华为防火墙web配置教程华为防火墙典型案例

h3c防火墙web配备实例教程h3c防火墙web配备实例教程H3C的防火墙有必要把接口加到域里边去#配备接口Ethernet0/0/0参与防火墙Trust域。

[H3C]firewallzonetrust[H3C-zone-trust]addinterfaceEthernet0/0/0H3C防火墙的域（zone）区域（zone）是防火墙商品所引进的一个安全概念，是防火墙商品差异于路由器的首要特征。

一个安全区域包含一个或多个接口的组合，具有一个安全等级。

在设备内部，安全等级经过0～十0的数字来标明，数字越大标明安全等级越高。

V3路径：安全域不存在两个具有相同安全等级的区域。

中低端防火墙缺省有Trust、Untrust、DMZ、local4个安全域，一同还能够自界说12个区域。

V5路径：安全域能够容许两个相同安全等级的区域，缺省有Trust、Untrust、DMZ、local和Management5个安全域，一同能够自界说256个区域，而且只能在Web页面进行配备。

通常来讲，安全区域与各网络的有关遵从下面的准则：内部网络应安排在安全等级较高的区域、外部网络应安排在安全等级最低的区域。

详细来说，Trust所属接口用于联接用户要维护的网络；Untrust所属接口联接外部网络；DMZ区所属接口联接用户向外部供应效能的有些网络；从防火墙设备本身主张的联接便是从Local区域主张的联接。

相应的悉数对防火墙设备本身的拜访都归于向Local区域主张拜访联接。

防火墙作通常坐被捕络的间隔，其首要责任，是维护客户网络的机密性，确保客户网络的可用性。

一同，作为网络处理员，在确保了网络的安全和可用之余，还需求思考维护的便当性。

在往常网络运维中，网络处理员对防火墙操作最多的，莫过于安全战略，分外是运营商的网络。

防火墙后边触及的网络路径类型很多、战略杂乱，一同，跟着每个类型的效能路径的不断晋级及事务拓宽，需求一再的批改安全战略，这就对网络处理员提出了难题。

华为防火墙配置使用手册(自己写)华为防火墙配置使用手册一、概述二、防火墙基本概念包过滤防火墙：它只根据数据包的源地址、目的地址、协议类型和端口号等信息进行过滤，不对数据包的内容进行分析。

它的优点是处理速度快，开消小，但是安全性较低，不能阻挠应用层的攻击。

状态检测防火墙：它在包过滤防火墙的基础上，增加了对数据包的连接状态的跟踪和记录，可以识别出非法的连接请求和数据包，并拒绝通过。

它的优点是安全性较高，可以阻挠一些常见的攻击，但是处理速度较慢，开消较大。

应用代理防火墙：它对数据包的内容进行深度分析，可以识别出不同的应用协议和服务，并根据应用层的规则进行过滤。

它的优点是安全性最高，可以阻挠复杂的攻击，但是处理速度最慢，开消最大。

访问控制：它可以根据源地址、目的地址、协议类型、端口号、应用类型等信息对网络流量进行分类和过滤，实现对内外网之间访问权限的控制和管理。

虚拟专网：它可以建立安全隧道，实现不同地域或者组织之间的数据加密传输，保证数据的机密性、完整性和可用性。

内容安全：它可以对网络流量中携带的内容进行检查和过滤，如、网页、文件等，并根据预定义的规则进行拦截或者放行。

用户认证：它可以对网络访问者进行身份验证，如用户名、密码、证书等，并根据不同的用户或者用户组分配不同的访问权限和策略。

流量管理：它可以对网络流量进行统计和监控，如流量量、流量速率、流量方向等，并根据预定义的规则进行限制或者优化。

日志审计：它可以记录并保存网络流量的相关信息，如源地址、目的地址、协议类型、端口号、应用类型、过滤结果等，并提供查询和分析的功能。

三、防火墙配置方法命令行界面：它是一种基于文本的配置方式，用户可以通过控制台或者远程终端访问防火墙，并输入相应的命令进行配置。

它的优点是灵便性高，可以实现细致的配置和管理，但是需要用户熟悉命令的语法和逻辑。

图形用户界面：它是一种基于图形的配置方式，用户可以通过浏览器或者客户端软件访问防火墙，并通过或者拖拽等操作进行配置。

华为防火墙配置使用手册(自己写)[USGxxxx] interface GigabitEthernet 0/0/1 [USGxxxx-GigabitEthernet0/0/1] ip address 192.168.1.1 24 [USGxxxx-GigabitEthernet0/0/1] quit[USGxxxx] saveThe current configuration will be written to the device.Are you sure to continue? [Y/N]:YInfo: Please input the filename(*.cfg,*.zip)[vrpcfg.zip]:(To leave the existing filename unchanged, press the enter key):It will take several minutes to save configuration file, please wt......Configuration file had been saved successfullyNote: The configuration file will take effect after being activated网络 > 接口 > 物理接口 > 编辑 > 基本信息 >华为防火墙配置使用手册一、概述二、功能介绍防火墙功能：根据用户定义的安全策略，对进出网络的数据包进行允许或拒绝的动作，实现网络隔离和访问控制。

