hcie-security內(nèi)容修訂17套第一部分hc防火墻初始化配置

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031031 USG6000 V1R11.00開(kāi)發(fā)/優(yōu)化者時(shí)間審核人開(kāi)發(fā)類(lèi)型（新開(kāi)發(fā)/優(yōu)化）周常青2014.09.15陳昊新開(kāi)發(fā)丁祖賢2015.04.18優(yōu)化本頁(yè)不打印講師授課建議：1、xxxHC13031031防火墻初始化配置 前言華為NGFW同時(shí)支持WEB配置和命令行配置，在WEB配置時(shí)還支持快速向?qū)Р僮鳌１菊鹿?jié)主要講解防火墻的初始化配置，主要包括接口配置、遠(yuǎn)程管理配置、管理員角色配置、license激活、時(shí)鐘配置、文件操作等內(nèi)容。 目標(biāo)學(xué)完本課程后，您將能夠:使用向?qū)нM(jìn)行防火墻基礎(chǔ)配置配置防火墻遠(yuǎn)程管理配置防火墻管理員角色配置防火

2、墻系統(tǒng)時(shí)鐘配置防火墻License對(duì)防火墻文件進(jìn)行備份還原 目錄下一代防火墻硬件簡(jiǎn)介防火墻配置向?qū)Х阑饓A(chǔ)配置防火墻文件管理華為下一代防火墻簡(jiǎn)介 2GUSG6370/6380/6390USG6550/6570USG6320USG6510-SJJ 固定接口： 8GE 擴(kuò)展槽： - 桌面型 外置適配器固定接口： 8GE+4SFP擴(kuò)展槽數(shù)： 21U選配冗余電源USG6650/6660USG6680USG6670固定接口： 2*10GE+8GE+8SFP擴(kuò)展槽數(shù)： 63U標(biāo)配冗余電源固定接口：4*10GE+16GE+8SFP擴(kuò)展槽數(shù)： 53U標(biāo)配冗余電源固定接口：4*10GE+16GE+8SFP擴(kuò)展

3、槽數(shù)： 23U標(biāo)配冗余電源標(biāo)配SPUB卡中小企業(yè)USG6300/6500系列大中企業(yè)&數(shù)據(jù)中心USG6600系列35G40G4G/6G/8G5G/9G20G/25GUSG6370/6380/6390/6550/6570外觀USG6650/6660外觀NGFW支持的擴(kuò)展接口卡8GEF WSIC接口卡2XG8GE WSIC接口卡4GE-BYPASS WSIC卡8GE WSIC接口卡 目錄下一代防火墻硬件簡(jiǎn)介防火墻配置向?qū)Х阑饓A(chǔ)配置防火墻文件管理使用WEB配置防火墻登陸入口： 或 。用戶名admin；密碼Admin123。修改管理員密碼第一次登陸成功后必須修改管理員密碼。為提高安全性，密碼必須滿

4、足最小復(fù)雜度要求，包含英文大寫(xiě)字母（AZ）、英文小寫(xiě)字母（az）、數(shù)字（09）、特殊字符（如!、#、$、%等）中的三種。請(qǐng)牢記輸入的新密碼避免無(wú)法登錄。使用快速向?qū)渲妹艽a修改后默認(rèn)會(huì)進(jìn)入如下配置向?qū)ы?yè)面：可以點(diǎn)“取消”，取消配置向?qū)?。或點(diǎn)“下一步”開(kāi)快速度向?qū)?。配置基本信息此處可以修改主機(jī)名稱(chēng)和管理員密碼。配置系統(tǒng)時(shí)間此處可以配置時(shí)區(qū)、日期、時(shí)間、夏令時(shí)等參數(shù)。配置互聯(lián)網(wǎng)接入方式此處可選靜態(tài)IP、DHCP、PPPOE三種的一種。配置互聯(lián)網(wǎng)接入?yún)?shù)各種上網(wǎng)方式配置示例：配置局域網(wǎng)接口配置局域網(wǎng)接口IP地址：配置局域網(wǎng)DHCP服務(wù)配置DHCP池的起止地址：核對(duì)配置信息核對(duì)信息確保無(wú)錯(cuò)誤后點(diǎn)應(yīng)用（

