]interface vlanif 10[fw1-vlanif10][fw1-vlanif10]ip address 192.168.10.1 255.255.255.0[fw1-vlanif10]alias vlan 10[fw1-vlanif10]service-manage ping permit[fw1] interface vlanif 20[fw1-vlanif20][fw1-vlanif20] ip address 192.168.20.1 255.255.255.0[fw1-vlanif20] alias vlan 20[fw1-vlanif20] service-manage ping permit
添加防火墙区域: 将vlan10和vlan20添加到trust区域内.
[fw1]firewall zone trust[fw1-zone-trust] add interface vlanif 10[fw1-zone-trust] add interface vlanif 20
主备双机热备
放行所有数据包(两台墙): 为了演示实验,需要手动放行数据包
# ------------------------------------------------------------# 将默认防火墙规则,设置为允许所有[fw1] security-policy [fw1-policy-security] rule name anyall // 指定规则名称[fw1-policy-security-rule-anyall] source-zone any // 源地址允许所有[fw1-policy-security-rule-anyall] destination-zone any // 目标地址允许所有[fw1-policy-security-rule-anyall] action permit // 放行[fw1-policy-security-rule-anyall] quit [fw1-policy-security] quit# ------------------------------------------------------------# 将指定的接口加入到指定的区域内[fw1] firewall zone trust // 选择trust区域[fw1-zone-trust] add interface gigabitethernet 1/0/0 // 添加内部的端口[fw1-zone-trust] quit[fw1] firewall zone untrust // 添加untru区域[fw1-zone-untrust] add interface gigabitethernet 1/0/1 // 添加外部接口[fw1-zone-trust] quit
配置ip地址(两台) :给防火墙的两个接口配置好ip地址.
# ------------------------------------------------------------# 配置防火墙fw1[fw1] interface gigabitethernet 1/0/0 // 选择内部接口[fw1-gigabitethernet1/0/0] ip address 192.168.1.253 24 // 配置防火墙ip[fw1-gigabitethernet1/0/0] service-manage ping permit // 开启接口ping[fw1-gigabitethernet1/0/0] quit[fw1] interface gigabitethernet1/0/1[fw1-gigabitethernet1/0/1] ip address 10.10.10.20 8[fw1-gigabitethernet1/0/1] service-manage ping permit[fw1-gigabitethernet1/0/1] quit# ------------------------------------------------------------# 配置防火墙fw2[fw2] interface gigabitethernet 1/0/0 // 选择内部接口[fw2-gigabitethernet1/0/0] ip address 192.168.1.254 24 // 配置防火墙ip[fw2-gigabitethernet1/0/0] service-manage ping permit // 开启接口ping[fw2-gigabitethernet1/0/0] quit[fw2-gigabitethernet1/0/0] quit[fw2] interface gigabitethernet1/0/1[fw2-gigabitethernet1/0/1] ip address 10.10.10.30 8[fw2-gigabitethernet1/0/1] service-manage ping permit[fw2-gigabitethernet1/0/1] quit
开启源nat地址:将内网数据映射到外网.
# ------------------------------------------------------------# 配置防火墙fw1[fw1] nat-policy // 配置nat地址转换[fw1-policy-nat] rule name tru_untr // 指定策略名称[fw1-policy-nat-rule-tru_untr] egress-interface gigabitethernet 1/0/1 // 外网接口ip[fw1-policy-nat-rule-tru_untr] action source-nat easy-ip // 源地址转换[fw1-policy-nat-rule-tru_untr] display this# ------------------------------------------------------------# 配置防火墙fw2[fw2] nat-policy // 配置nat地址转换[fw2-policy-nat] rule name tru_untr // 指定策略名称[fw2-policy-nat-rule-tru_untr] egress-interface gigabitethernet 1/0/1 // 外网接口ip[fw2-policy-nat-rule-tru_untr] action source-nat easy-ip // 源地址转换[fw2-policy-nat-rule-tru_untr] display this
开启vrrp支持(两台)
# ------------------------------------------------------------# 配置防火墙fw1[fw1] interface gigabitethernet 1/0/0 // 选择内部接口[fw1-gigabitethernet1/0/0] vrrp vrid 1 virtual-ip 192.168.1.1 active // 配置虚拟接口为主[fw1-gigabitethernet1/0/0] quit[fw1] interface gigabitethernet 1/0/1 // 选择外部接口[fw1-gigabitethernet1/0/1] vrrp vrid 2 virtual-ip 10.10.10.10 active[fw1-gigabitethernet1/0/1] quit# ------------------------------------------------------------# 配置防火墙fw12[fw2] interface gigabitethernet 1/0/0 // 选择内部接口[fw2-gigabitethernet1/0/0] vrrp vrid 1 virtual-ip 192.168.1.1 standby // 配置虚拟接口为备[fw2-gigabitethernet1/0/0] quit[fw2] interface gigabitethernet 1/0/1[fw2-gigabitethernet1/0/1] vrrp vrid 2 virtual-ip 10.10.10.10 standby[fw2-gigabitethernet1/0/1] quit
hrp配置(两台):