入侵防御功能：通过内置或外置的入侵防御系统(IPS)，对网络流量进行深度分析，识别并阻断各种已知或未知的攻击行为，如端口扫描、拒绝服务、木马、漏洞利用等。

反病毒功能：通过内置或外置的反病毒引擎，对网络流量中的文件和进行扫描，检测并清除各种病毒、蠕虫、木马等恶意代码。

内容过滤功能：通过内置或外置的内容过滤引擎，对网络流量中的网页、、即时通信等应用层内容进行过滤，阻止不良或违规的信息传输，如色情、暴力、赌博等。

[原创]华为Eudemon防火墙NAT配置实例Post By：2007-7-11 11:35:00贴一下我公司里防火墙的配置，希望能够起到抛砖引玉的作用。

具体外网IP和内网ARP绑定信息已经用“x”替代，请根据实际情况更换。

“／／”后面的部分是我导出配置后添加的注释。

防火墙型号为华为Eudemon 200，E0/0/0口为外网接口，E0/0/1口为内网。

另外此配置方法也完全适用于华为Secpath系列防火墙，略加改动也可适用于华为AR系列路由器。

------------------------------------------传说中的分隔线------------------------------------------#sysname Eudemon／／设置主机名#super password level 3 simple xxxxxxxx／／Ｓｕｐｅｒ密码为xxxxxxxx #firewall packet-filter default permit interzone local trust direction inboundfirewall packet-filter default permit interzone local trust direction outboundfirewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outboundfirewall packet-filter default permit interzone local dmz direction inboundfirewall packet-filter default permit interzone local dmz direction outboundfirewall packet-filter default permit interzone trust untrust direction inboundfirewall packet-filter default permit interzone trust untrust direction outboundfirewall packet-filter default permit interzone trust dmz direction inboundfirewall packet-filter default permit interzone trust dmz direction outboundfirewall packet-filter default permit interzone dmz untrust direction inboundfirewall packet-filter default permit interzone dmz untrust direction outbound／／设置默认允许所有数据包通过#青岛IT社区提醒：本地交易眼见为实，当面验货！不要嫌麻烦！交易地点建议在人多地方，防止抢劫！QQ:支持(0) 中立(0) 反对(0)wanghaoqd 小大 2楼个性首页| QQ| 信息| 搜索| 邮箱| 主页| 手机号码所在地查询|加好友发短信蛋白超人等级：退役版主帖子：206 7积分：185 威望：5精华：1 注册：2004-3-24Post By：2007-7-11 11:35:00nat address-group 1 ／／将ＩＳＰ分配的公网ＩＰ加入地址池１nat server global insidenat server global insidenat server global insidenat server global insidenat server global inside ／／将几个公网ＩＰ地址映射到内部服务器nat alg enable ftpnat alg enable dnsnat alg enable icmpnat alg enable netbiosundo nat alg enable h323undo nat alg enable hwccundo nat alg enable ilsundo nat alg enable pptpundo nat alg enable qqundo nat alg enable msnundo nat alg enable user-defineundo nat alg enable rtspfirewall permit sub-ip#firewall statistic system enable#interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0/0ip address ／／设置外网端口ＩＰ地址，此处为网通分配的内部私有ＩＰ，#interface Ethernet0/0/1ip address ／／设置内网ＩＰ地址，采用#interface NULL0#acl number 2000rule 0 permit source ／／ACL 2000，目的是只允许rule 1 deny#acl number 3001rule 0 deny udp destination-port eq 445rule 1 deny udp destination-port eq netbios-nsrule 2 deny udp