华为防火墙配IPSEC

8 配置IPSec

8.1 简介

8.1.1 IPSec概述

8.1.2 基于证书认证机制的IPSec

8.2 配置Manual方式协商的IPSec隧道

8.2.1 建立配置任务

8.2.2 创建需要保护的数据流

8.2.3 配置IPSec安全提议

8.2.4 配置IPSec安全策略

8.2.5 引用IPSec安全策略

8.2.6 检查配置结果

8.3 配置IKE方式协商的IPSec隧道

8.3.1 建立配置任务

8.3.2 创建需要保护的数据流

8.3.3 配置IPSec安全提议

8.3.4 配置IKE安全提议

8.3.5 配置IKE Peer

8.3.6 配置IPSec安全策略模板

8.3.7 配置IPSec安全策略

8.3.8 引用IPSec安全策略

8.3.9 检查配置结果

8.4 配置证书申请

8.4.1 建立配置任务

8.4.2 配置实体名称

8.4.3 创建本地公私密钥对

8.4.4 配置证书申请受理机构

8.4.5 获取CA证书

8.4.6 申请本地证书

8.4.7 （可选）获取CRL

8.4.8 检查配置结果

8.5 配置证书验证功能

8.5.1 建立配置任务

8.5.2 配置CRL更新周期

8.5.3 配置是否检查CRL

8.5.4 配置证书验证

8.5.5 检查配置结果

8.6 维护

8.6.1 查看IPSec处理报文的统计信息

8.6.2 调试IPSec

8.6.3 调试IKE

8.6.4 删除IKE SA

8.6.5 删除SA

8.6.6 清除IPSec统计报文

8.6.7 维护低速加密卡

8.6.8 维护CA

8.7 配置举例

8.7.1 配置采用Manual方式建立SA示例

8.7.2 配置采用IKE方式建立SA示例（预共享密钥）

8.7.3 配置采用IKE方式建立SA示例（RSA签名）

8.7.4 配置使用SCEP方式申请证书示例

插图目录

图8-1 采用Manual方式建立SA配置示例组网图

图8-2 采用IKE方式建立SA配置示例组网图（预共享密钥）

图8-3 采用IKE方式建立SA配置示例组网图（RSA签名）

图8-4 使用SCEP方式申请证书配置示例组网图

8 配置IPSec 关于本章

本章描述内容如下表所示。

8.1 简介

8.1.1 IPSec概述

IPSec（IP Security）协议族是IETF制定的一系列协议，它为IP报文提供

了基于密码学的、可互操作的、高质量的安全保护机制。特定的通信双

方在IP层通过加密与数据源验证等方式，保证报文在网络中传输时的私

有性、完整性、真实性，并有效防御重放攻击。

IPSec对报文的保护通过AH（Authentication Header）和ESP（Encapsulating

Security Payload）两种安全协议实现。各协议的功能简单介绍如下：

●AH协议主要提供的功能有数据源验证、数据完整性校验和防御报

文重放攻击，但不能对需要保护的报文进行加密。

●ESP协议除提供AH协议的所有功能外，还可提供对IP报文的加密

功能。与AH协议不同的是，其数据完整性校验不包括IP报文头。

ESP协议允许对报文同时进行加密和验证，或只加密，或只验证。

为简化IPSec的使用和管理，除了可以手动建立安全联盟SA（Security

Association）外，还可以通过IKE（Internet Key Exchange）进行自动协商

交换密钥、建立和维护SA。IKE协议用于自动协商AH和ESP所使用的

密码算法，并将算法所需的必备密钥放到恰当位置。

Eudemon除可以通过软件进行SA协商外，还能通过IPSec加密卡进行协

商。有关加密卡的相关介绍，请参见《Quidway Eudemon 200 防火墙安

装指南》。

8.1.2 基于证书认证机制的IPSec

Eudemon提供基于公钥基础设施PKI（Public Key Infrastructure）框架的

证书认证机制，支持证书的申请、存储和验证，但不提供生成证书功能。

PKI是通过使用公开密钥技术和数字证书来确保系统信息安全，并负责验

证数字证书持有者身份的一种体系。它是一套软硬件系统和安全策略的

集合，提供了一整套安全机制。PKI采用证书进行公钥管理，通过第三方

的可信任机构，把用户的公钥和用户的其他标识信息捆绑在一起，实现

在网上验证用户身份功能。

PKI为用户建立起一个安全的网络运行环境，用户可以在多种应用环境下

方便地使用加密和数字签名技术，从而保证网上数据的机密性、完整性、

有效性。数据的机密性是指数据在传输过程中，不能被非授权者查看；

数据的完整性是指数据在传输过程中不能被非法篡改；数据的有效性是

指数据不能被否认。

不采用证书机制的IPSec情况下，进行网络扩容时，每新增一台设备，都

需要修改其余设备的配置。操作繁琐，且易出错。

证书机制可以为IPSec网络提供集中的密钥管理机制，并增强整个IPSec

网络的伸缩性。在采用证书机制的IPSec网络中，每台设备都拥有CA

（Certification Authority）颁发的证书，当设备之间进行通讯时，只要通过

交换证书就可以确认对方的身份（因为所有的设备都信任CA，所以对

CA颁发的证书都信任），并获得对方的公钥（从对方的证书中获取）。

这样当有新设备加入时，只需要为新增加的设备申请一个证书，就可以

与其他设备进行通讯，而不需要修改其他设备的配置。

在实际应用中，证书分为两种：

●CA证书

是颁发机构本身的证书，用于验证CA颁发的本地证书和CRL

（Certificate Revocation List）的有效性。

●本地证书

由CA颁发，在IPSec设备通信时使用。证书绑定了名字和本地公钥，

如同网络身份证。

在获取本地证书前，需要首先获取CA证书。

8.2 配置Manual方式协商的IPSec隧道

8.2.1 建立配置任务

应用环境

考虑到安全性，数据流往往需要认证。在一些安全性要求较高的场合，

数据流可能既需要认证又需要加密，此时需要在IPSec服务发起端和终结

端的Eudemon设备上配置IPSec功能。

当与Eudemon进行通信的对等体设备数量较少时，或是在小型静态环境

中，可以选择Manual方式协商IPSec隧道。

前置任务

在配置IPSec前，需要完成以下任务：

●配置Eudemon的工作模式

●配置接口的IP地址

●配置接口加入安全区域

只有Eudemon工作于路由模式才可以配置IPSec。

数据准备

在配置IPSec前，需要准备以下数据。

配置过程

要完成IPSec的配置，需要按照以下过程配置。

8.2.2 创建需要保护的数据流

IPSec能够对不同的数据流进行安全保护。在实际应用中，需要首先通过

ACL定义数据流，再在安全策略中引用该ACL，从而起到保护该数据流

的作用。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令acl [ number ] acl-number [ match-order { config | auto } ]，创建高级ACL，并进入相应视图。

