华为防火墙配置使用手册(自己写)

华为防火墙配置使用手册(自己写)

华为防火墙配置使用手册防火墙默认的管理接口为g0/0/0，默认的ip地址为/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin123 一、配置案例拓扑图GE 0/0/1：/24 GE 0/0/2：/24 GE 0/0/3：/24 WWW服务器：/24 FTP服务器：/24 Telnet配置配置VTY 的优先级为3，基于密码验证。# 进入系统视图。system-view # 进入用户界面视图[USG5300] user-interface vty 0 4 # 设置用户界面能够访问的命令级别为

level 3 [USG5300-ui-vty0-4] user privilege level 3 配置Password验证# 配置验证方式为Password验证[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4] set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei123 配置空闲断开连接时间# 设置超时为30分钟[USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust

local direction inbound //不加这个从公网不能telnet防火墙。基于用户名和密码验证user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤，那么从网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。地址配置网：进

入GigabitEthernet 0/0/1视图[USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址[USG5300-GigabitEthernet0/0/1] ip address 配置GigabitEthernet 0/0/1加入Trust区域[USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网：进入GigabitEthernet 0/0/2视图[USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址

[USG5300-GigabitEthernet0/0/2] ip address配置GigabitEthernet 0/0/2加入Untrust区域[USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit DMZ：进入GigabitEthernet 0/0/3视图[USG5300] interface GigabitEthernet 0/0/3 配置GigabitEthernet 0/0/3的IP地址。[USG5300-GigabitEthernet0/0/3] ip address [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet

0/0/3 [USG5300-zone-untrust] quit 防火墙策略本地策略是指与Local 安全区域有关的域间安全策略，用于控制外界与设备本身的互访。域间安全策略就是指不同的区域之间的安全策略。域安全策略就是指同一个安全区域之间的策略，缺省情况下，同一安全区域的数据流都允许通过，域安全策略没有Inbound和Outbound方向的区分。策略按照policy的顺序进行匹配，如果policy 0匹配了，就不会检测policy 1了,和policy的ID大小没有关系，谁在前就先匹配谁。缺省情况下开放local域到其他任意安全区域的缺省包过滤，方便设备自身的对外访问。其他

接口都没有加安全区域，并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域，并配置域间安全策略或开放缺省包过滤。安全策略的匹配顺序：每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。匹配条件安全策略可以指定多种匹配条件，报文必须同时满足所有条件才会匹配上策略。比如如下策略policy 1 policy service service-set dns policy destination 0 policy source 在这里policy service的端口53就是指的是的53号端口，可以说是目的地址的53号端口。域间可以应用多条安

全策略，按照策略列表的顺序从上到下匹配。只要匹配到一条策略就不再继续匹配剩下的策略。如果安全策略不是以自动排序方式配置的，策略的优先级按照配置顺序进行排列，越先配置的策略，优先级越高，越先匹配报文。但是也可以手工调整策略之间的优先级。缺省情况下，安全策略就不是以自动排序方式。如果安全策略是以自动排序方式配置的，策略的优先级按照策略ID的大小进行排列，策略ID越小，优先级越高，越先匹配报文。此时，策略之间的优先级关系不可调整。policy create-mode auto-sort enable命令用来开启安全策略自动排序功能，默认是关闭的。