# ------------------------------------------------------------# 配置防火墙fw1[fw1] hrp enablehrp_s[fw1] hrp interface gigabitethernet 0/0/0 remote 172.16.1.2 // 指定接口和对端iphrp_m[fw1] interface gigabitethernet 0/0/0 // 选择虚拟接口hrp_m[fw1-gigabitethernet0/0/0] ip address 172.16.1.1 24 // 配置本端ip地址# ------------------------------------------------------------# 配置防火墙fw2[fw2] hrp enablehrp_s[fw2] hrp standby-devicehrp_s[fw2] hrp interface gigabitethernet 0/0/0 remote 172.16.1.1hrp_s[fw2] interface gigabitethernet 0/0/0hrp_s[fw2-gigabitethernet0/0/0] ip address 172.16.1.2 24
检查配置:
注意1:默认处于 standby 状态的设备不允许配置安全策略,只允许在主设
备配置安全策略,且安全策略会自动同步到备设备上面。
开启命令:hrp standby config enable
hrp_m[fw1] display hrp state role: active, peer: standby running priority: 45000, peer: 45000 core state: normal, peer: normal backup channel usage: 0.00% stable time: 0 days, 0 hours, 0 minutes last state change information: 2019-05-06 1:37:41 hrp core state changed, old_state = abnormal(active), new_state = normal, local_priority = 45000, peer_priority = 45000.hrp_s[fw2] display hrp state role: standby, peer: active running priority: 45000, peer: 45000 core state: normal, peer: normal backup channel usage: 0.00% stable time: 0 days, 0 hours, 1 minutes last state change information: 2019-05-06 1:37:42 hrp link changes to up.
配置负载均衡
配置防火墙接口:
[fw1]interface gigabitethernet 1/0/0[fw1-gigabitethernet1/0/0]ip address 192.168.1.1 24[fw1-gigabitethernet1/0/0]service-manage ping permit [fw1-gigabitethernet1/0/0]service-manage http permit[fw1-gigabitethernet1/0/0]quit[fw1]interface gigabitethernet 1/0/1[fw1-gigabitethernet1/0/1]ip address 10.10.10.10 8[fw1-gigabitethernet1/0/1]service-manage ping permit [fw1-gigabitethernet1/0/1]service-manage http permit[fw1-gigabitethernet1/0/1]quit
加入相应的区域内:
[fw1]firewall zone trust[fw1-zone-trust]add interface gigabitethernet 1/0/0[fw1-zone-trust]quit[fw1]firewall zone untrust[fw1-zone-untrust]add interface gigabitethernet 1/0/1[fw1-zone-untrust]quit
放行数据包:
[fw1]security-policy[fw1-policy-security]rule name any_trust[fw1-policy-security-rule-any_trust]source-zone any[fw1-policy-security-rule-any_trust]destination-zone trust[fw1-policy-security-rule-any_trust]service http[fw1-policy-security-rule-any_trust]service icmp[fw1-policy-security-rule-any_trust]action permit
配置负载均衡:
[fw1] slb enable // 启用slb服务[fw1] slb // 进入slb配置视图[fw1-slb] group 1 webserver // 创建服务器组webserver[fw1-slb-group-1] metric weight-least-connection // 使用加权轮询算法# -------------------------------------------------------// 以下为真实服务设置 ip地址 端口 权重值 别名//[fw1-slb-group-1] rserver 1 rip 192.168.1.2 port 80 weight 1 description server1[fw1-slb-group-1] rserver 2 rip 192.168.1.3 port 80 weight 1 description server2[fw1-slb-group-1] rserver 3 rip 192.168.1.3 port 80 weight 1 description server3[fw1-slb-group-1][fw1-slb-group-1] health-check type icmp tx-interval 5 times 3 // 配置服务健康检查参数[fw1-slb-group-1] persistence type source-ip aging-time 180 // 配置会话保持时间[fw1-slb-group-1] quit // 返回slb视图[fw1-slb][fw1-slb] vserver 1 webserver // 创建虚拟服务器webserver[fw1-slb-vserver-1] protocol tcp // 配置虚拟服务器的协议类型[fw1-slb-vserver-1] vip 1 10.10.10.100 // 设置虚拟服务器ip地址[fw1-slb-vserver-1] vport 80 // 设置虚拟服务器端[fw1-slb-vserver-1] group webserver // 关联真实服务器组[fw1-slb-vserver-1] quit // 返回slb视图
看腻了三星谍照真机图? 来看看高颜值的小米6吧!