步骤3执行命令rule [ rule-id ] { permit | deny } protocol [ source

{ source-address source-wildcard | address-set address-set-name | any } |

destination { destination-address destination-wildcard | address-set

address-set-name | any } | source-port { operator port | range port1port2 |

port-set port-set-name } | destination-port { operator port | range port1

port2 | port-set port-set-name } | icmp-type { icmp-type icmp-code |

icmp-message } | precedence precedence | tos tos | time-range time-name |

logging ] *，配置ACL规则。

----结束

配置时请注意：

●需要精确配置ACL。

?建议只对确实需要IPSec保护的数据流进行保护，即在配置ACL

规则时，严格配置需要保护的数据流的动作关键字为permit。

?建议避免盲目使用关键字any，否则，数据流定义范围过大，会

对不需要加密的普通数据流也进行加密。当被加密的数据流到达

没有配置IPSec的网关设备时，会因网关无法识别加密数据而被

丢弃。

●对于有不同安全保护要求的数据流，需要创建不同的ACL和相应

的安全策略。

●隧道两端的设备，ACL需要镜像配置。

8.2.3 配置IPSec安全提议

隧道两端的设备，安全协议、验证算法、加密算法、报文封装格式需要配置相同，否则不能成功建立SA。

IPSec安全提议（Proposal）用于指定IPSec所采取的一系列措施，包含对

需要保护的数据流采用的安全协议、加密和验证算法以及报文封装形式。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ipsec proposal proposal-name，创建安全提议并进入安全提议视图。

Eudemon最多支持50个安全提议。

步骤3执行命令transform { ah | ah-esp | esp }，选择安全协议。

步骤4根据transform命令配置的安全协议，配置验证算法和加密算法。

●如果transform命令配置为ah或ah-esp，则配置AH协议采用的验

证算法，执行命令ah authentication-algorithm { md5 | sha1 }。

●如果transform命令配置为esp或ah-esp，则配置ESP协议采用的

验证和加密算法。

?执行命令esp authentication-algorithm { md5 | sha1 }，配置ESP

验证算法。

?执行命令esp encryption-algorithm { 3des | des | aes [ 128 | 192 |

256 ] }，配置ESP加密算法。

步骤5执行命令encapsulation-mode tunnel，指定报文封装形式。

----结束

8.2.4 配置IPSec安全策略

隧道两端的设备，SA参数SPI、string-key、authentication-hex和encryption-hex需要镜像配置，否则不能正确建立隧道。

IPSec安全策略规定了对什么样的数据流采用什么样的安全提议。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ipsec policy policy-name seq-number manual，创建安全策略。

一个安全策略组最多支持配置512条安全策略，所有安全策略的总数也

不能超过512。

用户购买了支持多少条隧道数的License，就支持创建多少条隧道，也就

是如果创建了超出License限制数目的安全策略是不起作用的。

步骤3执行命令proposal proposal-name，在安全策略中引用安全提议。

步骤4执行命令security acl acl-number，在安全策略中引用访问控制列表。

一条安全策略只能引用一条ACL。如果配置安全策略引用了多条ACL，

最后配置的ACL生效。

步骤5执行命令tunnel local ip-address，配置隧道的起点。

tunnel local命令中的IP地址只能是应用IPSec的接口地址。

步骤6执行命令tunnel remote ip-address，配置隧道的终点。

●在配置SA时，需要分别设置inbound和outbound两个方向的SA

的参数。

●只需配置IPSec安全提议使用的协议的相应配置。如：配置IPSec安

全提议时使用transform ah选择了ah安全协议，则配置SA参数时只

需配ah一套参数，不需配esp的参数。

●sa spi命令需要与sa string-key或sa authentication-hex或sa

encryption-hex共同使用，才能成功创建手工IPSec隧道。

●先配置sa string-key命令后，则无法再配置sa authentication-hex或

sa encryption-hex命令，后配置的会覆盖sa string-key命令的配置；

相反，先配置sa authentication-hex或sa encryption-hex再配置sa

string-key，前面两条命令的配置都会被sa string-key命令的配置覆盖。

●sa authentication-hex和sa encryption-he x两条命令的配置相互没有

影响。

步骤7执行命令sa spi inbound ah spi-number，配置采用AH协议的入方向SA的SPI。

步骤8执行命令sa spi outbound ah spi-number，配置采用AH协议的出方向SA的SPI。

步骤9执行命令sa spi inbound esp spi-number，配置采用ESP协议的入方向SA的SPI。

步骤10执行命令sa spi outbound esp spi-number，配置采用ESP协议的出方向SA的SPI。

●如果分别以两种方式输入了密钥，则最后设定的密钥有效。

●在安全隧道的两端，应当以相同的方式输入密钥。如果一端以字符串

方式输入密钥，另一端以16进制方式输入密钥，则不能正确地建立安

全隧道。

步骤11执行命令sa string-key inbound ah string-key，配置采用AH协议的入方向SA的验证密钥（以字符串方式输入）。

步骤12执行命令sa string-key outbound ah string-key，配置采用AH协议的出方向SA的验证密钥（以字符串方式输入）。

步骤13执行命令sa string-key inbound esp string-key，配置采用ESP协议的入方向SA的验证密钥（以字符串方式输入）。

步骤14执行命令sa string-key outbound esp string-key，配置采用ESP协议的出方向SA的验证密钥（以字符串方式输入）。

步骤15执行命令sa authentication-hex inbound ah hex-key，配置采用AH协议的入方向SA的验证密钥（以16进制方式输入）。

步骤16执行命令sa authentication-hex outbound ah hex-key，配置采用AH协议的出方向SA的验证密钥（以16进制方式输入）。

步骤17执行命令sa authentication-hex inbound esp hex-key，配置采用ESP协议的入方向SA的验证密钥（以16进制方式输入）。

步骤18执行命令sa authentication-hex outbound esp hex-key，配置采用ESP 协议的出方向SA的验证密钥（以16进制方式输入）。

