華為公司防火墻技術(shù)培訓(xùn)-基礎(chǔ)篇V1.2-20090616

華賽防火墻技術(shù)培訓(xùn)培訓(xùn)提綱基礎(chǔ)配置系統(tǒng)管理網(wǎng)絡(luò)配置策略配置ACL配置NAT配置配置舉例2021/5/92基礎(chǔ)配置：Console管理防火墻可以通過Console訪問方式進(jìn)行管理最為安全的登錄方式無須網(wǎng)絡(luò)支持就可以登錄無須IP地址就可以登錄可以看到啟動(dòng)的信息可以看到實(shí)時(shí)的debug信息2021/5/93基礎(chǔ)配置-Console口管理使用系統(tǒng)自帶超級(jí)終端工具或第三方工具，例如SecureCRT。配置終端通信參數(shù)為9600波特、8位數(shù)據(jù)位、1位停止位、無校驗(yàn)、無流控。如圖所示,也可以直接選擇還原默認(rèn)值。需注意選擇正確的串口?。?！2021/5/94Console登錄初始界面：新版的OS初始console的用戶名和密碼為：adminAdmin@1232021/5/95系統(tǒng)主機(jī)名和時(shí)間配置：2021/5/96查看接口IP地址配置：缺省情況下，除了USG50有管理IP地址外，其他型號(hào)目前都沒有配置管理IP，需要給接口手動(dòng)分配IP地址。2021/5/97給指定接口配置IP地址：我們可以通過該IP地址做telnet、Web、FTP等管理用途。2021/5/98將接口分配到指定安全區(qū)域：默認(rèn)情況下只有USG50的接口已經(jīng)劃分到指定安全區(qū)域，其他型號(hào)需要自行配置。2021/5/99基本策略放行（保證管理防火墻順利進(jìn)行）不指明方向的時(shí)候，缺省是進(jìn)出雙向的。2021/5/910基礎(chǔ)配置-CLI模式Console和Telnet可以通過命令修改命令行下的語言模式：language-modeChineseLoginauthenticationUsername:telnetuserPassword:*********<Eudemon>用戶視圖模式（登錄后提示）<Eudemon>system-view[Eudemon]系統(tǒng)視圖模式2021/5/911基礎(chǔ)配置語言模式實(shí)例：2021/5/912培訓(xùn)提綱基礎(chǔ)配置系統(tǒng)管理網(wǎng)絡(luò)配置策略配置ACL配置NAT配置配置舉例2021/5/913系統(tǒng)管理配置—驗(yàn)證方式配置2021/5/914系統(tǒng)管理配置—驗(yàn)證方式2021/5/915系統(tǒng)管理-WEB方式管理Eudemon/USG防火墻Web特性為用戶提供了簡(jiǎn)單、易用的Web配置界面，使用戶能夠方便地對(duì)防火墻進(jìn)行操作和維護(hù)，絕大多數(shù)任務(wù)都可以通過Web的方式配置實(shí)現(xiàn)。并且為用戶提供了如下兩種訪問方式：加密Web瀏覽器和防火墻之間通過HTTPS（HTTPSecurity）安全協(xié)議進(jìn)行交互。加密功能保證了用戶信息的安全。不加密Web瀏覽器和防火墻之間通過HTTP協(xié)議進(jìn)行交互。2021/5/916基礎(chǔ)配置-WEB管理的配置默認(rèn)USG50的Web功能是打開的，可以直接訪問，無需特別配置，用戶名密碼為：usg50/usg50前置任務(wù)在配置Web管理功能之前需要完成以下任務(wù)：1在防火墻上配置與瀏覽器相連的接口的IP地址，將接口加入到域中，并且打開該區(qū)域和local區(qū)域的域間關(guān)系；配置Web瀏覽器所在PC的IP地址，并保證PC與防火墻能ping通。配置過程要完成配置Web管理功能的任務(wù)，需要執(zhí)行如下的配置過程：1使能WEB管理功能；配置WEB用戶；檢查配置結(jié)果。2021/5/917基礎(chǔ)配置-WEB下建立用戶在系統(tǒng)視圖下，使能WEB功能[Eudemon]web-manager[security]enable[portport-number]

