USG6310S防火墻配置說明

-.z.USG6310S防火墻配置說明概述防火墻使用場景為子站保護管理機（安全II區(qū)）接入站內(nèi)繼保保護裝置（安全I區(qū)），通過對IP地址及端口進行限制，達到阻止非法訪問的目的。為方便現(xiàn)場調(diào)試及日后維護工作現(xiàn)規(guī)定如下：防火墻ETH0的IP固定為，用作配置用；防火墻ETH0接從交換機過來的網(wǎng)線；防火墻ETH4接從子站管理機過來的網(wǎng)線。登錄將筆記本通過網(wǎng)線接入防火墻的ETH0，通過瀏覽器訪問:8443。用戶名：admin、密碼：Admin123（初始密碼）進行配置，第一次登錄時需要修改密碼，將密碼改為“Nice2003”。登錄后設(shè)置界面如下圖所示圖STYLEREF1\s2SEQ圖\*ARABIC\s11登錄首頁網(wǎng)絡(luò)配置點擊快捷按鈕“網(wǎng)絡(luò)”,可以對所使用的接入口進行配置，操作順序如下圖所示：裝置后面板網(wǎng)口標識0至7與配置頁面中接口名稱對應(yīng)關(guān)系如下：后面板ETH0對應(yīng)配置頁面中接口GE0/0/0后面板ETH1對應(yīng)配置頁面中接口GE0/0/1…后面板ETH7對應(yīng)配置頁面中接口GE0/0/7ETH0配置ETH保留作為配置使用。出廠時已經(jīng)設(shè)好，無需變更。圖STYLEREF1\s3SEQ圖\*ARABIC\s11ETH0配置ETH1配置選擇GE0/0/1行右則的編輯，在彈出的界面中設(shè)置如下：圖STYLEREF1\s3SEQ圖\*ARABIC\s12ETH1配置配置項如下：別名：保護安全區(qū)域：trust模式：交換連接類型：Access確定后第一次操作會彈出提示，如下圖所示，確定即可。圖STYLEREF1\s3SEQ圖\*ARABIC\s13模式切換確認提示ETH4配置選擇GE0/0/4行右則的編輯，在彈出的界面中設(shè)置如下：圖STYLEREF1\s3SEQ圖\*ARABIC\s14ETH4配置配置項如下：別名：子站安全區(qū)域：dmz模式：交換連接類型：Access對象配置對象配置中主要配置需放行的IP及端口號，IP在“地址”中配置、端口號在“服務(wù)中配置”，配置操作順序如下圖所示：圖STYLEREF1\s4SEQ圖\*ARABIC\s11對象配置操作順序地址配置首次配置選擇“新建”，如已有配置則選擇“編輯”，配置界面如下圖所示：圖STYLEREF1\s4SEQ圖\*ARABIC\s12保護IP配置注：第行可配置1個IP/*圍或MAC地址，行之間使用回車分隔；掩碼可以使用255.255.*.*樣式，也可使用掩碼位數(shù)來表示；IP配置支持多種方式，若連續(xù)的IP，可在首末2個IP之間通過“-”連接，如；單個IP配置，其掩碼必須為或32，否則保存時其最后1至2段會變成0；新建地址分兩部分，一是可以通過IP，一是需要屏蔽的IP圖STYLEREF1\s4SEQ圖\*ARABIC\s13子站地址配置服務(wù)配置服務(wù)配置服務(wù)配置中我們選擇放行的端口，根據(jù)實際配置：常用放行的端口如下：icmp:ping服務(wù)服務(wù)組配置為方便選擇及管理，將子站與保護通信的端口歸到保護通信組中。策略點擊快捷按鈕“策略”,可以對所使用的策略進行配置，操作順序如下圖所示：圖STYLEREF1\s5SEQ圖\*ARABIC\s11策略配置順序通過策略配置對需要從防火墻放行的IP及服務(wù)進行配置，配置如下：圖STYLEREF1\s5SEQ圖\*ARABIC\s12子站至保護策略圖STYLEREF1\s5SEQ圖\*ARABIC\s13保護至子站策略保存配置修改完畢，按界面右上角“保存”，如下圖所示保存所做的配置。圖STYLEREF1\s6SEQ圖\*ARABIC\s11保存配置重啟點擊快捷按鈕“系統(tǒng)”,在左側(cè)目錄樹中選擇“系統(tǒng)重啟”，選擇“保存并重啟”，彈出確認對話框，確定即可。重啟后所做的配置即生效，防火墻裝置重啟后至系統(tǒng)正常時間較長。備份點擊快捷按鈕“系統(tǒng)”,在左側(cè)目錄樹中選擇“配置文件管理”，選擇“導(dǎo)出”，在彈出的對話框中選擇文件備置位置及文件名，確定即可。圖STYLEREF1\s8SEQ圖\*ARABIC\s11備份導(dǎo)出復(fù)位當無法測試出防火墻的登錄密碼后，可在防火墻通電正常運行后用頂端尖硬的物體去捅防火墻后面板上RST鍵5秒以上，防火墻會清空當前配置恢復(fù)出廠設(shè)置。復(fù)位過程中前面板SYS燈先熄滅、后閃爍最后長亮，如果想快速啟動可在按RST鍵5秒后關(guān)電重啟防火墻。附錄同一安全區(qū)域多個網(wǎng)口同一安全區(qū)域如trust若有多個網(wǎng)線接入，將接入網(wǎng)口的安全區(qū)域配置成待加入的安全區(qū)域即可。同區(qū)域內(nèi)多個網(wǎng)口間是互通，與交換機類似。對象及策略無需特殊配置。圖STYLEREF1\s9SEQ圖\*ARABIC\s11同安全區(qū)域多個網(wǎng)口接入配置案例!SoftwareVersionV500R001C30SPC100!Lastconfigurationwassavedat2017-08-2101:42:05UTC*sysnameUSG6300*undol2tpsendaccmenablel2tpdomainsuffi*-separator*ipsecsha2patibleenable*undofactory-configurationprohibit*undotelnetserverenableundotelnetipv6serverenable*clocktimezoneBeijingadd08:00:00*hrpconfigurationauto-check1440*firewalldetectftp*firewalldefendactiondiscard*logtypetrafficenablelogtypesyslogenablelogtypepolicyenableundologtypethreatenableundologtypeurlenableundologtypeumenable*undodataflowenable*saforce-detectionenable*ispname"chinamobile"setfilenamechina-mobile.csvispname"chinauni"setfilenamechina-uni.csvispname"chinatele"setfilenamechina-tele.csvispname"chinaeducationnet"setfilenamechina-educationnet.csv*user-manageweb-authenticationsecurityport8887password-policylevelhighuser-managesingle-sign-onaduser-managesingle-sign-ontsmuser-managesingle-sign-onradiususer-managesso-syncradiussettinguser-managesecurityversiontlsv1.1tlsv1.2*firewallidsauthenticationtypesha256*snmp-agentsessionhistory-ma*-numberenable*web-managersecurityversiontlsv1.1tlsv1.2web-managerenableweb-managersecurityenable*firewalldataplanetomanageplaneapplication-apperceivedefault-actiondrop*updatescheduleips-sdbdaily22:10updatescheduleav-sdbdaily22:10updateschedulesa-sdbdaily22:10updateschedulecdaily22:10*ipvpn-instancedefaultipv4-family*ipaddress-set保護地址typeobject*ipaddress-set子站地址typeobjectaddress051mask32*time-rangeworktimeperiod-range08:00:00to18:00:00working-day*aaaauthentication-schemedefaultauthentication-schemeadmin_localauthentication-schemeadmin_radius_localauthentication-schemeadmin_hwtacacs_localauthentication-schemeadmin_ad_localauthentication-schemeadmin_ldap_localauthentication-schemeadmin_radiusauthentication-schemeadmin_hwtacacsauthentication-schemeadmin_adauthentication-schemeadmin_ldapauthorization-schemedefaultaccounting-schemedefaultdomaindefaultservice-typeinternetaccessssl-vpnl2tpikeinternet-accessmodepasswordreferenceusercurrent-domainmanager-useraudit-adminpasswordcipher%%nQ*1YTEI~m/KF=h;&'6)jh3`D2e=!|2t2e%(*8*T"dYjh6)%%service-typewebterminallevel15manager-userapi-adminpasswordcipher%%+`^VN+p~RIl]*Y'yIIT+3(8B8G)*:zmSCqC&uOr4jk;3(;+%%service-typeapilevel15manager-useradminpasswordcipher%%VA>`3aSb0(40`m7kA%,L-pm>[HVj4O-WZsc6dl{p~,L0%%%service-typewebterminallevel15rolesystem-adminroledevice-adminroledevice-admin(monitor)roleaudit-adminbindmanager-useraudit-adminroleaudit-adminbindmanager-useradminrolesystem-admin*l2tp-groupdefault-lns*interfaceGigabitEthernet0/0/0undoshutdownipbindingvpn-instancedefaultservice-managehttppermitservice-managehttpspermitservice-managepingpermit*interfaceGigabitEthernet0/0/1portswitchundoshutdownportlink-typeaccessalias保護*interfaceGigabitEthernet0/0/2undoshutdown*interfaceGigabitEthernet0/0/3undoshutdown*interfaceGigabitEthernet0/0/4portswitchundoshutdownportlink-typeaccessalias子站*interfaceGigabitEthernet0/0/5undoshutdown*interfaceGigabitEthernet0/0/6undoshutdown*interfaceGigabitEthernet0/0/7undoshutdown*interfaceVirtual-if0*interfaceCellular0/0/0*interfaceNULL0*firewallzonelocalsetpriority100*firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0addinterfaceGigabitEthernet0/0/1*firewallzoneuntrustsetpriority5*firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/4*undosshserverpatible-ssh1*enable*user-interfacecon0authentication-modeaaauser-interfacevty04authentication-modeaaaprotocolinboundsshuser-interfacevty1620*sa*location*multi-interfacemodeproportion-of-weight*right-