步骤19执行命令sa encryption-hex inbound esp hex-key，配置采用ESP协议的入方向SA的加密密钥（以16进制方式输入）。

步骤20执行命令sa encryption-hex outbound esp hex-key，配置采用ESP协议的出方向SA的加密密钥（以16进制方式输入）。

----结束

8.2.5 引用IPSec安全策略

在指定接口上引用IPSec安全策略，从而对经过此接口且符合ACL的报

文应用IPSec保护。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令interface interface-type interface-number，进入接口视图。

步骤3执行命令undo ip fast-forwarding qff，关闭接口的快速转发功能。

步骤4执行命令ipsec policy policy-name，在接口上应用安全策略。

----结束

一个接口只能应用一个安全策略组，一个安全策略组可以应用到多个接

口上。但Manual方式配置的安全策略只能应用到一个接口。如果所应用

的安全策略是Manual方式建立SA，会立即生成SA。如果所应用的安全

策略是IKE方式建立SA，需要经过IKE协商才会生成SA。

Eudemon实现的IPSec安全策略除可以应用到串口、以太网口等实际物理

接口外，还能应用到Tunnel、Virtual Template、Dialer等虚拟接口。此时

即可根据实际组网需求，在如L2TP等隧道上应用IPSec。

8.2.6 检查配置结果

可以在所有视图下执行以下命令检查配置结果。

8.3 配置IKE方式协商的IPSec隧道

8.3.1 建立配置任务

应用环境

考虑到安全性，数据流往往需要认证。在一些安全性要求较高的场合，

数据流可能既需要认证又需要加密，此时需要在IPSec服务发起端和终结

端的Eudemon设备上配置IPSec功能。

对于中、大型的动态网络环境，推荐使用IKE方式协商IPSec隧道。

IKE协商支持预共享密钥（pre-share）、RSA签名（rsa-sig）和RSA加密

NONCE（rsa-encr）3种身份验证方式。

其中，RSA签名方式需要预先申请证书，申请过程请参见“8.4 配置证书

申请”。

前置任务

在配置IPSec前，需要完成以下任务：

●配置Eudemon的工作模式

●配置接口的IP地址

●配置接口加入安全区域

●配置需要协商的两台Eudemon获取CA证书、本地证书和CRL（RSA

签名方式）

●只有Eudemon工作于路由模式才可以配置IPSec。

●使用证书的验证要求所有证书和CRL都已经导入到内存。并且都使用同一

个CA中心。

●需要协商的两台Eudemon之间通信正常。

数据准备

在配置IPSec前，需要准备以下数据。

配置过程

要完成IPSec的配置，需要按照以下过程配置。

8.3.2 创建需要保护的数据流

IPSec能够对不同的数据流进行安全保护。在实际应用中，需要首先通过

ACL定义数据流，再在安全策略中引用该ACL，从而起到保护该数据流

的作用。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令acl [ number ] acl-number [ match-order { config | auto } ]，创建高级ACL，并进入相应视图。

步骤3执行命令rule [ rule-id ] { permit | deny } protocol [ source

{ source-address source-wildcard | address-set address-set-name | any } |

destination { destination-address destination-wildcard | address-set

address-set-name | any } | source-port { operator port | range port1port2 |

port-set port-set-name } | destination-port { operator port | range port1

port2 | port-set port-set-name } | icmp-type { icmp-type icmp-code |

icmp-message } | precedence precedence | tos tos | time-range time-name |

logging ] *，配置ACL规则。

----结束

8.3.3 配置IPSec安全提议

IPSec安全提议（Proposal）用于指定IPSec所采取的一系列措施，包含对

需要保护的数据流采用的安全协议、加密和验证算法以及报文封装形式。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ipsec proposal proposal-name，创建安全提议并进入安全提议视图。

步骤3执行命令transform { ah | ah-esp | esp }，选择安全协议。

在配置NAT穿越的情况下，必须选择ESP协议。

步骤4根据transform命令配置的安全协议，配置验证算法和加密算法。

●如果transform命令配置为ah或ah-esp，则配置AH协议采用的验

证算法，执行命令ah authentication-algorithm { md5 | sha1 }。

●如果transform命令配置为esp或ah-esp，则配置ESP协议采用的

验证和加密算法。

?执行命令esp authentication-algorithm { md5 | sha1 }，配置ESP

验证算法。

?执行命令esp encryption-algorithm { 3des | des | aes [ 128 | 192 |

256 ] }，配置ESP加密算法。

步骤5执行命令encapsulation-mode tunnel，选择报文封装形式。

----结束

8.3.4 配置IKE安全提议

IKE安全提议用来协商建立安全通道，协商参数包括验证方式、加密算法、

验证算法、Diffie-Hellman组标识和SA生存周期。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ike proposal proposal-number，创建IKE安全提议并进入IKE 安全提议视图。