5、同時(shí)勾選“下次登陸不再顯示”）。完成向?qū)渲贸霈F(xiàn)如下頁(yè)面表示已經(jīng)成功完成向?qū)渲茫悍阑饓EB主頁(yè)面介紹主要配置項(xiàng)有：面板、監(jiān)控、策略、對(duì)象、網(wǎng)絡(luò)、系統(tǒng)。面板頁(yè)功能介紹實(shí)時(shí)查看最常用的系統(tǒng)信息，監(jiān)測(cè)系統(tǒng)是否正常運(yùn)行。監(jiān)控頁(yè)功能介紹查看系統(tǒng)日志與報(bào)表，了解設(shè)備與網(wǎng)絡(luò)狀態(tài)，為新策略制定與配置調(diào)整提供依據(jù)。策略頁(yè)功能介紹配置各種業(yè)務(wù)策略，控制流量轉(zhuǎn)發(fā)，防范網(wǎng)絡(luò)威脅，保證網(wǎng)絡(luò)安全運(yùn)行。對(duì)象頁(yè)功能介紹創(chuàng)建各種被多個(gè)策略共同引用的公共元素，簡(jiǎn)化策略配置。網(wǎng)絡(luò)頁(yè)功能介紹配置接口、安全區(qū)域和網(wǎng)絡(luò)層協(xié)議，保證網(wǎng)絡(luò)互聯(lián)互通。系統(tǒng)頁(yè)功能介紹系統(tǒng)時(shí)間、管理員、高可靠性、license、升級(jí)等配置。保存配置文件右上角點(diǎn)

6、“保存”即可進(jìn)行保存配置。打開(kāi)基于WEB的CLI右下角點(diǎn)擊“CLI控制臺(tái)”：已經(jīng)打開(kāi)的命令行窗口：使用Console接口配置防火墻通過(guò)Console登錄CLI管理員界面組網(wǎng)圖。WinXP可以使用超級(jí)終端進(jìn)行連接。Win7可以使用Putty進(jìn)行連接。 目錄下一代防火墻硬件簡(jiǎn)介防火墻配置向?qū)Х阑饓A(chǔ)配置3.1 配置防火墻遠(yuǎn)程管理3.2 配置防火墻管理員角色3.3 配置防火墻系統(tǒng)時(shí)鐘3.4 配置防火墻License防火墻文件管理配置防火墻遠(yuǎn)程管理選擇“系統(tǒng)-管理員-設(shè)置”，點(diǎn)擊“設(shè)置設(shè)備服務(wù)”，可以選擇配置如下功能： HTTP服務(wù)HTTPS服務(wù)STELNET服務(wù)SFTP服務(wù)配置防火墻遠(yuǎn)程管理（CL

7、I）該配置實(shí)現(xiàn)和上頁(yè)WEB配置一樣的功能。#生成RSA密鑰對(duì)USG6600Arsa local-key-pair create 10:57:51 2014/09/18The key name will be: USG6600A_HostThe range of public key size is (512 2048).NOTES: A key shorter than 1024 bits may cause security risks. The generation of a key longer than 512 bits may take several minutes.Input t

8、he bits in the modulusdefault = 1024:1024Generating keys.+.+.+.+#配置WEB、SSH、SFTP服務(wù) web-manager security cipher-suit all web-manager security version sslv3 tlsv1 web-manager enable web-manager security enable port 8443# ssh server authentication-retries 5 ssh server rekey-interval 10 sftp server enabl

9、e stelnet server enable# 使用SSH登陸防火墻配置完成后可以使用Putty或SecureCRT進(jìn)行登陸。 目錄下一代防火墻硬件簡(jiǎn)介防火墻配置向?qū)Х阑饓A(chǔ)配置3.1 配置防火墻遠(yuǎn)程管理3.2 配置防火墻管理員角色3.3 配置防火墻系統(tǒng)時(shí)鐘3.4 配置防火墻License防火墻文件管理管理員角色介紹默認(rèn)情況系統(tǒng)支持四種角色：可以自定義新的角色。角色名角色描述默認(rèn)用戶系統(tǒng)管理員擁有除審計(jì)功能以外的所有權(quán)限。admin/Admin123配置管理員擁有業(yè)務(wù)配置和設(shè)備監(jiān)控權(quán)限。無(wú)配置管理員(只讀)擁有設(shè)備監(jiān)控權(quán)限。無(wú)審計(jì)管理員配置審計(jì)策略和查看審計(jì)日志的專(zhuān)用管理員角色。audit

