华为usg防火墙基本配置命令有哪些

华为USG6390防火墙基本配置网络拓扑图：1.2 Telnet配置配置VTY 的优先级为3，基于密码验证。

# 进入系统视图。

<USG6390>system-view# 进入用户界面视图[USG6390] user-interface vty 0 4# 设置用户界面能够访问的命令级别为level 3[USG6390-ui-vty0-4] user privilege level 3配置Password验证# 配置验证方式为Password验证[USG6390ui-vty0-4] authentication-mode password# 配置验证密码为lantian[USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123配置空闲断开连接时间# 设置超时为30分钟[USG6390-ui-vty0-4] idle-timeout 30[USG6390] firewall packet-filter default permit interzoneuntrust local direction inbound //不加这个从公网不能telnet防火墙。

基于用户名和密码验证user-interfacevty 0 4authentication-modeaaaaaalocal-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!local-user admin service-type telnetlocal-user admin level 3firewall packet-filter default permit interzoneuntrust local direction inbound如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。

网络安全之华为USG防火墙配置实例USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。

USG5500系列产品部署于网络出口处，有效阻止Internet 上的黑客入侵、DDoS攻击，阻止内网用户访问非法网站，限制带宽，为内部网络提供一个安全可靠的网络环境。

这里华迪教育以此为例，给同学们讲解防火墙配置实例。

华为USG防火墙配置内容：（1）内部网络通过防火墙访问外部网络(NAT)（2）外部网络能够访问内部服务器的映射网站主要配置命令如下：Step 1: 设置内、外网接口IPinterface GigabitEthernet0/0/1ip address 192.168.10.1 255.255.255.0interface GigabitEthernet0/0/8ip address 211.95.1.200 255.255.255.0Step 2: 指定内网信任区和外网非信任区firewall zone trustdetect ftp (启用FTP应用层转换)add interface GigabitEthernet0/0/1firewall zone untrustadd interface GigabitEthernet0/0/8step 3 : 开启内网FTP服务映射到外网，开通区域间的通信许可firewall interzone trust untrustdetect ftp （开启内网到外网的FTP服务映射）firewall packet-filter default permit allstep 4:定义NAT地址池、配置NAT Server发布内网站点服务nat address-group 1 211.95.1.200 211.95.1.200nat server zone untrust protocol tcp global 211.95.1.200 www inside 192.168.10.254 wwwnat server zone untrust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftpnat server zone trust protocol tcp global 211.95.1.200 www inside 192.168.10.254 wwwnat server zone trust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftpStep 5 :配置nat转换，使得内网可以访问外网nat-policy interzone trust untrust outboundpolicy 1action source-natpolicy source 192.168.10.0 0.0.0.255address-group 1Step 6: 配置源地址转换，强制要求内网用户须通过映射地址访问内部服务器nat-policy zone trustpolicy 1action source-natpolicy source 192.168.10.0 0.0.0.255policy destination 211.95.1.254 0 address-group 1。

华为usg防火墙基本配置命令有哪些修改防火墙的时间和时区信息默认情况下防火墙没有定义时区，系统保存的时间和实际时间可能不符。

使用时应该根据实际的情况定义时间和时区信息。

实验中我们将时区定义到东八区，并定义标准时间。

clock timezone 1 add 08:00:0013:50:57 2014/07/04dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00clock datetime 13:53:442014/07/0421:53:29 2014/07/03dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00修改防火墙登录标语信息默认情况下，在登陆防火墙，登陆成功后有如下的标语信息。

Please Press ENTER.Login authenticationUsername:adminPassword:*********NOTICE:This is a private communicationsystem.Unauthorized access or use may lead to prosecution.防火墙设备以此信息警告非授权的访问。

实际使用中，管理员可以根据需要修改默认的登陆标语信息Please Press ENTER.Welcome to USG5500Login authenticationUsername:adminPassword:*********Welcome to USG5500You are logining insystem Please do not delete system config filesNOTICE:This is a private communicationsystem.Unauthorized access or use may lead to prosecution.注意，默认达到NOTICE信息一般都会存在，不会消失或被代替。

usg6600基本命令华为USG6600系列防火墙是一款功能强大的网络安全设备，提供了丰富的命令行接口（CLI）用于管理和配置。

以下是一些基本命令的介绍：1. 登录：用户可以通过串口、Telnet、SSH等方式登录到USG6600的命令行界面。

例如，使用Telnet登录：telnet 192.168.1.1。

然后输入用户名和密码进行登录。

2. 查看系统信息：用户可以使用命令来查看系统的基本信息，如设备型号、系统版本、当前时间等。

例如：display version.display device.display clock.3. 配置接口：用户可以使用命令配置设备的接口信息，包括IP地址、子网掩码、描述等。