可以按照优先级创建多条IKE提议，但是协商双方必须至少有一条匹配

的IKE提议才能协商成功。

步骤3执行命令encryption-algorithm { des-cbc | 3des-cbc| aes-cbc }，选择加密算法。

步骤4执行命令authentication-method { pre-share| rsa-encr | rsa-sig }，配置身份验证方式。

●pre-share方式：需要为对端配置预共享密钥。建立安全连接的两端

的预共享密钥必须一致。

●rsa-encr方式：需要配置每个对端的RSA公钥。

rsa-sig方式：需要配置本地证书。

步骤5执行命令authentication-algorithm { md5|sha1 }，选择验证算法。

步骤6执行命令dh { group1 | group2 | group5 }，选择Diffie-Hellman组标识。

步骤7执行命令sa duration interval，配置SA生存周期（单位：分钟）。

如果duration时间超时，ISAKMP SA将自动更新。因为IKE协商需要进

行DH计算，在Eudemon上需要经过较长的时间，为使ISAKMP SA的

更新不影响安全通信，建议配置duration大于10分钟。

----结束

8.3.5 配置IKE Peer

IKE Peer，即IKE对等体。配置IKE Peer的一系列属性，包括IKE协商

模式、预共享密钥、证书、对端地址以及是否需要进行NAT穿越等，以

保证IKE协商阶段的正确性。

步骤1执行命令system-view，进入系统视图。

步骤2（可选）执行命令ipsec sa global-duration { time-based interval |

traffic-based kilobytes }，配置全局的SA生存周期。

生存周期只对通过isakmp方式建立的SA有效，对通过Manual方式建

立的SA没有生存周期的限制，即手工建立的SA永远不会失效。

步骤3（可选）执行命令ike local-name local-name，配置IKE协商时的本机ID。

如果配置了本机ID，那么对端在IKE Peer视图中执行remote-name name

命令配置的对端名称必须与此保持一致。

步骤4（可选）执行命令ike sa keepalive-timer interval interval，配置发送Keepalive报文的时间间隔（单位：秒）。

步骤5（可选）执行命令ike sa keepalive-timer timeout interval，配置等待Keepalive报文的超时时间（单位：秒）。

通过Keepalive机制，可以判断是否能与对端正常通讯。interval和timeout

两个参数要成对出现，即在一个Eudemon上配置了timeout参数，那么就

要在对端配置interval参数。

当配置timeout的Eudemon在超时时间内未收到对端的Keepalive报文时，

如果该ISAKMP SA带有TIMEOUT标记，则删除该ISAKMP SA以及由

其协商的IPSec SA；否则，将其标记为TIMEOUT。

步骤6（可选）执行命令ike sa nat-keepalive-timer interval interval，配置发送NAT更新报文的时间间隔（单位：秒）。

interval的缺省值是20秒。

步骤7执行命令ike peer peer-name，创建IKE Peer并进入IKE Peer视图。

步骤8执行命令exchange-mode { main | aggressive }，配置IKE协商模式。

如果要使用RSA加密NONCE（rsa-encr）验证方式，此处必须配置为主

（main）模式。

被IPSec安全策略模板引用的IKE Peer必须使用野蛮模式（aggressive），

也就是通过安全策略模板配置安全策略时，不支持使用RSA加密NONCE

（rsa-encr）验证方式。

步骤9执行命令ike-proposal proposal-number，引用已经配置的IKE安全提议。

步骤10执行命令local-id-type { ip | name | user-name }，配置IKE Peer的ID 类型。

在野蛮模式（aggressive）下可以配置对端IP地址与对端名称，主模式

（main）下只能配置对端IP地址。

步骤11（可选）执行命令nat traversal，配置是否需要进行NAT穿越。

IPSec与NAT配合使用时需要配置NAT穿越。

步骤12（可选）执行命令local-address ip-address，配置IKE协商的本端IP 地址。

在IPSec和HRP联合组网或使用子接口、虚拟模板接口配置IPSec时，必须在IKE Peer视图下执行命令local-address ip-address，配置IPSec协商报文发起的IP地址。

步骤13执行命令remote-address [ authentication-address ] low-ip-address

[ high-ip-address ]，配置对端的IP地址。

●采用RSA签名验证方式时，如果对端证书中包含实体的IP地址，那

么这里配置的对端IP地址必须和证书中的实体IP地址一致。

●如果对端本身已经通过local-address ip-address命令指定了IP地址，

那么这里配置的对端IP地址必须和ip-address一致。

●配置基于IP认证的NAT穿越时需要指定authentication-address关

键字。IP地址是NAT转换前的对端IP地址。

若对端地址配置为地址段，此IKE Peer只能被IPSec的策略模板引用。

步骤14执行命令remote-name name，配置对端名称（只在野蛮模式下且使用名字认证时使用）。

步骤15执行命令pre-shared-key key-string，为对端配置预共享的密钥

（pre-share方式）。

步骤16执行命令certificate { local-filename | peer-filename } cert-name，配置本地证书和对端证书（rsa-sig方式）。

步骤17配置RSA对端IP地址和公钥（rsa-encr方式）。

1.执行命令quit，退回系统视图。

2.执行命令rsa peer-public-key key-name，进入RSA公钥视图。

3.执行命令address ip-address，配置RSA对端IP地址。

4.执行命令public-key-code begin，进入RSA公钥编码视图。

5.输入RSA公钥十六进制编码。

6.执行命令public-key-code end，退回RSA公钥视图。

7.执行命令peer-public-key end，退回系统视图。

----结束

8.3.6 配置IPSec安全策略模板

有两种方式配置IPSec安全策略，一种是本节介绍的通过配置IPSec安全

策略模板的方式配置IPSec安全策略，另一种是“8.3.7 配置IPSec安全

策略”介绍的直接配置IPSec安全策略。

Eudemon实现的IPSec安全策略除可以应用到实际物理接口外，还能应用

到Tunnel、Virtual Template、Dialer等逻辑接口。当要求IPSec与其他使

用逻辑接口的特性混合使用时，即可配置IPSec安全策略模板。例如，当

需要创建L2TP+IPSec隧道时，即需要在LNS端配置IPSec安全策略模板。

当对端发起SA协商的客户端的IP地址不固定时，比如一些移动的VPN

Client用户，可以采用配置安全策略模板的方式配置安全策略。

配置安全策略模板时，除了IKE Peer、IPSec安全提议必配，其他参数可

选。但如果配置了可选参数，则这些参数必须匹配，才能协商成功。

为使配置安全策略模板端能够接收不同的对端发起的协商，在IKE Peer

中可以指定对端地址范围或指定对端的名称，这样就允许不同的拨号用

户接入。

在IPSec服务发起端不能配置安全策略模板，要配置安全策略。在IPSec

服务终结端配置使用安全策略模板的安全策略。同时在IPSec服务发起

端，安全策略引用的ACL规则必须指定源地址范围以便IPSec服务终结

端能够正确将回应数据加密回送。IPSec服务终结端不允许引用ACL。

配置安全策略模板端不能发起SA的协商，只能响应协商。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ipsec policy-template policy-template-name seq-number，创建安全策略模板。

只能在安全策略模板组中创建一个安全策略模板，也就是只能配置一个安全策略模板的顺序号seq-number。

步骤3执行命令proposal proposal-name &<1-6>，在安全策略中引用安全提议。

步骤4（可选）执行命令sa duration { traffic-based kilobytes | time-based interval }，配置SA的生存周期（单位：秒）。