不要和我谈性能,魅蓝note5低价格高性价比!
科学家已培育出基因编辑过的“超级爸爸”,可繁殖精英后代
基于MEMS加速度传感器五大功能简化用户设计
全新的智能技术注入 安防开始从“被动”向“主动”转移
华为防火墙配置大全
对晶闸管控制电路中的消弧线圈进行研究分析
网络音频广播IP网络语音对讲系统音频模块
大尺寸到底能不能成为光伏行业追求“降本增效”有力法宝?
控制的双极步进电机驱动器介绍
从接收端到发射端来剖析无线充电芯片产业
大数据在智慧城市中有什么应用
基于一种降压恒流LED驱动IC设计方案
ADAS中短距离雷达方案该如何选择晶振
Safran助力dSPACE实现基于GNSS驾驶功能的HIL仿真
学校PLC远程维护教学应用,提升教学质量和效率
盘点美国7大科技公司对中美贸易的影响
Mega168的复位电路及单线调试共用时的引脚处理
典型监控器电路图分享
智慧生活,创新未来—深圳消费电子展邀您参加
防火墙(firewall)也称防护墙,是由check point创立者gil shwed于1993年发明并引入国际互联网(us5606668(a)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。
初始化防火墙
初始化防火墙: 默认用户名为admin,默认的密码admin@123,这里修改密码为fox@666.
username:adminpassword:*****the password needs to be changed. change now? [y/n]: yplease enter old password: admin@123please enter new password: fox@666please confirm new password: fox@666 system-view // 进入系统视图[fw1] sysname fw1 // 给防火墙命名[fw1] undo info-center enable // 关闭日志弹出功能[fw1] quit language-mode chinese // 将提示修改为中文change language mode, confirm? [y/n] y提示:改变语言模式成功.
开启web管理界面: 默认防火墙console接口ip地址是192.168.0.1.
system-view[fw1] web-manager enable // 开启图形管理界面[fw1] interface gigabitethernet 0/0/0[fw1-gigabitethernet0/0/0] ip address 192.168.0.1 24 // 给接口配置ip地址[fw1-gigabitethernet0/0/0] service-manage all permit // 放行该端口的请求[fw1-gigabitethernet0/0/0] display this
配置console口登陆:
system-view // 进入系统视图[fw1] user-interface console 0 // 进入console0的用户配置接口[fw1-ui-console0] authentication-mode password // 使用密码验证模式[fw1-ui-console0] set authentication password cipher admin1234 // 设置密码为admin1234[fw1-ui-console0] quit // 退出用户配置接口
配置telnet密码认证: 配置密码认证模式,此处配置密码为admin@123.