例如，配置接口GigabitEthernet0/0/1的IP地址：interface GigabitEthernet 0/0/1。

ip address 192.168.1.1 24。

description This is a LAN interface.4. 配置安全策略：用户可以使用命令配置防火墙的安全策略，包括访问控制列表（ACL）、NAT、VPN等。

例如，配置一个允许内网主机访问外网的安全策略：acl number 2001。

rule 5 permit source 192.168.1.0 0.0.0.255。

nat address-group 1 1。

interface GigabitEthernet 0/0/1。

zone trust.5. 保存配置：用户在配置完成后，需要使用命令将配置保存到设备中，以防止重启后配置丢失。

例如：save.以上是一些USG6600防火墙的基本命令介绍，当然，USG6600还有更多功能和命令，用户可以根据具体需求学习和使用。

希望以上信息能够对你有所帮助。

华为USG防火墙配置手册1. 简介本手册旨在指导用户进行华为USG防火墙的配置和使用。

华为USG防火墙是一款功能强大的网络安全设备，可用于保护企业网络免受网络攻击和安全威胁。

2. 配置步骤2.1 硬件连接在配置USG防火墙之前，请确保正确连接好相关硬件设备，包括USG防火墙、路由器和服务器等。

2.2 登录USG防火墙使用SSH客户端等工具，输入USG防火墙的IP地址和管理员账号密码进行登录。

2.3 配置基本参数登录USG防火墙后，根据实际需求配置以下基本参数：- 设置管理员密码- 配置IP地址和子网掩码- 设置DNS服务器地址2.4 配置网络地址转换（NAT）根据实际网络环境，配置网络地址转换（NAT）功能。

NAT 功能可以将内部IP地址转换为合法的公网IP地址，实现内网和外网的通信。

2.5 配置访问控制策略配置访问控制策略可以限制网络流量的访问权限，确保只有授权的用户或设备可以访问特定网络资源。

2.6 配置安全服务华为USG防火墙提供多种安全服务功能，例如防病毒、入侵检测和内容过滤等。

根据实际需求，配置相应的安全服务功能。

2.7 配置远程管理和监控配置远程管理和监控功能，可以通过远程管理工具对USG防火墙进行实时监控和管理。

3. 常见问题解答3.1 如何查看防火墙日志？登录USG防火墙的Web界面，找到"日志"选项，可以查看防火墙的各种日志信息，包括安全事件、连接记录等。

3.2 如何升级USG防火墙固件版本？4. 其他注意事项- 在配置USG防火墙之前，请先备份原有的配置文件，以防配置错误或损坏设备。

- 请勿将USG防火墙暴露在不安全的网络环境中，以免受到未授权的访问和攻击。

以上是华为USG防火墙的配置手册，希望能帮助到您。

如有其他问题，请随时联系我们的技术支持。

华为USG6000系列防火墙共享上网及组网基本配置公司各楼层通过交换机汇聚到楼宇核心交换机，楼宇核心汇聚到总核心，然后通过USG6000安全策略访问外网路由器实现共享上网功能。