步骤5执行命令ike-peer peer-name，引用IKE Peer。

步骤6（可选）执行命令pfs { dh-group1 | dh-group2 | dh-group5 }，配置协商时使用的PFS特性。

此命令使IPSec在使用此安全策略发起一个协商时，在阶段2的协商中进

行一次附加的密钥交换以提高通讯的安全性。本端和对端指定的

Diffie-Hellman组必须一致，否则协商会失败。

步骤7执行命令quit，退回系统视图。

步骤8执行命令ipsec policy policy-name seq-number isakmp template

policy-template-name，引用安全策略模板组创建安全策略。

必须确保：

●安全策略组中只能引用一个安全策略模板组，且引用的安全策略模板

组中只能包含一个安全策略模板。

●引用安全策略模板组创建的安全策略，在安全策略组中的优先级应该

定义为最低。也就是安全策略的顺序号seq-number为最大。

●模板端可以接受对端发起协商创建的隧道总数受License限制，购买

了支持多少隧道数的License就能创建多少条隧道。

----结束

8.3.7 配置IPSec安全策略

IPSec安全策略规定了对什么样的数据流采用什么样的安全提议。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令ipsec policy policy-name seq-number isakmp，创建安全策略。

一个安全策略组最多支持配置512条安全策略，所有安全策略的总数也

不能超过512。

用户购买了支持多少条隧道数的License，就支持创建多少条隧道，也就

是如果创建了超出License限制数目的安全策略是不起作用的。

步骤3执行命令proposal proposal-name &<1-6>，在安全策略中引用安全提议。

步骤4执行命令security acl acl-number，引用ACL。

步骤5（可选）执行命令sa duration { traffic-based kilobytes | time-based interval }，配置SA的生存周期。

步骤6执行命令ike-peer peer-name，引用IKE Peer。

步骤7（可选）执行命令pfs { dh-group1 | dh-group2 | dh-group5 }，配置协商时使用的PFS特性。

此命令使IPSec在使用此安全策略发起一个协商时，在阶段2的协商中进

行一次附加的密钥交换以提高通讯的安全性。本端和对端指定的

Diffie-Hellman组必须一致，否则协商会失败。

----结束

8.3.8 引用IPSec安全策略

在指定接口上引用IPSec安全策略，从而对经过此接口且符合ACL的报

文应用IPSec保护。

步骤1执行命令system-view，进入系统视图。

步骤2执行命令interface interface-type interface-number，进入接口视图。

步骤3执行命令undo ip fast-forwarding qff，关闭接口的快速转发功能。

步骤4执行命令ipsec policy policy-name，引用安全策略。

----结束

配置完上述步骤后，IPSec隧道两端设备之间发送的符合ACL的报文，

将触发IKE进行协商建立SA。IKE协商成功并创建了SA后，两端设备

间的数据流将被加密传输。

8.3.9 检查配置结果

可以在所有视图下执行以下命令检查配置结果。

8.4 配置证书申请

8.4.1 建立配置任务

应用环境

配置基于证书认证机制的IPSec的前提就是获取证书，然后在IKE协商

时验证证书的正确性。

证书申请就是用户向CA提供身份信息，CA根据一套标准受理申请，对

证书申请者的信用度、申请证书的目的、身份的真实可靠性等问题进行

审查，确保证书与身份绑定的正确性。如果申请被成功受理，CA随后将

向该用户颁发证书。

Eudemon支持如下两种方式向CA中心申请证书：

●在线申请

在Eudemon上向CA中心发出证书申请请求，CA中心直接将证书传

给Eudemon。

●离线申请

将证书请求文件通过磁盘、电子邮件、纸件、光盘等媒介发给CA中

心。CA中心颁发证书后，需要将证书导入Eudemon的内存。

前置任务

配置Eudemon接口的IP地址，使其与CA服务器能够正常通信（在线申

请）。

数据准备

在配置证书申请之前，需要准备以下数据。

华为USG防火墙和H3C三层交换机设备组网配置简述.docx

一.USG6350防火墙 1.根据设置向导配置完毕即可正常上网。 2.增加策略路由-（影响外网端口） 3.增加静态路由（目的是让哪个网段上网） 内网地址的下一跳是三层交换机与防火墙连接的端口地址 4.对指定服务器进行端口映射

5.对指定网段进行限速，保证服务器有可靠的带宽，不至于被其他网段抢占全部带宽。 本项目全部带宽是100M，因为有一个无线网，限定无线网最大占用50M （1）新建一个带宽通道 （2）指定网段应用于带宽通道的策略规则 二、三层交换机-H3C-S5800-32C 现场需求是有办公电脑，服务器、视频服务器，计划分成4个网段，分别为172.26.11.0/172.26.12.0/172.26.13.0/172.26.14.0/ 14段备用。 规划：VLAN100为172.26.10.253 port1-2 与防火墙172.26.10.254 连接 VLAN101为172.26.11.254 port 3-8 与服务器连接 VLAN102为172.26.12.254 port 9-12 与客户机连接 VLAN103为172.26.13.254 port 13-18 与视频服务器连接 VLAN104为172.26.14.254 port 19-24 备用 1.笔记本连接三层交换机配置口，进入命令行配置模式 简述步骤：（1）设备改名创建用户和密码（2）创建VLAN，指定某端口属于这个VLAN （3）指定每个VLAN的网关（4）增加一条路由 2.Sys

Sysname H3C-5800 telnet server enable Local-user admin Password cipher #####（此处#是输入密码） Authorization-attribute level 3 Service-type ssh telnet VLAN 100 Port G1/0/1 TO G1/0/2 Quit Vlan 101 Port g1/0/3 to g1/0/8 Quit VLAN 102 Port G1/0/9 TO G1/0/12 Quit Vlan 103 Port g1/0/13 to g1/0/18 Quit Vlan 104 Port g1/0/19 to g1/0/24 Quit Interface Vlan-interface 100 Ip address 172.26.10.253 255.255.255.0 Quit Interface Vlan-interface 101 Ip address 172.26.11.254 255.255.255.0 Quit Interface Vlan-interface 102 Ip address 172.26.12.254 255.255.255.0 Quit Interface Vlan-interface 103 Ip address 172.26.13.254 255.255.255.0 Quit Interface Vlan-interface 104 Ip address 172.26.14.254 255.255.255.0 Quit Ip route-static 0.0.0.0 0.0.0.0 172.26.10.254 Dhcp enable(开通dhcp) Dhcp server ip-pool 9 Network 172.26.12.0 mask 255.255.255.0 Gateway-list 172.26.12.254 Dns-list 8.8.8.8(根据实际修改) Quit 红色字体为9口开通DHCP，可根据实际需求