fw1> system-view[fw1] telnet server enable // 开启telnet支持[fw1] interface gigabitethernet 0/0/0 // 选择配置接口[fw1-gigabitethernet0/0/0] service-manage telnet permit // 允许telnet[fw1-gigabitethernet0/0/0] quit[fw1] user-interface vty 0 4 // 开启虚拟终端[fw1-ui-vty0-4] protocol inbound telnet // 允许telnet[fw1-ui-vty0-4] authentication-mode password // 设置为密码认证模式[fw1-ui-vty0-4] set authentication password cipher admin@123 // 设置用户密码[usg6000v1] firewall zone trust // 选择安全区域[usg6000v1-zone-trust] add interface ge0/0/0 // 添加到安全区域
配置telnet用户名密码认证:
system-view // 进入系统视图[fw1] interface gigabitethernet 0/0/0 // 进入接口配置[fw1-gigabitethernet0/0/0] ip address 192.168.0.1 24 // 配置接口ip[fw1-gigabitethernet0/0/0] service-manage telnet permit // 允许telnet[fw1-gigabitethernet0/0/0] service-manage ping permit // 允许ping[fw1-gigabitethernet0/0/0] quit //退出[fw1] firewall zone trust // 进入trust安全域配置[fw1-zone-trust] add interface gigabitethernet 0/0/0 // 把ge0/0/0加入到trust安全域[fw1-zone-trust] quit[fw1] telnet server enable // 启用telnet服务[fw1] user-interface vty 0 4 // 进入vty0-4的用户配置接口[fw1-ui-vty0-4] authentication-mode aaa // 使用aaa验证模式[fw1-ui-vty0-4] user privilege level 3 // 配置用户访问的命令级别为3[fw1-ui-vty0-4] protocol inbound telnet // 配置telnet[fw1-ui-vty0-4] quit // 退出用户配置接口[fw1] aaa // 进入aaa配置视图[fw1-aaa] manager-user lyshark // 创建用户vtyadmin[fw1-aaa-manager-user-lyshark] password cipher admin@123 // 配置用户密码[fw1-aaa-manager-user-lyshark] service-type telnet // 配置服务类型[fw1-aaa-manager-user-lyshark] quit // 退出[fw1-aaa] bind manager-user lyshark role system-admin // 绑定管理员角色[fw1-aaa] quit // 退出aaa视图
常用查询命令: 查询防火墙的其他配置,常用的几个命令如下.
[fw1] display ip interface brief // 查默认接口信息[fw1] display ip routing-table // 显示路由表[fw1] display zone // 显示防火墙区域[fw1] display firewall session table // 显示当前会话[fw1] display security-policy rule all // 显示安全策略
配置到这里,我们就可以在浏览器中访问了,其访问地址是http://192.168.0.1
防火墙基本配置
初始化防火墙: 初始化配置,并设置好防火墙密码,此处用户名admin密码是fox@666.
username:adminpassword:*****the password needs to be changed. change now? [y/n]: yplease enter old password: admin@123please enter new password: fox@666please confirm new password: fox@666 system-view // 进入系统视图[usg6000v1] sysname fw1 // 给防火墙命名[fw1] undo info-center enable // 关闭日志弹出功能[fw1] quit language-mode chinese // 将提示修改为中文[fw1] web-manager enable // 开启图形管理界面[fw1] interface gigabitethernet 0/0/0[fw1-gigabitethernet0/0/0] service-manage all permit // 放行该端口的请求
配置内网接口: 配置内网的接口信息,这里包括个ge 1/0/0 and ge 1/0/1这两个内网地址.
system-view[fw1] interface gigabitethernet 1/0/0[fw1-gigabitethernet1/0/0] ip address 192.168.1.1 255.255.255.0[fw1-gigabitethernet1/0/0] undo shutdown[fw1-gigabitethernet1/0/0] quit[fw1] interface gigabitethernet 1/0/1[fw1-gigabitethernet1/0/1] ip address 192.168.2.1 255.255.255.0[fw1-gigabitethernet1/0/1] undo shutdown[fw1-gigabitethernet1/0/1] quit# -------------------------------------------------------[fw1] firewall zone trust // 将前两个接口加入trust区域[fw1-zone-trust] add interface gigabitethernet 1/0/0[fw1-zone-trust] add interface gigabitethernet 1/0/1
配置外网接口: 配置外网接口ge 1/0/2接口的ip地址,并将其加入到untrust区域中.
[fw1] interface gigabitethernet 1/0/2 // 选择外网接口[fw1-gigabitethernet1/0/2] undo shutdown // 开启外网接口[fw1-gigabitethernet1/0/2] ip address 10.10.10.10 255.255.255.0 // 配置ip地址[fw1-gigabitethernet1/0/2] gateway 10.10.10.20 // 配置网关[fw1-gigabitethernet1/0/2] undo service-manage enable[fw1-gigabitethernet1/0/2] quit# -------------------------------------------------------[fw1] firewall zone untrust // 选择外网区域[fw1-zone-untrust] add interface gigabitethernet 1/0/2 // 将接口加入到此区域
配置安全策略: 配置防火墙安全策略,放行trust(内网)-->untrust(外网)的数据包.