destination-port eq netbios-dgmrule 3 deny udp destination-port eq netbios-ssnrule 4 deny udp destination-port eq 1434rule 5 deny tcp destination-port eq 135rule 6 deny tcp destination-port eq 139rule 7 deny tcp destination-port eq 389rule 8 deny tcp destination-port eq 445rule 9 deny tcp destination-port eq 636rule 10 deny tcp destination-port eq 1025rule 11 deny tcp destination-port eq 1503rule 12 deny tcp destination-port eq 3268rule 13 deny tcp destination-port eq 3269rule 14 deny tcp destination-port eq 4444rule 15 deny tcp destination-port eq 5554rule 16 deny tcp destination-port eq 5800rule 17 deny tcp destination-port eq 5900rule 18 deny tcp destination-port eq 9996rule 19 deny tcp destination-port eq 6667／／ACL 300 1，关闭常见蠕虫病毒使用的端口#firewall zone localset priority 100QQ:支持(0) 中立(0) 反对(0)wanghaoqd 小大 3楼个性首页| QQ| 信息| 搜索| 邮箱| 主页| 手机号码所在地查询|加好友发短信蛋白超人等级：退役版主帖子：206 7积分：185 威望：5精华：1 注册：2004-3-24Post By：2007-7-11 11:36:00#firewall zone trustset priority 85add interface Ethernet0/0/1／／将E0/ 0/1口加入TRUST区#firewall zone untrustset priority 5add interface Ethernet0/0/0 ／／将E0/0/0口加入UN TRUST区#firewall zone dmzset priority 50#firewall interzone local trustpacket-filter 3001 inbound／／在LO CAL到TRUST方向应用ACL 3001号#firewall interzone local untrustpacket-filter 3001 inbound／／在LO CAL到UNTRUST方向应用ACL 3001号#firewall interzone local dmz#firewall interzone trust untrustnat outbound 2000 address-group 1 ／／在TRUST到U NTRUST的方向做NAT，使用2000号ACL#firewall interzone trust dmz#firewall interzone dmz untrust#aaalocal-user admin password cipher A^.5<+_KCH)./a!1$H@GYA!!／／建立用户admin，密码为密文local-user admin level 3 ／／用户权限为3（最高级）authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default##arp static xxxx-xxxx-xxxx／／做ＩＰ和ＭＡＣ地址绑定arp static xxxx-xxxx-xxxxarp static xxxx-xxxx-xxxxarp static xxxx-xxxx-xxxxarp static xxxx-xxxx-xxxxarp static xxxx-xxxx-xxxx…………………………／／省略许多行......arp static 1111-1111-1111arp static 1111-1111-1111arp static 1111-1111-1111arp static 1111-1111-1111arp static 1111-1111-1111／／把不使用的ＩＰ与不存在的#ip route-static ／／设置缺省路由，此处ＩＰ地址为网通内部ＩＰ，#snmp-agentsnmp-agent local-engineid 000007DB7F00000Dsnmp-agent community read xxxxxxsnmp-agent community write xxxxxxsnmp-agent sys-info version all／／设置SNMP参数，以使用网管软件来监控#user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode aaa／／设置VTY口的认证模式为AAA#returnQQ:支持(0) 中立(0) 反对(0) pladin123小大 4楼个性首页| 信息| 搜索| 邮箱| 主页| 手机号码所在地查询|加好友发短信等级：QDIT游民帖子：23 8积分：1309 威望：0 精华：0 注册：2007-3-30 16:0 4:00Post By：2007-7-23 13:12:00楼上的这种方法带宽方面的如何的呢？内网所有都用一个IP，那不是浪费了吗还有我们和美国视频会议的时候，会不会有影响。