华为防火墙(VRRP)双机热备配置及组网

防火墙双机热备配置及组网指导 防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议，Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，HRP的报文，或者是普通的VRRP的报文。 在Eudemon防火墙上，hrp的作用主要是备份防火墙的会话表，备份防火墙的servermap 表，备份防火墙的黑名单，备份防火墙的配置，以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP，VGMP，以及HRP之后，将会形成主备关系，这个时候防火墙的命令行上会自动显示防火墙状态是主还是备，如果命令行上有HRP_M的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙，如果命令行上有HRP_S的标识，表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商，并且协商状态稳定之后一定是一台为主状态另外一台为备状态，不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后，我们称HRP的主备状态为HRP主或者是HRP备状态，在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的，而这些命令将不能在备防火墙的命令行上执行，这些命令包括ACL，接口加入域等，但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下： ★ hrp enable ：HRP使能命令，使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl ：检查主备防火墙两端的ACL的配置是否一致。执行此命令之后，主备防火墙会进行交互，执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。

华为防火墙NAT配置命令

私网用户通过NAPT方式访问Internet （备注：在这种环境中，外网只能ping通外网口，公网没有写入到内网的路由，所以前提是内网只能ping通外网口，但走不到外网口以外的网络，做了NAT之后，内网可以通外网任何网络，但是外网只能ping到本地内网的外网口。） 本例通过配置NAPT功能，实现对少量公网IP地址的复用，保证公司员工可以正常访问Internet。组网需求 如图1所示，某公司内部网络通过USG9000与Internet相连，USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少（202.169.1.21～202.169.1.25），所以需要利用USG9000的NAPT功能复用公网IP地址，保证员工可以正常访问Internet。 图1 配置私网用户通过NAPT方式访问Internet组网图 配置思路 1.完成设备的基础配置，包括配置接口的IP地址，并将接口加入安全区域。 2.配置安全策略，允许私网指定网段访问Internet。 3.配置NAT地址池和NAT策略，对指定流量进行NAT转换，使私网用户可以使用公网IP 地址访问Internet。 4.配置黑洞路由，防止产生路由环路。

操作步骤 1.配置USG9000的接口IP地址，并将接口加入安全区域。 # 配置接口GigabitEthernet 1/0/1的IP地址。 system-view [USG9000] interface GigabitEthernet 1/0/1 [USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24 [USG9000-GigabitEthernet1/0/1] quit # 配置接口GigabitEthernet 1/0/2的IP地址。 [USG9000] interface GigabitEthernet 1/0/2 [USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24 [USG9000-GigabitEthernet1/0/2] quit # 将接口GigabitEthernet 1/0/1加入Trust区域。 [USG9000] firewall zone trust [USG9000-zone-trust] add interface GigabitEthernet 1/0/1 [USG9000-zone-trust] quit # 将接口GigabitEthernet 1/0/2加入Untrust区域。 [USG9000] firewall zone untrust [USG9000-zone-untrust] add interface GigabitEthernet 1/0/2 [USG9000-zone-untrust] quit 2.配置安全策略，允许私网网段10.1.1.0/24的用户访问Internet。 3.[USG9000] policy interzone trust untrust outbound 4.[USG9000-policy-interzone-trust-untrust-outbound] policy 1 5.[USG9000-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1.0 0.0.0.255 6.[USG9000-policy-interzone-trust-untrust-outbound-1] action permit 7.[USG9000-policy-interzone-trust-untrust-outbound-1] quit [USG9000-policy-interzone-trust-untrust-outbound] quit

华为usg2210防火墙配置实例

display current-configuration detect h323 d 09:29:14 2016/03/17 detect qq # sysname USG2200 detect #s l2tp enabledetect netbi undo l2tp domain suffix-separator @ undo tunnel authentic #i ike dpd interval 10 allow l2tp #i firewall packet-filter default permit interzone local trust direction inbound unicast undo synchronization # firewall packet-filter default permit interzone local trust direction outbound local-user user2 firewall packet-filter default permit interzone local untrust direction inbound local-user user3 password cipher %$%$`;WkNM${E;O=5--=%y firewall packet-filter default permit interzone local untrust direction outboundal-user user3 service-type ppp local-user use authentication-mode vpndb # nat server 1 protocol udp global 218.56.104.*** any inside 192.100.7.73 anyheme test.scm authorization-mode vpndb # ip df-unreachables enableaccounting-scheme default

华为防火墙2110调试

防火墙说明文档 一 使用串口转USB加串口转网口组合，网口在防火墙端接入console口，在笔记本电脑中打开CRT选择端口后，链接到防火墙配置 输入dis cu 查看防火墙基本配置，按住空格显示更多配置，查看完后输入sys 进入配置[USG2110]抬头下进行网口配置 输入interface ethernet1/0/0/6 表示进入LAN6口的端口 具体端口表示多少号需要在查询防火墙配置中找到相关端口名称例如1/0/1或者2/0/0等如果该端口没有网线接口使用需要关闭接口 输入shutdown就可以成功关闭端口

然后用一根网线用笔记本接入到LAN1口，LAN1口是进入WEB配置界面的口，通常情况下不要当做通讯接口使用。 在前面查询防火墙配置的时候就能看的WEB界面的IP端口，通常都是192.168.0.1 （不要以下图IP为例） 用户名admin 密码Admin@123 进入之后首先修改密码进入左侧的“系统”——“管理员”——“管理员”点击修改将密码统一改为Fglyc_01 “应用”“返回”

进入左侧的“网络”——安全区域——安全区域点trust的修改按钮 在描述中填入描述例如此防火墙用于一二区就填“安全一区”并将不用的lan 口选中并删除留需要用lan口的和lan7口lan7口用于调试 然后点“应用”、“返回”

同样方法修改untrust区域如果多条链路接口不够用也可以增加lan口到untrust区

再进入左侧“网络”——“接口”-“接口”中修改wan0口 选择“交换”然后修改Access VLAN ID 为2 （lan0和wan0他们为一条通路时，将wan0和lan0都设同样的值就可以，这里设置为2）然后“应用”“返回”

华为USG防火墙运维命令大全

华为USG防火墙运维命令大全 1查会话 使用场合 针对可以建会话的报文，可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍（命令类） display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法（工具类） 首先确定该五元组是否建会话，对于TCP/UDP/ICMP（ICMP只有echo request和echo reply建会话）/GRE/ESP/AH的报文防火墙会建会话，其它比如SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立，并且一直有后续报文命中刷新，基本可以排除防火墙的问题，除非碰到来回路径不一致情况，需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文，继续后续排查方法。 Global：表示在做NAT时转换后的IP。 Inside：表示在做NAT时转换前的IP。 使用示例 display firewall session table verbose source inside 10.160.30.2