[fw1] security-policy // 配置安全策略[fw1-policy-security] rule name lyshark // 规则名称[fw1-policy-security-rule-lyshark] source-zone trust // 原安全区域(内部)[fw1-policy-security-rule-lyshark] destination-zone untrust // 目标安全区域(外部)[fw1-policy-security-rule-lyshark] source-address any // 原地址区域[fw1-policy-security-rule-lyshark] destination-address any // 目标地址区域[fw1-policy-security-rule-lyshark] service any // 放行所有服务[fw1-policy-security-rule-lyshark] action permit // 放行配置[fw1-policy-security-rule-lyshark] quit
配置源nat:配置原nat地址转换,仅配置源地址访问内网 --> 公网的转换.
[fw1] nat-policy // 配置nat地址转换[fw1-policy-nat] rule name lyshark // 指定策略名称[fw1-policy-nat-rule-lyshark] egress-interface gigabitethernet 1/0/2 // 外网接口ip[fw1-policy-nat-rule-lyshark] action source-nat easy-ip // 源地址转换[fw1-policy-nat-rule-lyshark] display this
配置目标nat: 外网访问10.10.10.10自动映射到内网的192.168.2.1这台主机上.
[fw1] firewall zone untrust // 选择外网区域[fw1-zone-untrust] add interface gigabitethernet 1/0/2 // 将接口加入到此区域# ----nat规则---------------------------------------------------# 外网主机访问10.10.10.10主机自动映射到内部的192.168.2.2[fw1] firewall detect ftp[fw1] nat server lyshark global 10.10.10.10 inside 192.168.2.2 no-reverse# ----放行规则---------------------------------------------------[fw1] security-policy // 配置安全策略[fw1-policy-security] rule name untrs-trs // 规则名称[fw1-policy-security-rule-lyshark] source-zone untrust // 原安全区域(外部)[fw1-policy-security-rule-lyshark] destination-zone trust // 目标安全区域(内部)[fw1-policy-security-rule-lyshark] action permit // 放行配置[fw1-policy-security-rule-lyshark] quit
nat 地址转换
配置内网区域: 分别配置防火墙内网接口ge1/0/0 and ge1/0/1设置ip地址,并加入指定区域内.
system-view[fw1]undo info-center enable# ----配置ip地址-----------------------------------------------[fw1] interface gigabitethernet 1/0/0[fw1-gigabitethernet1/0/0] ip address 192.168.1.1 24[fw1-gigabitethernet1/0/0] quit[fw1] interface gigabitethernet 1/0/1[fw1-gigabitethernet1/0/1] ip address 192.168.2.1 24[fw1-gigabitethernet1/0/1] quit# ----加入到指定区域--------------------------------------------[fw1] firewall zone trust[fw1-zone-trust] add interface gigabitethernet 1/0/0[fw1] firewall zone dmz[fw1-zone-dmz] add interface gigabitethernet 1/0/1
配置外网区域: 然后配置外网地址,将gig 1/0/2加入到untrust区域内.
[fw1] interface gigabitethernet 1/0/2[fw1-gigabitethernet1/0/2] ip address 10.10.10.10 8[fw1] firewall zone untrust[fw1-zone-dmz] add interface gigabitethernet 1/0/2
配置源nat: 配置原nat地址转换,仅配置源地址访问内网 --> 公网的转换.
# ----配置源nat转换---------------------------------------------[fw1] nat-policy // 配置nat地址转换[fw1-policy-nat] rule name lyshark // 指定策略名称[fw1-policy-nat-rule-lyshark] egress-interface gigabitethernet 1/0/2 // 外网接口ip[fw1-policy-nat-rule-lyshark] action source-nat easy-ip // 源地址转换[fw1-policy-nat-rule-lyshark] display this# ----放行相关安全策略------------------------------------------[fw1] security-policy[fw1-policy-security] rule name trust_untrust[fw1-policy-security-rule] source-zone trust[fw1-policy-security-rule] destination-zone untrust[fw1-policy-security-rule] action permit
配置目标nat: 外网访问10.10.10.10自动映射到内网的192.168.2.2这台主机上.