10、-admin/Admin123管理員角色和管理員級(jí)別管理員角色優(yōu)先級(jí)高于管理員級(jí)別，即如果將管理員綁定角色，那么管理員級(jí)別將不再有效。管理員角色優(yōu)先級(jí)高于遠(yuǎn)程服務(wù)器授權(quán)，即如果管理員綁定角色，那么遠(yuǎn)程服務(wù)器授權(quán)不再有效。管理員級(jí)別說(shuō)明0只可以使用參觀級(jí)（0級(jí)）的命令。1可以使用監(jiān)控（1級(jí)）及參觀級(jí)（0級(jí)）的命令。2可以使用配置（2級(jí)）、監(jiān)控（1級(jí)）及參觀級(jí)（0級(jí)）的命令。3可以使用管理（3級(jí)）、配置（2級(jí)）、監(jiān)控（1級(jí)）及參觀級(jí)（0級(jí)）的命令。415缺省與3級(jí)管理員權(quán)限相同，當(dāng)命令級(jí)別擴(kuò)充時(shí)，可配合擴(kuò)充的命令級(jí)別使用。創(chuàng)建新的管理員角色選擇“系統(tǒng)-管理員-管理員角色”，點(diǎn)“新建”，按如下參數(shù)創(chuàng)

11、建：創(chuàng)建新的管理員角色（CLI）創(chuàng)建策略管理員角色：role policy_admindashboard read-only monitor read-only log-traffic log-threat log-content log-url log-operation log-syslog log-user-activity log-policy-matching log-mail-filtering report session statistic none packet-capture none diagnosepolicy read-write object read-writen

12、etwork read-onlysystem nonerole network_admindashboard none monitor nonepolicy noneobjectnone address service application user-manage time-range url-category keyword-group signature av ips data-filter file-filter app-control mail-filter url-filter authen-server certificate mail-address-groupnetwork

13、read-onlysystem none創(chuàng)建策略管理員角色：創(chuàng)建管理員選擇“系統(tǒng)-管理員-管理員”，點(diǎn)擊“新建”，按如下參數(shù)新建：創(chuàng)建管理員（CLI）使用如下命令可以創(chuàng)建管理員并分配角色：aaa# manager-user policy_admin password cipher Admin123 level 15 ssh authentication-type password ssh service-type stelnet authentication-scheme admin_local # manager-user network_admin password cipher Admi

14、n123 level 15 ssh authentication-type password ssh service-type stelnet authentication-scheme admin_local # bind manager-user policy_admin role policy_admin bind manager-user network_admin role network_admin#驗(yàn)證用戶登陸及權(quán)限使用不同的用戶登陸即可看到不同的權(quán)限頁(yè)面：用戶network_admin登陸后只有讀寫(xiě)“網(wǎng)絡(luò)”的權(quán)限，其它權(quán)限都沒(méi)有用戶policy_admin登陸后可以讀寫(xiě)“策略”

15、和對(duì)象，只讀“面板”和“監(jiān)控”，沒(méi)有“系統(tǒng)”權(quán)限 目錄下一代防火墻硬件簡(jiǎn)介防火墻配置向?qū)Х阑饓A(chǔ)配置 3.1 配置防火墻遠(yuǎn)程管理 3.2 配置防火墻管理員角色 3.3 配置防火墻系統(tǒng)時(shí)鐘 3.4 配置防火墻License防火墻文件管理配置系統(tǒng)時(shí)鐘選擇“系統(tǒng)-配置-時(shí)鐘配置-配置方式”，配置時(shí)鐘：配置系統(tǒng)時(shí)鐘（CLI）手工配置：從NTP服務(wù)器獲?。篶lock timezone beijing add 8clock datetime 14:52:20 2014/09/18dis clock14:53:45 2014/09/182014-09-18 14:53:45ThursdayTime Zon