AAA視圖下配置WEB用戶創(chuàng)建本地用戶：[Eudemon-aaa]local-useruser-name[password{simple|cipher}password]配置用戶類型：[Eudemon-aaa]local-useruser-nameservice-typeweb配置用戶級(jí)別：[Eudemon-aaa]local-useruser-namelevellevel

此步驟可選，level的值為0～3。0表示用戶的優(yōu)先級(jí)為參觀級(jí)，1表示用戶的優(yōu)先級(jí)為監(jiān)控級(jí)，2表示用戶優(yōu)先級(jí)為配置級(jí)，3表示用戶的優(yōu)先級(jí)為管理級(jí)。缺省情況下，level的默認(rèn)值為0檢查配置結(jié)果檢查WEB用戶的配置結(jié)果：[Eudemon]displaycurrent-configurationconfigurationaaa

檢查WEB管理的配置結(jié)果：[Eudemon]displayweb-managerconfiguration2021/5/918開啟web管理功能配置命令：5454Q前面我們已經(jīng)在aaa模式下面創(chuàng)建了一個(gè)帳號(hào)，其中分配給他的service包括web。2021/5/919基礎(chǔ)配置-WEB登陸界面2021/5/920基礎(chǔ)配置-WEB登陸首頁2021/5/921基礎(chǔ)配置-Web配置（中文）2021/5/922系統(tǒng)管理-Telnet方式管理首先確保接口的物理和協(xié)議狀態(tài)均為up，并進(jìn)行連通性測(cè)試----ping2021/5/923Telnet方式管理防火墻初始狀態(tài)：內(nèi)部端口地址/24，默認(rèn)情況下USG50的Telnet功能是打開的，無需配置可以直接訪問。用戶名：admin密碼：Admin@123其它型號(hào)的防火墻USG和Eudemon系列防火墻沒有初始管理IP地址，需要通過Console來進(jìn)行初始配置。2021/5/924Telnet登錄初始配置命令2021/5/925Telnet方式管理telnet542021/5/926系統(tǒng)管理配置—SSH登錄配置當(dāng)需要遠(yuǎn)程協(xié)助支持時(shí)，建議打開SSH登錄功能，因?yàn)镾SH在設(shè)備和訪問終端間建立一條加密的隧道，加強(qiáng)了訪問的安全性。2021/5/927系統(tǒng)管理配置-SSH遠(yuǎn)程登錄（三大步）2021/5/928系統(tǒng)管理配置-SSH遠(yuǎn)程登錄（三大步）2021/5/929系統(tǒng)管理配置-SSH遠(yuǎn)程登錄（三大步）2021/5/930系統(tǒng)管理配置-SSH遠(yuǎn)程登錄目前僅支持SSH1版本，不支持壓縮?。?！2021/5/931清除配置恢復(fù)出廠值（第一種方法）2021/5/932清除配置恢復(fù)出廠值（第二種方法）1.登錄到設(shè)備2.查看配置文件所在位置及名稱3.刪除配置文件，不保存，然后重啟。2021/5/933系統(tǒng)管理配置—OS導(dǎo)入導(dǎo)出華為防火墻的OS是VRP系統(tǒng)，可以通過FTP或TFTP的方式進(jìn)行導(dǎo)入導(dǎo)出?？梢赃x擇使用第三方的FTP或TFTP的軟件來扮演SERVER的角色，另外一種方式是將防火墻直接配置成SERVER模式。防火墻作為FTPSERVER端方式備份OS:2021/5/934系統(tǒng)管理配置—OS導(dǎo)入導(dǎo)出終端系統(tǒng)訪問FTPServer2021/5/935系統(tǒng)管理配置—OS導(dǎo)入導(dǎo)出上傳新的OS到系統(tǒng)中：2021/5/936培訓(xùn)提綱基礎(chǔ)配置系統(tǒng)管理網(wǎng)絡(luò)配置策略配置ACL配置NAT配置攻擊防范配置舉例2021/5/937網(wǎng)絡(luò)配置-接口的分類接口指設(shè)備與網(wǎng)絡(luò)中的其它設(shè)備交換數(shù)據(jù)并相互作用的部分。接口分為物理接口和邏輯接口兩類。1、物理接口就是真實(shí)存在、有對(duì)應(yīng)器件支持的接口。包括：局域網(wǎng)接口，主要是指以太網(wǎng)接口。Eudemon防火墻可以通過它與局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備交換數(shù)據(jù)。廣域網(wǎng)接口，主要是指AUX接口。通過AUX接口可以對(duì)Eudemon防火墻進(jìn)行遠(yuǎn)程配置維護(hù)。2、邏輯接口是指能夠?qū)崿F(xiàn)數(shù)據(jù)交換功能但物理上不存在、需要通過配置建立的接口。包括：子接口虛擬接口模板Loopback接口Null接口VLAN接口2021/5/938網(wǎng)絡(luò)配置-接口的配置Eudemon/USG防火墻的接口都有一個(gè)接口描述配置項(xiàng)，接口描述主要用來幫助識(shí)別接口的用途，以便于記憶和管理。配置接口描述，需要進(jìn)行如下操作。執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令interfaceinterface-typeinterface-number，進(jìn)入接口視圖。執(zhí)行命令descriptioninterface-description，配置接口描述。