# ----nat规则---------------------------------------------------# 外网主机访问10.10.10.10主机自动映射到内部的192.168.2.2[fw1] firewall detect ftp[fw1]nat server lyshark global 10.10.10.10 inside 192.168.2.2 no-reverse# ----放行规则---------------------------------------------------[fw1] security-policy // 配置安全策略[fw1-policy-security] rule name untrs-dmz // 规则名称[fw1-policy-security-rule-untrs-dmz] source-zone untrust // 原安全区域(外部)[fw1-policy-security-rule-untrs-dmz] destination-zone trust // 目标安全区域(内部)[fw1-policy-security-rule-untrs-dmz] destination-address 192.168.2.2 24[fw1-policy-security-rule-untrs-dmz] service any[fw1-policy-security-rule-untrs-dmz] action permit // 放行配置[fw1-policy-security-rule-untrs-dmz] quit
配成交换机(透明模式)
配置两台交换机: 分别配置两台交换机,并划分到相应的vlan区域内.
# ----配置lsw1交换机-------------------------------------------- system-view[lsw1] vlan 10 // 创建vlan10[lsw1] quit[lsw1] interface ethernet 0/0/1 // 将该接口配置为trunk[lsw1-ethernet0/0/1] port link-type trunk[lsw1-ethernet0/0/1] port trunk allow-pass vlan 10 // 加入到vlan 10[lsw1-ethernet0/0/1] quit[lsw1] port-group group-member eth0/0/2 to eth0/0/3[lsw1-port-group] port link-type access[lsw1-port-group] port default vlan 10[lsw1-port-group] quit# ----配置lsw2交换机-------------------------------------------- system-view[lsw2] vlan 20[lsw1] quit[lsw2] interface ethernet 0/0/1[lsw2-ethernet0/0/1] port link-type trunk[lsw2-ethernet0/0/1] port trunk allow-pass vlan 20[lsw2-ethernet0/0/1] quit[lsw2] port-group group-member eth0/0/2 to eth0/0/3[lsw2-port-group] port link-type access[lsw2-port-group] port default vlan 20[lsw2-port-group] quit
配置防火墙: 配置gig1/0/0和gig1/0/1接口为trunk模式,并分别配置好网关地址.
[fw1] vlan 10[fw1-vlan10] quit[fw1] vlan 20[fw1-vlan20] quit# ----配置防火墙接口地址-----------------------------------------[fw1] interface gigabitethernet 1/0/0[fw1-gigabitethernet1/0/0] portswitch[fw1-gigabitethernet1/0/0] port link-type trunk[fw1-gigabitethernet1/0/0] port trunk allow-pass vlan 10[fw1] interface gigabitethernet 1/0/1[fw1-gigabitethernet1/0/1] portswitch[fw1-gigabitethernet1/0/1] port link-type trunk[fw1-gigabitethernet1/0/1] port trunk allow-pass vlan 20# ----分别给vlan配置ip地址---------------------------------------[fw1]interface vlanif 10[fw1-vlanif10][fw1-vlanif10]ip address 192.168.10.1 255.255.255.0[fw1-vlanif10]alias vlan 10[fw1-vlanif10]service-manage ping permit[fw1] interface vlanif 20[fw1-vlanif20][fw1-vlanif20] ip address 192.168.20.1 255.255.255.0[fw1-vlanif20] alias vlan 20[fw1-vlanif20] service-manage ping permit
添加防火墙区域: 将vlan10和vlan20添加到trust区域内.
[fw1]firewall zone trust[fw1-zone-trust] add interface vlanif 10[fw1-zone-trust] add interface vlanif 20
主备双机热备
放行所有数据包(两台墙): 为了演示实验,需要手动放行数据包
# ------------------------------------------------------------# 将默认防火墙规则,设置为允许所有[fw1] security-policy [fw1-policy-security] rule name anyall // 指定规则名称[fw1-policy-security-rule-anyall] source-zone any // 源地址允许所有[fw1-policy-security-rule-anyall] destination-zone any // 目标地址允许所有[fw1-policy-security-rule-anyall] action permit // 放行[fw1-policy-security-rule-anyall] quit [fw1-policy-security] quit# ------------------------------------------------------------# 将指定的接口加入到指定的区域内[fw1] firewall zone trust // 选择trust区域[fw1-zone-trust] add interface gigabitethernet 1/0/0 // 添加内部的端口[fw1-zone-trust] quit[fw1] firewall zone untrust // 添加untru区域[fw1-zone-untrust] add interface gigabitethernet 1/0/1 // 添加外部接口[fw1-zone-trust] quit
配置ip地址(两台) :给防火墙的两个接口配置好ip地址.