16、e : beijing add 08:00:00clock timezone beijing add 8sysUSG6600Antp-service unicast-server 目錄下一代防火墻硬件簡(jiǎn)介防火墻配置向?qū)Х阑饓A(chǔ)配置 3.1 配置防火墻遠(yuǎn)程管理 3.2 配置防火墻管理員角色 3.3 配置防火墻系統(tǒng)時(shí)鐘 3.4 配置防火墻License防火墻文件管理激活系統(tǒng)LicenseLicense激活支持在線激活和本地激活兩種方式。激活系統(tǒng)License（CLI）查看ESN用來(lái)申請(qǐng)License：USG6600Alicense file hda1:/license.dat display l

17、icenseDevice ESN is : 210235G7G410DC000001The file activated is : hda1:/license.datThe time when activated is : 2014/04/21 11:23:45The time when expired is : 2014/05/20Virtual System: 500SSL VPN Concurrent User: 500Content Security Group: DisabledEncryption Function: EnabledIPS : Enabled; service ex

18、pire time: 2016/04/20Anti Virus : Enabled; service expire time: 2016/04/20URL Filter : Enabled; service expire time: 2016/04/20USG6600Adis firewall esn15:09:06 2014/09/18Device ESN is: 210235G7G410DC000001配置手工激活： 目錄下一代防火墻硬件簡(jiǎn)介防火墻配置向?qū)Х阑饓A(chǔ)配置防火墻文件管理4.1 配置備份、還原4.2 升級(jí)中心、系統(tǒng)更新配置備份選擇“系統(tǒng)-高可靠性-配置文件管理”，點(diǎn)擊“導(dǎo)出”可

19、以對(duì)文件進(jìn)行備份操作。配置還原選擇“系統(tǒng)-高可靠性-配置文件管理”，點(diǎn)擊“下次啟動(dòng)文件-上傳”可以對(duì)文件進(jìn)行還原操作。配置備份及還原（CLI）startup saved-configuration vrpcfgbk.cfg 15:56:46 2014/09/18 Info: Succeeded in setting the configuration for booting system.dis startup 15:57:39 2014/09/18 MainBoard: Configed startup system software: hda1:/suampua10v1r1c00spc10

20、0.bin Startup system software: hda1:/suampua10v1r1c00spc100.bin Next startup system software: hda1:/suampua10v1r1c00spc100.bin Startup saved-configuration file: hda1:/vrpcfg.zip Next startup saved-configuration file: hda1:/vrpcfgbk.cfg命令行可以使用FTP/SFTP/TFTP協(xié)議對(duì)配置進(jìn)行備份和還原。配置進(jìn)行備份前要使用save命令進(jìn)行保存。配置還原后使用star

21、tup saved-configuration命令設(shè)置下次啟動(dòng)后加載配置文件。 目錄下一代防火墻硬件簡(jiǎn)介防火墻配置向?qū)Х阑饓A(chǔ)配置防火墻文件管理4.1 配置備份、還原4.2 升級(jí)中心、系統(tǒng)更新升級(jí)中心升級(jí)中心目前提供特征庫(kù)的升級(jí)：入侵防御特征庫(kù)反病毒特征庫(kù)應(yīng)用識(shí)別特征庫(kù)地區(qū)識(shí)別特征庫(kù)升級(jí)方式：通過(guò)安全中心平臺(tái)升級(jí)通過(guò)內(nèi)網(wǎng)升級(jí)服務(wù)器進(jìn)行升級(jí)配置升級(jí)中心配置升級(jí)中心(CLI)update schedule weekly Sun 23:00update schedule av-sdb enable update schedule ips-sdb enable update schedule sa-sdb enable USG6600Adis update conf 16:24:04 2014/09/18 Update Configuration Information:- Internal Update Mode : Disable Internal Update Server : - Internal Update Port : 80 IPS-SDB: Application Confirmation : Enable Schedule Update : Enable