2021华为防火墙配置手册.docx

华为防火墙配置手册1命令行界面密码：Admin123web-manaqerenable开启Web界面管2Web界面：默认adminAdmin123192.168.0.1Q。证书错C×g192.168.0.1HuaweiUSG6000V1语言 用户名密码3区域默认区域:trustuntrustdmzlocalfirewallzonetrust允许接口被Ping:intgi1/0/0service-managepingpermit配置安全策略：IoCaLanysecurity-policyrulenameIocaLanysource-zonelocaldestination-zoneanyactionpermitHuaweiUSG6000V1当前用户：三gbsae哂台百板刖礴In安全会降ID安策叫廓NAT策略靛豳务若负戮均衢。早常览管理。安全防护ASPFKS安潮筋棒新建,聆修蟠全第名称名称IeCaLany源安全区域目的安全区域default源地址/地区目的地址/地区脓务应用时间段晞内音安全反病入醐御记录策略命中日志启用4向导配置1配S基本信息KsW甑媵口2配置系统时间清酉?置局域网接口的网络信息1«3选择接入互联网方式建议您使用私网地址（例如:10.0.0.1192.168.0.1)。如没有特殊需求，可直接使用以下默认参数。4配餐接入互联喇LAN接口GE1(X0-IP地址192.168.1.1配SJ即飒接口子网推码255.2552550*KgWWCP 畸启用局域网DHCP飓务请输入为局域网网络设备分酉!的IP地址段。起始IP结束IP配股局域网DHCP账务1配S基本信息2配置系统时间3选择接入互联网方式4配S接5联播数5口核对配置信息InternetOutside上网接口: GE1WIP地址:202.1 1.1子网掏码:255255.255.0默认网关:2021.1.2苜选 DNS 服芬努.114.114.114.114爸用DNS服务器:8.8.881配S基本雕2配置系细4间3选择接入互联网方式4配S接入5联播数5口6配股后蛔DHCP服务核对配费信息1.AN接口GEl/0/0IP地址：19216811子网搐码:255255.2550启用局域网DHCP服务禁用Inslde下一次登录不再显F上一步应用取消向导配置的参数：区域规划接口ip地址指向运营商的缺省路由基于源地址转换的NAT将默认的安全策略改为放行缺省路由器配置：iproute-s0.0.0.00202.1.1.2.HuaweiUSG6000V1IS67要昌HUAWCI对象配置默认优先级向接口口接口对与安全区域。嗯DNS国DHCP联智善。路由智镜选路虚拟路由第IpVM大认优先级60IPv6默认优先级SSrip及OSPF星BGP国动态路由囱空表令路由表IPSecQ<wL2TPL2TPoverIPSec(U0GREDpublic60应用静态路由列表+器建IC删除第nat配置nat-policyrulenametrustJSPsource-zonetrustegress-interfaceGigabitEthernetl/0/2actionnateasy-ipHuawei3ClUSG6000V1§mea-当前用户：adma鼠安全策将a安全策略W咐NAT策BgEnat瓶时者映射篁赧务器负数均衡3解帚於管理安全防沪港ASPFKS源NATNAT地址池源NATW阳修改敏A1三名讣trst-ISP功熊介绍名称描述源安全区域default目的类”二转换前转换后转换方式Q)将默认的安全策略改为放行security-policydefaultactionpermitHuaweiMUAWeUSG60V1Ii日自;盘宴面板监控第Ig对象网络系统埠平全策略境安全策嚼的NAT策略¾JWXT厩服务团映射霞服务器负载均衡号带宽管理安全防护即ASPFaes安全第够俵骸建IC股名称修改安全第名称描述源安全区域目的安全区域源地址/地区，？，目的地址/地区膨务应用时间段动作记录策略命中日志记录会活日志启用禁止5防火墙转发原理路由器：开启telnetuser-interfacevtyO4authentication-modepassworduserprivilegelevel3setauthenticationpasswordsimple123<PC2>disusersUser-IntfDelayTypeNetworkAddressAuthenStatus0CON000:04:21Username:Unspecified+34VTY000:00:00TEL192.168.1.2passUsername:Unspecified基于会话（状态）session的转发。首包：建立会话的过程去包回包：基于会话回包会话表项Host“2.168工工：RewServer命中会话表该报文通过Client少Server源/P地址源端口目的/P地址目的端口协议192.268工工2000023TCPServer"Client源/P地址源端口目的/P地址目的端口协议232DOOOTCPSession:TCP1.1:2-0000÷1.LL1:23disfirewallsessiontable查看防火墙会话表<FW>disfirewallsessiontableCurrentTotalSessions:4telnetVPN:public>publicnetbios-nameVPN:default>tcpVPN:default->defaulttcpVPN:default>default<FW>192.168.1.2:54778>172.16.1.2:23default192.168.0.66:137>192.168.0.192.168.0.66:54571>192.168.0.1:8443192.168.0.66:54581>192.168.0.1:8443放行由trust到dmz的流量security-policyrulenametrustedmzsource-zonetrustdestination-zonedmzactionpermit更加精细化控制：security-policyrulenametrustedmzsource-zonetrustdestination-zonedmzsource-address192.168.1.024destination-address172.16.1.232servicetelnetserviceicmpactionpermitHuaweiUSG6000V1IS67 据当前用FMUAWCI修改安嚏笫咯 陶NAT策略冢蜃费器负载均衙 号常提管理 。安全防护郎 ASpFwS名称描述源安全区域目的安全区域通地址/地区 目的地址/地区 服务应用trsl-dm2策品如果配置应用，会自动开启SA识别功能。功影开启 后，会导致设备性能跟怅。多选多诩修逾多海时同段动作any允许Zl禁止启用启用内容安全皮病毒-NONE-回11e三l入侵防御一NONE-回冏司记录策略命中日志记录会话日志<165535>秒会话老化时间、3、*6常见安全策略HuaweiHUAWflUSG60V1l三g"3AS当前用户之11三睇：ISS融诋前神O0安全藁BS咫安全策期町NATmre安全笫尉悚就建M制除H复制，移动画播入Ia导出啊!有除全部命中次数口启用R禁用固脸制D次图务25负载均衡华刷新酒新人警船名法D早帚览首理安全防沪½>ASPFfie三名稀源安全目的安源龙t地区目的岩北/地区艰夯应用时回收动作rst.<ztrslAnz192.16810/24172.16.1.2/32舞tayany加trust.untrusttrustUntrUSt三r>yanyanyanyany允许UntrUStjtazuntrustdmzanyanyanyanydefaultanyanyanyanyanyanyany禁止7源NAT转换11HuaweiUSG6OV1IS自据要系统修改源NAT国安全策略 后安全策略际NAT策略厩 XNAT明服务器映射 g服势器负戟均衡 带宽管理 。安全防护 播 ASPF02【功能介绍】名称相述源安全区域目的类型I转换前转推后转换方式8端口映射(atserver)0.66将内网地址172.16.1.2的23端口映射成公网地202.1.1.1的23端口。*Huawei*CZl一，USG60V1黑IHJWIBJjc自;提宴对象网络系统鼠安全策昭 匾安全蒙昭的 NATggBS服务翻射列表新建刷除苧复制，名称公网地址私网他批协议公网曜口.JK务器唳射 a服鑫善负我加 带宽菅理 二安全防护 群 ASPFaas>/ aa202.1.1.1172.1612TCP23修训艮<1-65535>确定注意：如果想检测由防火墙到服务器的连通性,需放行IoCa侄Udmz的流量。 m序复制名秣公网也址aa20Z1.