2021/5/939網(wǎng)絡(luò)配置-接口列表操作命令查看接口當(dāng)前運(yùn)行狀態(tài)和統(tǒng)計(jì)信息displayinterface[interface-typeinterface-number]查看接口的主要配置信息displayipinterface[interface-typeinterface-number]查看當(dāng)前配置信息displaycurrent-configuration[interfaceinterface-type[interface-number]|configuration[configuration-type]][|{begin|exclude|include}regular-expression]2021/5/940網(wǎng)絡(luò)配置-以太網(wǎng)接口的定義在配置以太網(wǎng)接口之前，需準(zhǔn)備以下數(shù)據(jù)：接口編號(hào)接口IP地址和掩碼地址接口MTU接口工作速率接口雙工模式接口要加入到哪個(gè)安全區(qū)域2021/5/941網(wǎng)絡(luò)配置-以太網(wǎng)接口的配置#進(jìn)入Ethernet1/0/0視圖。[Eudemon]interfaceethernet1/0/0#配置Ethernet1/0/0的主IP地址。[Eudemon-Ethernet1/0/0]ipaddress#配置Ethernet1/0/0的從IP地址。[Eudemon-Ethernet1/0/0]ipaddresssub2021/5/942網(wǎng)絡(luò)配置---接口（DHCP方式獲取地址）2021/5/943網(wǎng)絡(luò)配置—DHCPServer配置可以起多個(gè)IP-POOL，供內(nèi)外選擇。2021/5/944網(wǎng)絡(luò)配置-以太網(wǎng)接口配置可以配置以太網(wǎng)接口的雙工模式：全雙工/半雙工/自動(dòng)協(xié)商；配置以太網(wǎng)接口的速率：10M/100/自動(dòng)協(xié)商2021/5/945網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE命令行配置如下：查看配置：2021/5/946網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置2021/5/947網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置2021/5/948網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置2021/5/949網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置2021/5/950網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置2021/5/951網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置選擇應(yīng)用撥號(hào)的接口：2021/5/952網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置配置好以后查看一下：2021/5/953網(wǎng)絡(luò)配置-防火墻工作模式配置Eudemon/USG防火墻支持路由、透明、混合三種工作模式，默認(rèn)為路由模式。（USG50只支持路由模式）對(duì)于中低端防火墻(E100\200\200S)配置透明模式的管理IP方法為：1.先切換防火墻的工作模式到透明模式，然后保存配置，重啟設(shè)備。2.配置system-ip,作為管理IP中高端防火墻配置透明模式管理IP的方法為，先創(chuàng)建Vlan，然后給Vlan接口配置IP即可。2021/5/954網(wǎng)絡(luò)配置-路由配置的條件前置任務(wù)在配置靜態(tài)路由之前，需完成以下任務(wù)：配置相關(guān)接口的物理參數(shù)。配置相關(guān)接口的IP地址。數(shù)據(jù)準(zhǔn)備在配置靜態(tài)路由之前，需要準(zhǔn)備以下數(shù)據(jù)：目的網(wǎng)絡(luò)的IP地址和掩碼。下一跳的IP地址或出接口。2021/5/955網(wǎng)絡(luò)配置-路由配置步驟1 執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2 執(zhí)行命令iproute-staticx.x.x.x{mask|mask-length}{interface-typeinterface-number[gateway-address]|gateway-address}[preferencevalue][reject|blackhole]。2021/5/956網(wǎng)絡(luò)配置-路由配置舉例[Eudemon]iproute-static[Eudemon]iproute-static[Eudemon]iproute-static2021/5/957網(wǎng)絡(luò)配置-檢查路由配置操作命令查看路由表摘要信息displayiprouting-table[vpn-instancevpn-instance-name]查看路由表詳細(xì)信息displayiprouting-tableverbose查看指定目的地址的路由displayiprouting-tableip-address[mask][longer-match][verbose]查看指定目的地址范圍內(nèi)的路由displayiprouting-tableip_address1