楼宇核心：划分楼层VLAN 配置网关上一跳路由<Huawei>sys[huawei]sysname hexinjiaohuan[hexinjiaohuan]vlan batch 10 20 30 40[hexinjiaohuan]int vlan 10[hexinjiaohuan-Vlanif10]ip address 192.168.10.254 24 [hexinjiaohuan]int vlan 20[hexinjiaohuan-Vlanif20]ip address 192.168.20.254 24 [hexinjiaohuan]int vlan 30[hexinjiaohuan-Vlanif30]ip address 192.168.30.254 24 [hexinjiaohuan]int vlan 40[hexinjiaohuan-Vlanif40]ip address 192.168.60.1 30 [hexinjiaohuan]int g0/0/3[hexinjiaohuan-GigabitEthernet0/0/3]port link-type access [hexinjiaohuan-GigabitEthernet0/0/3]port default vlan 10 [hexinjiaohuan]int g0/0/1[hexinjiaohuan-GigabitEthernet0/0/1]port link-type access [hexinjiaohuan-GigabitEthernet0/0/1]port default vlan 20 [hexinjiaohuan]int g0/0/4[hexinjiaohuan-GigabitEthernet0/0/4]port link-type access [hexinjiaohuan-GigabitEthernet0/0/4]port default vlan 30 [hexinjiaohuan]int g0/0/2[hexinjiaohuan-GigabitEthernet0/0/2]port link-type access [hexinjiaohuan-GigabitEthernet0/0/2]port default vlan 40 [hexinjiaohuan]ip route-static 0.0.0.0 0.0.0.0 192.168.60.2<hexinjiaohuan>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y总核心交换机：配置上下访问端口和上下访问路由<Huawei>sys[Huawei]sysname zonghexin[zonghexin]vlan batch 40 50[zonghexin]int vlan 40[zonghexin-Vlanif40]ip address 192.168.60.2 30 [zonghexin]int g0/0/2[zonghexin-GigabitEthernet0/0/2]port link-type access [zonghexin-GigabitEthernet0/0/2]port default vlan 40 [zonghexin]int vlan 50[zonghexin-Vlanif50]ip address 192.100.50.2 30 [zonghexin]int g0/0/1[zonghexin-GigabitEthernet0/0/1]port link-type access [zonghexin-GigabitEthernet0/0/1]port default vlan 50 [zonghexin]ip route-static 192.168.10.0 255.255.255.0 192.168.60.1 [zonghexin]ip route-static 192.168.20.0 255.255.255.0 192.168.60.1[zonghexin]ip route-static 192.168.30.0 255.255.255.0 192.168.60.1 [zonghexin]ip route-static 0.0.0.0 0.0.0.0 192.100.50.1<zonghexin>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y防火墙USG6000：配置访问策略允许内网所有PC访问外网（路由器）地址Username:adminPassword: （默认密码Admin@123）The password needs to be changed. Change now? [Y/N]: yPlease enter old password: （默认密码Admin@123）Please enter new password: 新密码Please confirm new password: 新密码确认[USG6000V1]int g1/0/1 //配置内网端口[USG6000V1-GigabitEthernet1/0/1]ip address 192.100.50.1 255.255.255.252 [USG6000V1-GigabitEthernet1/0/1]service-manage http permit[USG6000V1-GigabitEthernet1/0/1]service-manage https permit[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit[USG6000V1]int g1/0/0 //配置外网端口[USG6000V1-GigabitEthernet1/0/0]ip address 10.128.60.5 255.255.255.252 [USG6000V1]firewall zone trust //把端口加入到安全域[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1[USG6000V1]firewall zone untrust //把端口加入到非安全域[USG6000V1-zone-untrust]add interface GigabitEthernet1/0/0[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 10.128.60.6[USG6000V1]ip route-static 192.168.10.0 255.255.255.0 192.100.50.2[USG6000V1]ip route-static 192.168.20.0 255.255.255.0 192.100.50.2[USG6000V1]ip route-static 192.168.30.0 255.255.255.0 192.100.50.2[USG6000V1]security-policy //访问策略[USG6000V1-policy-security]rule name "trust to untrust"[USG6000V1-policy-security-rule-trust to untrust][USG6000V1-policy-security-rule-trust to untrust]source-zone trust[USG6000V1-policy-security-rule-trust to untrust]destination-zone untrust [USG6000V1-policy-security-rule-trust to untrust] action permit[USG6000V1-policy-security-rule-trust to untrust] rule name local[USG6000V1-policy-security-rule-local]source-zone local[USG6000V1-policy-security-rule-local]destination-zone trust[USG6000V1-policy-security-rule-local]action permit<USG6000V1>save路由器：[Huawei]int g0/0/1[Huawei-GigabitEthernet0/0/1]ip address 10.128.60.6 255.255.255.252 [Huawei]ip route-static 0.0.0.0 0.0.0.0 10.128.60.5<Huawei>savepc>ping 10.128.60.6Ping 10.128.60.6: 32 data bytes, Press Ctrl_C to breakFrom 10.128.60.6: bytes=32 seq=1 ttl=252 time=765 ms From 10.128.60.6: bytes=32 seq=2 ttl=252 time=141 ms From 10.128.60.6: bytes=32 seq=3 ttl=252 time=78 msFrom 10.128.60.6: bytes=32 seq=4 ttl=252 time=78 msFrom 10.128.60.6: bytes=32 seq=5 ttl=252 time=78 msPC机测试通过基本功能实现。