华为路由器防火墙配置

华为路由器防火墙配置 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source- mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较 的概念;为IP时

有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有:等于(eq) 、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range，则后面需要跟两个 端口。 port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值(如telnet)或0~65535之间的一个 数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或 0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型;可以是关键字所设定的预设值(如echo- reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码，是0~255之间的一个数值。 log [可选] 表示如果报文符合条件，需要做日志。 listnumber 为删除的规则序号，是1~199之间的一个数值。

华为USG防火墙配置完整版

华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

华为USG2000防火墙配置 USG2000防火墙基本设置： 外观 1个调试口（CONSOLE）； 2个以太网口（GE0/0/0和GE0/0/1，电口或者SFP光口任取一）； 1个reset按钮（操作不当访问不到防火墙时初始化出厂配置）。 初始配置 GE0/0/0配置为路由接口，IP地址为 防火墙访问IP为，登录用户名admin，密码Admin@123 USG2000防火墙配置过程中注意事项： 接口配置时，不要操作当前连接的端口，否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。

USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口，访问登录防火墙。 登录过程中出现证书错误，点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后，弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式，不适合I区和II区之间，直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口，在GE0/0/1行最后点配置。 别名设置‘安全II区端口’，选择模式‘交换’，连接类型选择为 ‘access’，点击应用。 3.添加Vlan接口 在接口页面中，点击新加，接口名称设置为‘配置接口’，类型设置为‘VLAN’，VALN ID设置为‘1’，接口成员选择‘GE0/0/1’，连接类型设置为‘静态IP’，IP地址设置为‘’，子网掩码设置为‘’，最后点击应用。如下图所示 4.按照配置GE0/0/1的方法，配置GE0/0/0，将别名设为‘安全I 区端口’。 注意：配置完成后，点击应用后，由于GE0/0/0的IP地址已变更，将无法访问到。 5.关闭所有浏览器页面，然后重新开启浏览器，连接GE0/0/0，访 问。 修改刚添加的‘配置接口’的Vlan端口，将GE0/0/0添加到接口

华为USG防火墙配置

华为USG2000防火墙配置 USG2000防火墙基本设置： 外观 1个调试口（CONSOLE）； 2个以太网口（GE0/0/0和GE0/0/1，电口或者SFP光口任取一）； 1个reset按钮（操作不当访问不到防火墙时初始化出厂配置）。 初始配置 GE0/0/0配置为路由接口，IP地址为192.168.0.1 防火墙访问IP为192.168.0.1，登录用户名admin，密码Admin@123 USG2000防火墙配置过程中注意事项： 接口配置时，不要操作当前连接的端口，否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。

USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口，访问19 2.168.0.1登录防火墙。 登录过程中出现证书错误，点击‘继续浏览此网站’继续。

输入用户名admin密码Admin@123登录防火墙。 登录后，弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式，不适合I区和II区之间，直接点取消。

以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口，在GE0/0/1行最后点配置。

别名设置‘安全II区端口’，选择模式‘交换’，连接类型选择为‘access’，点击应用。 3.添加Vlan接口 在接口页面中，点击新加，接口名称设置为‘配置接口’，类型设置为‘VLAN’，VALN ID 设置为‘1’，接口成员选择‘GE0/0/1’，连接类型设置为‘静态IP’，IP地址设置为‘192.168.1.100’，子网掩码设置为‘255.255.0.0’，最后点击应用。如下图所示 4.按照配置GE0/0/1的方法，配置GE0/0/0，将别名设为‘安全I区端口’。 注意：配置完成后，点击应用后，由于GE0/0/0的IP地址已变更，将无法访问到192.168.0.1。 5.关闭所有浏览器页面，然后重新开启浏览器，连接GE0/0/0，访问192.168.1.100。 修改刚添加的‘配置接口’的Vlan端口，将GE0/0/0添加到接口成员中。

华为防火墙USG配置

内网： 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网： 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ： [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit 1.4.1 Trust和Untrust域间：允许内网用户访问公网 policy 1：允许源地址为10.10.10.0/24的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令：

华为防火墙命令

华为路由器和防火墙配置命令总结 一、access-list 用于创建访问规则。 （1）创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] （2）创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] （3）删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。 log [可选] 表示如果报文符合条件，需要做日志。

华为防火墙USG配置

配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网： 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ： [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit Trust和Untrust域间：允许内网用户访问公网 policy 1：允许源地址为的网段的报文通过 [USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1 [USG5300-policy-interzone-trust-untrust-outbound-1] policy source [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit

华为防火墙配置使用手册(自己写)

华为防火墙配置使用手册(自己写) 华为防火墙配置使用手册防火墙默认的管理接口为g0/0/0，默认的ip地址为/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin123 一、配置案例拓扑图GE 0/0/1：/24 GE 0/0/2：/24 GE 0/0/3：/24 WWW服务器：/24 FTP服务器：/24 Telnet配置配置VTY 的优先级为3，基于密码验证。# 进入系统视图。system-view # 进入用户界面视图[USG5300] user-interface vty 0 4 # 设置用户界面能够访问的命令级别为

level 3 [USG5300-ui-vty0-4] user privilege level 3 配置Password验证# 配置验证方式为Password验证[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4] set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei123 配置空闲断开连接时间# 设置超时为30分钟[USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust

local direction inbound //不加这个从公网不能telnet防火墙。基于用户名和密码验证user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤，那么从网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。地址配置网：进

华为路由器防火墙配置命令详细解释

一、access-list 用于创建访问规则。 （1）创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] （2）创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] （3）删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较

最新华为防火墙l2tp配置资料

配置Client-Initialized方式的L2TP举例 组网需求 如图1所示，某公司的网络环境描述如下： ?公司总部通过USG5300与Internet连接。 ?出差员工需要通过USG5300访问公司总部的资源。 图1配置Client-Initialized方式的L2TP组网图 配置L2TP，实现出差员工能够通过L2TP隧道访问公司总部资源，并与公司总部用户进行通信。 配置思路 1配置客户端。 2根据网络规划为防火墙分配接口，并将接口加入相应的安全区域。 3配置防火墙策略。 4配置LNS。 数据准备 为完成此配置例，需准备如下的数据： ?防火墙各接口的IP地址。 ?本地用户名和密码。 操作步骤 配置客户端。说明：如果客户端的操作系统为Windows系列，请首先进行如下操作。 1在“开始> 运行”中，输入regedit命令，单击“确定”，进入注册表编辑器。 1在界面左侧导航树中，定位至“我的电脑> HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。在该路径下右 侧界面中，检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。 如果不存在，请单击右键，选择“新建> DWORD值”，并将名称命名为 ProhibitIpSec。如果此键值已经存在，请执行下面的步骤。 1选中该值，单击右键，选择“修改”，编辑DWORD值。在“数值数据”文本框