第一部分华为防火墙基本初始化LAB1 子接口初始化一、实验拓扑二、基本配置SW:[SW]vlan 2[SW-vlan2]description Untrust[SW-vlan2]vlan 3[SW-vlan3]description Trust[SW-vlan3]vlan 4[SW-vlan4]description DMZ[SW]int g0/0/9[SW-GigabitEthernet0/0/8]port link-type access[SW-GigabitEthernet0/0/8]port default vlan 3[SW-GigabitEthernet0/0/8]int g0/0/3[SW-GigabitEthernet0/0/3]port link-type access[SW-GigabitEthernet0/0/3]port default vlan 3[SW]int g0/0/9[SW-GigabitEthernet0/0/9]port link-type trunk[SW-GigabitEthernet0/0/9]port trunk allow-pass vlan 1 2 4 [SW]int g0/0/1[SW-GigabitEthernet0/0/1]port link-type access [SW-GigabitEthernet0/0/1]port default vlan 2[SW-GigabitEthernet0/0/1]int g0/0/2[SW-GigabitEthernet0/0/2]port link-type access[SW-GigabitEthernet0/0/2]port default vlan 4三、防火墙配置system-viewEnter system view, return user view with Ctrl+Z.[SRG][SRG]sysname HWFW[HWFW]int g0/0/0[HWFW-GigabitEthernet0/0/0]alias Trust ===配置接口描述[HWFW-GigabitEthernet0/0/0]ip add 192.168.1.10 24 [HWFW]int g0/0/1.2[HWFW-GigabitEthernet0/0/1.2]vlan-type dot1q 2 ====封装VLAN [HWFW-GigabitEthernet0/0/1.2]alias Untrust[HWFW-GigabitEthernet0/0/1.2]ip add 202.100.1.10 24[HWFW-GigabitEthernet0/0/1.2]interface GigabitEthernet0/0/1.4 [HWFW-GigabitEthernet0/0/1.4]alias DMZ[HWFW-GigabitEthernet0/0/1.4]vlan-type dot1q 4[HWFW-GigabitEthernet0/0/1.4]ip add 172.16.1.10 24测试：[HWFW]ping -c 2 192.168.1.119:26:33 2014/05/26PING 192.168.1.1: 56 data bytes, press CTRL_C to breakReply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=80 msReply from 192.168.1.1: bytes=56 Sequence=2 ttl=255 time=580 ms [HWFW]ping -c 2 202.100.1.119:26:55 2014/05/26PING 202.100.1.1: 56 data bytes, press CTRL_C to breakRequest time outRequest time out[HWFW]ping -c 2 172.16.1.119:27:14 2014/05/26PING 172.16.1.1: 56 data bytes, press CTRL_C to breakRequest time outRequest time out为什么直连不通？因为默认不同zone之间流量是不允许访问的，可以通过以下命令查看：[HWFW]display current-configurationfirewall zone trustset priority 85add interface GigabitEthernet0/0/0为了测试，可以将防火墙其它两个两口放入相同的zone[HWFW] firewall zone trust[HWFW-zone-trust]add interface g0/0/1.2[HWFW-zone-trust]add interface GigabitEthernet0/0/1.4[HWFW]ping -c 2 202.100.1.119:32:39 2014/05/26PING 202.100.1.1: 56 data bytes, press CTRL_C to breakReply from 202.100.1.1: bytes=56 Sequence=1 ttl=255 time=70 ms Reply from 202.100.1.1: bytes=56 Sequence=2 ttl=255 time=700 ms --- 202.100.1.1 ping statistics ---2 packet(s) transmitted2 packet(s) received0.00% packet lossround-trip min/avg/max = 70/385/700 ms[HWFW]ping -c 2 172.16.1.119:32:45 2014/05/26PING 172.16.1.1: 56 data bytes, press CTRL_C to breakReply from 172.16.1.1: bytes=56 Sequence=1 ttl=255 time=70 ms Reply from 172.16.1.1: bytes=56 Sequence=2 ttl=255 time=560 ms --- 172.16.1.1 ping statistics ---2 packet(s) transmitted2 packet(s) received0.00% packet lossround-trip min/avg/max = 70/315/560 mssave ===保存配置19:37:09 2014/05/26The current configuration will be written to the device.Are you sure to continue?[Y/N]y2014-05-26 19:37:11 HWFW �M/4/SAVE(l): When deciding whether to save configuration to the device, the user chose Y.Do you want to synchronically save the configuration to the startupsaved-configuration file on peer device?[Y/N]:yNow saving the current configuration to the device..Info:The current configuration was saved to the device successfully.reset saved-configuration ?reset saved-configuration ====清空配置19:37:26 2014/05/26The action will delete the saved configuration in thedevice.The configuration will be erased to reconfigure.Are you sure?[Y/N]yNow clearing the configuration in the device.2014-05-26 19:37:28 HWFW �M/4/RST_CFG(l): When deciding whether to reset the saved configuration, the user chose Y.Error:The config file does not exist!LAB2:三接口初始化一、基本配置[SW]vlan batch 2 to 4port link-type accessport default vlan 2interface GigabitEthernet0/0/8port link-type accessport default vlan 2interface GigabitEthernet0/0/3port link-type accessport default vlan 3interface GigabitEthernet0/0/10port link-type accessport default vlan 3interface GigabitEthernet0/0/2port link-type accessport default vlan 4interface GigabitEthernet0/0/9port link-type accessport default vlan 4二、防火墙配置[HWFW]undo interface g0/0/1.2 ===删除子接口[HWFW]undo interface g0/0/1.4ip address 202.100.1.10 255.255.255.0interface GigabitEthernet0/0/1ip address 172.16.1.10 255.255.255.0interface GigabitEthernet0/0/2ip address 192.168.1.10 255.255.255.0测试：[HWFW]ping -c 1 202.100.1.120:01:23 2014/05/26PING 202.100.1.1: 56 data bytes, press CTRL_C to breakReply from 202.100.1.1: bytes=56 Sequence=1 ttl=255 time=950 ms [HWFW]ping -c 1 172.16.1.120:01:59 2014/05/26PING 172.16.1.1: 56 data bytes, press CTRL_C to breakReply from 172.16.1.1: bytes=56 Sequence=1 ttl=255 time=180 ms [HWFW]ping -c 1 192.168.1.120:02:27 2014/05/26PING 192.168.1.1: 56 data bytes, press CTRL_C to breakReply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=780 ms安全区域概述：安全区域（Security Zone），或者简称为区域（Zone），是一个安全概念，大部分的安全策略都基于安全区域实施。