# ------------------------------------------------------------# 配置防火墙fw1[fw1] interface gigabitethernet 1/0/0 // 选择内部接口[fw1-gigabitethernet1/0/0] ip address 192.168.1.253 24 // 配置防火墙ip[fw1-gigabitethernet1/0/0] service-manage ping permit // 开启接口ping[fw1-gigabitethernet1/0/0] quit[fw1] interface gigabitethernet1/0/1[fw1-gigabitethernet1/0/1] ip address 10.10.10.20 8[fw1-gigabitethernet1/0/1] service-manage ping permit[fw1-gigabitethernet1/0/1] quit# ------------------------------------------------------------# 配置防火墙fw2[fw2] interface gigabitethernet 1/0/0 // 选择内部接口[fw2-gigabitethernet1/0/0] ip address 192.168.1.254 24 // 配置防火墙ip[fw2-gigabitethernet1/0/0] service-manage ping permit // 开启接口ping[fw2-gigabitethernet1/0/0] quit[fw2-gigabitethernet1/0/0] quit[fw2] interface gigabitethernet1/0/1[fw2-gigabitethernet1/0/1] ip address 10.10.10.30 8[fw2-gigabitethernet1/0/1] service-manage ping permit[fw2-gigabitethernet1/0/1] quit
开启源nat地址:将内网数据映射到外网.
# ------------------------------------------------------------# 配置防火墙fw1[fw1] nat-policy // 配置nat地址转换[fw1-policy-nat] rule name tru_untr // 指定策略名称[fw1-policy-nat-rule-tru_untr] egress-interface gigabitethernet 1/0/1 // 外网接口ip[fw1-policy-nat-rule-tru_untr] action source-nat easy-ip // 源地址转换[fw1-policy-nat-rule-tru_untr] display this# ------------------------------------------------------------# 配置防火墙fw2[fw2] nat-policy // 配置nat地址转换[fw2-policy-nat] rule name tru_untr // 指定策略名称[fw2-policy-nat-rule-tru_untr] egress-interface gigabitethernet 1/0/1 // 外网接口ip[fw2-policy-nat-rule-tru_untr] action source-nat easy-ip // 源地址转换[fw2-policy-nat-rule-tru_untr] display this
开启vrrp支持(两台)
# ------------------------------------------------------------# 配置防火墙fw1[fw1] interface gigabitethernet 1/0/0 // 选择内部接口[fw1-gigabitethernet1/0/0] vrrp vrid 1 virtual-ip 192.168.1.1 active // 配置虚拟接口为主[fw1-gigabitethernet1/0/0] quit[fw1] interface gigabitethernet 1/0/1 // 选择外部接口[fw1-gigabitethernet1/0/1] vrrp vrid 2 virtual-ip 10.10.10.10 active[fw1-gigabitethernet1/0/1] quit# ------------------------------------------------------------# 配置防火墙fw12[fw2] interface gigabitethernet 1/0/0 // 选择内部接口[fw2-gigabitethernet1/0/0] vrrp vrid 1 virtual-ip 192.168.1.1 standby // 配置虚拟接口为备[fw2-gigabitethernet1/0/0] quit[fw2] interface gigabitethernet 1/0/1[fw2-gigabitethernet1/0/1] vrrp vrid 2 virtual-ip 10.10.10.10 standby[fw2-gigabitethernet1/0/1] quit
hrp配置(两台):
# ------------------------------------------------------------# 配置防火墙fw1[fw1] hrp enablehrp_s[fw1] hrp interface gigabitethernet 0/0/0 remote 172.16.1.2 // 指定接口和对端iphrp_m[fw1] interface gigabitethernet 0/0/0 // 选择虚拟接口hrp_m[fw1-gigabitethernet0/0/0] ip address 172.16.1.1 24 // 配置本端ip地址# ------------------------------------------------------------# 配置防火墙fw2[fw2] hrp enablehrp_s[fw2] hrp standby-devicehrp_s[fw2] hrp interface gigabitethernet 0/0/0 remote 172.16.1.1hrp_s[fw2] interface gigabitethernet 0/0/0hrp_s[fw2-gigabitethernet0/0/0] ip address 172.16.1.2 24
检查配置:
注意1:默认处于 standby 状态的设备不允许配置安全策略,只允许在主设
备配置安全策略,且安全策略会自动同步到备设备上面。
开启命令:hrp standby config enable
hrp_m[fw1] display hrp state role: active, peer: standby running priority: 45000, peer: 45000 core state: normal, peer: normal backup channel usage: 0.00% stable time: 0 days, 0 hours, 0 minutes last state change information: 2019-05-06 1:37:41 hrp core state changed, old_state = abnormal(active), new_state = normal, local_priority = 45000, peer_priority = 45000.hrp_s[fw2] display hrp state role: standby, peer: active running priority: 45000, peer: 45000 core state: normal, peer: normal backup channel usage: 0.00% stable time: 0 days, 0 hours, 1 minutes last state change information: 2019-05-06 1:37:42 hrp link changes to up.