中填写1，单击“确定”。 1重新启动该PC，使修改生效。 此处以Windows XP Professional操作系统为例，介绍客户端的配置方法。 # 客户端主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。 # 配置客户端计算机的主机名为client1。 # 创建L2TP连接。 1打开“我的电脑> 控制面板> 网络连接”，在“网络任务”中选择“创建一个 新的连接”，在弹出的界面中选择“下一步”。 1在“网络连接类型”中选择“连接到我的工作场所的网络”，单击“下一步”。 1在“网络连接”中选择“虚拟专用网络连接”，单击“下一步”。 1在“连接名”下的“公司名”文本框中设置公司名称或VPN服务器名称，本例 设置为LNS，单击“下一步”。 1在“公用网络”中选择“不拨初始连接”，单击“下一步”。 1在“VPN服务器选择”中填写LNS的IP地址，此处设置的IP地址为USG5300 与Internet连接接口的IP地址，本配置例中为202.38.161.1，单击“下一步”。 1将“在我的桌面上添加一个到此连接的快捷方式”选中，单击“完成”。 在弹出的对话框中，输入在LNS上配置的用户名和密码，单击“属性”，如图2所示。图2连接LNS 单击“属性”，设置如图3所示。图3设置LNS属性的选项页签

华为防火墙配置

防火墙配置： dis current-configuration #显示当前配置 [SRG]stp region-configuration #进入MST视图 [SRG]active region-configuration #激活MST配置 [SRG]interface GigabitEthernet 0/0/0 #进入GE0/0/0端口 [SRG-GigabitEthernet0/0/0]alias GE0/GMT #别名GE0管理 [SRG-GigabitEthernet0/0/0]ip add 192.168.100.1 255.255.255.0 #端口配置IP [SRG-GigabitEthernet0/0/0]dhcp select interface #客户端从接口地址池中通过dhcp自动获取IP地址[SRG-GigabitEthernet0/0/0]dhcp server gateway-list 192.168.100.1 #DHCP服务默认网关 [SRG-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8 #DNCP默认DNS [SRG-GigabitEthernet0/0/1]ip add 192.168.200.1 255.255.255.0 #配置端口IP [SRG-GigabitEthernet0/0/2]ip add 211.1.1.1 255.255.255.0 #配置公网IP [SRG]interface NULL0 #建立伪接口，进行包的分发。当宝的目的和路由不匹配时候，则通过NULL0丢弃ps:如果通过默认路由进行分发的话就会形成环路 [SRG]firewall zone untrust #进入防火墙不信任区域 [SRG-zone-trust]add interface GigabitEthernet 0/0/2 #添加不信任区域端口 [SRG]firewall zone trust #进入防火墙信任区域 [SRG-zone-trust]add interface GigabitEthernet 0/0/0 #添加信任区域端口 [SRG]firewall zone dmz #进入防火墙了隔离区域 [SRG-zone-trust]add interface GigabitEthernet 0/0/1 #添加隔离区域端口 [SRG]firewall zone name usr1 #添加区域 [SRG-zone-usr1]set priority 86 #设置优先级 [SRG-zone-usr1]add interface GigabitEthernet 0/0/8 #添加端口 [SRG-zone-usr1]aaa #aaa认证协议 [SRG-aaa]local-user admin password cipher 123456 #设置用户名和加密密码 [SRG-aaa]local-user admin service-type web terminal telnet #允许三种登入方式 [SRG-aaa]local-user admin level 15 #设置等级为15级 [SRG-aaa]authentication-scheme default #验证方式默认及本地设备验证 [SRG-aaa]authorization-scheme default #验证方式默认及本地设备验证 [SRG-aaa]accounting-scheme default #验证方式默认及本地设备验证 [SRG-aaa]domain default #域缺省 [SRG]nqa-jitter tag-version 1 [SRG]banner enable [SRG]user-interface con 0 [SRG-ui-console0]authentication-mode aaa 允许登陆模式为aaa [SRG]user-interface vty 0 4 [SRG-ui-vty0-4]uthentication-mode aaa [SRG-ui-vty0-4]protocol inbound all # 允许所有登陆协议

华为usg防火墙基本配置命令有哪些

华为usg防火墙基本配置命令有哪些 防火墙是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。下面是给大家整理的一些有关华为usg防火墙基本配置命令，希望对大家有帮助! 华为usg防火墙基本配置命令登陆缺省配置的防火墙并修改防火墙的名称 防火墙和路由器一样，有一个Console接口。使用console线缆将console接口和计算机的com口连接在一块。使用windows 操作系统自带的超级终端软件，即可连接到防火墙。 防火墙的缺省配置中，包括了用户名和密码。其中用户名为admin、密码Admin@123，所以登录时需要输入用户名和密码信息，输入时注意区分大小写。 修改防火墙的名称的方法与修改路由器名称的方法一致。 另外需要注意的是，由于防火墙和路由器同样使用了VRP平台操作系统，所以在命令级别、命令帮助等，与路由器上相应操作相同。 sys 13:47:28 2014/07/04 Enter system view, return user view withCtrl+Z.

[SRG]sysname FW 13:47:32 2014/07/04 修改防火墙的时间和时区信息 默认情况下防火墙没有定义时区，系统保存的时间和实际时间可能不符。使用时应该根据实际的情况定义时间和时区信息。实验中我们将时区定义到东八区，并定义标准时间。 clock timezone 1 add 08:00:00 13:50:57 2014/07/04 dis clock 21:51:15 2014/07/03 2014-07-03 21:51:15 Thursday Time Zone : 1 add 08:00:00 clock datetime 13:53:442014/07/04 21:53:29 2014/07/03 dis clock 13:54:04 2014/07/04 2014-07-04 13:54:04 Friday Time Zone : 1 add 08:00:00 修改防火墙登录标语信息 默认情况下，在登陆防火墙，登陆成功后有如下的标语信息。