防火墙配置：<SRG>dis current-configuration #显示当前配置[SRG]stp region-configuration #进入MST视图[SRG]active region-configuration #激活MST配置[SRG]interface GigabitEthernet 0/0/0 #进入GE0/0/0端口[SRG-GigabitEthernet0/0/0]alias GE0/GMT #别名GE0管理[SRG-GigabitEthernet0/0/0]ip add 192.168.100.1 255.255.255.0 #端口配置IP[SRG-GigabitEthernet0/0/0]dhcp select interface #客户端从接口地址池中通过dhcp自动获取IP地址[SRG-GigabitEthernet0/0/0]dhcp server gateway-list 192.168.100.1 #DHCP服务默认网关[SRG-GigabitEthernet0/0/0]dhcp server dns-list 8.8.8.8 #DNCP默认DNS[SRG-GigabitEthernet0/0/1]ip add 192.168.200.1 255.255.255.0 #配置端口IP[SRG-GigabitEthernet0/0/2]ip add 211.1.1.1 255.255.255.0 #配置公网IP[SRG]interface NULL0 #建立伪接口，进行包的分发。

当宝的目的和路由不匹配时候，则通过NULL0丢弃ps:如果通过默认路由进行分发的话就会形成环路[SRG]firewall zone untrust #进入防火墙不信任区域[SRG-zone-trust]add interface GigabitEthernet 0/0/2 #添加不信任区域端口[SRG]firewall zone trust #进入防火墙信任区域[SRG-zone-trust]add interface GigabitEthernet 0/0/0 #添加信任区域端口[SRG]firewall zone dmz #进入防火墙了隔离区域[SRG-zone-trust]add interface GigabitEthernet 0/0/1 #添加隔离区域端口[SRG]firewall zone name usr1 #添加区域[SRG-zone-usr1]set priority 86 #设置优先级[SRG-zone-usr1]add interface GigabitEthernet 0/0/8 #添加端口[SRG-zone-usr1]aaa #aaa认证协议[SRG-aaa]local-user admin password cipher 123456 #设置用户名和加密密码[SRG-aaa]local-user admin service-type web terminal telnet #允许三种登入方式[SRG-aaa]local-user admin level 15 #设置等级为15级[SRG-aaa]authentication-scheme default #验证方式默认及本地设备验证[SRG-aaa]authorization-scheme default #验证方式默认及本地设备验证[SRG-aaa]accounting-scheme default #验证方式默认及本地设备验证[SRG-aaa]domain default #域缺省[SRG]nqa-jitter tag-version 1[SRG]banner enable[SRG]user-interface con 0[SRG-ui-console0]authentication-mode aaa 允许登陆模式为aaa[SRG]user-interface vty 0 4[SRG-ui-vty0-4]uthentication-mode aaa[SRG-ui-vty0-4]protocol inbound all # 允许所有登陆协议[SRG]slb #负载均衡[SRG-slb]rserver 1 rip 192.168.200.201 weight 32 healthchk[SRG-slb]rserver 2 rip 192.168.200.202 weight 32 healthchk[SRG-slb]rserver 3 rip 192.168.200.203 weight 32 healthchk[SRG-slb]group g1[SRG-slb-group-g1]metric roundrobin #加权轮询算法分配连接[SRG-slb-group-g1]addrserver 1[SRG-slb-group-g1]addrserver 2[SRG-slb-group-g1] addrserver 3[SRG-slb] vserver ser1 vip 211.1.1.200 group g1[SRG]firewall packet-filter default permit interzone local trust direction inbound[SRG]firewall packet-filter default permit interzone local trust direction outbound #开启域间包过滤规则使得local和trust能ping通[SRG]firewall packet-filter default permit interzone local untrust direction inbound[SRG]firewall packet-filter default permit interzone local untrust direction outbound[SRG]firewall packet-filter default permit interzone local dmz direction inbound[SRG]firewall packet-filter default permit interzone local dmz direction outbound[SRG]firewall packet-filter default permit interzone dmz untrust direction outbound。