配置负载均衡
配置防火墙接口:
[fw1]interface gigabitethernet 1/0/0[fw1-gigabitethernet1/0/0]ip address 192.168.1.1 24[fw1-gigabitethernet1/0/0]service-manage ping permit [fw1-gigabitethernet1/0/0]service-manage http permit[fw1-gigabitethernet1/0/0]quit[fw1]interface gigabitethernet 1/0/1[fw1-gigabitethernet1/0/1]ip address 10.10.10.10 8[fw1-gigabitethernet1/0/1]service-manage ping permit [fw1-gigabitethernet1/0/1]service-manage http permit[fw1-gigabitethernet1/0/1]quit
加入相应的区域内:
[fw1]firewall zone trust[fw1-zone-trust]add interface gigabitethernet 1/0/0[fw1-zone-trust]quit[fw1]firewall zone untrust[fw1-zone-untrust]add interface gigabitethernet 1/0/1[fw1-zone-untrust]quit
放行数据包:
[fw1]security-policy[fw1-policy-security]rule name any_trust[fw1-policy-security-rule-any_trust]source-zone any[fw1-policy-security-rule-any_trust]destination-zone trust[fw1-policy-security-rule-any_trust]service http[fw1-policy-security-rule-any_trust]service icmp[fw1-policy-security-rule-any_trust]action permit
配置负载均衡:
[fw1] slb enable // 启用slb服务[fw1] slb // 进入slb配置视图[fw1-slb] group 1 webserver // 创建服务器组webserver[fw1-slb-group-1] metric weight-least-connection // 使用加权轮询算法# -------------------------------------------------------// 以下为真实服务设置 ip地址 端口 权重值 别名//[fw1-slb-group-1] rserver 1 rip 192.168.1.2 port 80 weight 1 description server1[fw1-slb-group-1] rserver 2 rip 192.168.1.3 port 80 weight 1 description server2[fw1-slb-group-1] rserver 3 rip 192.168.1.3 port 80 weight 1 description server3[fw1-slb-group-1][fw1-slb-group-1] health-check type icmp tx-interval 5 times 3 // 配置服务健康检查参数[fw1-slb-group-1] persistence type source-ip aging-time 180 // 配置会话保持时间[fw1-slb-group-1] quit // 返回slb视图[fw1-slb][fw1-slb] vserver 1 webserver // 创建虚拟服务器webserver[fw1-slb-vserver-1] protocol tcp // 配置虚拟服务器的协议类型[fw1-slb-vserver-1] vip 1 10.10.10.100 // 设置虚拟服务器ip地址[fw1-slb-vserver-1] vport 80 // 设置虚拟服务器端[fw1-slb-vserver-1] group webserver // 关联真实服务器组[fw1-slb-vserver-1] quit // 返回slb视图
看腻了三星谍照真机图? 来看看高颜值的小米6吧!
不要和我谈性能,魅蓝note5低价格高性价比!
科学家已培育出基因编辑过的“超级爸爸”,可繁殖精英后代
基于MEMS加速度传感器五大功能简化用户设计
全新的智能技术注入 安防开始从“被动”向“主动”转移
华为防火墙配置大全
对晶闸管控制电路中的消弧线圈进行研究分析
网络音频广播IP网络语音对讲系统音频模块
大尺寸到底能不能成为光伏行业追求“降本增效”有力法宝?
控制的双极步进电机驱动器介绍
从接收端到发射端来剖析无线充电芯片产业
大数据在智慧城市中有什么应用
基于一种降压恒流LED驱动IC设计方案
ADAS中短距离雷达方案该如何选择晶振
Safran助力dSPACE实现基于GNSS驾驶功能的HIL仿真
学校PLC远程维护教学应用,提升教学质量和效率
盘点美国7大科技公司对中美贸易的影响
Mega168的复位电路及单线调试共用时的引脚处理
典型监控器电路图分享
智慧生活,创新未来—深圳消费电子展邀您参加