mask1

ip_address2

mask2[verbose]查看通過指定標(biāo)準(zhǔn)訪問控制列表過濾的路由displayiprouting-tableacl{acl-number|acl-name}[verbose]查看通過指定前綴列表過濾的路由displayiprouting-tableip-prefixip-prefix-number[verbose]查看指定協(xié)議發(fā)現(xiàn)的路由displayiprouting-tableprotocolprotocol[inactive|verbose]查看樹形式路由表displayiprouting-tableradix查看路由表的綜合信息displayiprouting-tablestatistics2021/5/958培訓(xùn)提綱基礎(chǔ)配置系統(tǒng)管理網(wǎng)絡(luò)配置策略配置ACL配置NAT配置配置舉例2021/5/959策略配置-（缺省策略和明細(xì)策略）

安全區(qū)的定義Eudemon/USG防火墻缺省保留五個(gè)安全區(qū)域：1、虛擬區(qū)域Vzone最低安全級(jí)別的安全區(qū)域，系統(tǒng)未定義其安全級(jí)別，安全級(jí)別為0。2、非受信區(qū)域Untrust低安全級(jí)別的安全區(qū)域，安全級(jí)別為5。3、非軍事化區(qū)域DMZ中等安全級(jí)別的安全區(qū)域，安全級(jí)別為50。4、受信區(qū)域Trust較高安全級(jí)別的安全區(qū)域，安全級(jí)別為85。5、本地區(qū)域Local最高安全級(jí)別的安全區(qū)域，安全級(jí)別為100。2021/5/960策略配置-安全區(qū)的創(chuàng)建（自定義）配置安全區(qū)域的安全級(jí)別時(shí)，需要遵循如下原則：只能為自定義的安全區(qū)域設(shè)定安全級(jí)別。安全級(jí)別一旦設(shè)定，不允許更改。同一系統(tǒng)中，兩個(gè)安全區(qū)域不允許配置相同的安全級(jí)別。2021/5/961策略配置-安全區(qū)的使用創(chuàng)建區(qū)域（如果需要自定義的話）執(zhí)行命令addinterfaceinterface-typeinterface-number，配置接口加入安全區(qū)域。配置接口加入安全區(qū)域時(shí)，需要遵循如下原則：除Local和Vzone安全區(qū)域外，使用其他所有安全區(qū)域前，均需手工配置接口加入安全區(qū)域。加入安全區(qū)域的接口可以是物理接口，也可以是邏輯接口。加入一個(gè)安全區(qū)域的接口數(shù)不大于1024。2021/5/962策略配置-配置域間缺省規(guī)則配置域間缺省包過濾規(guī)則，需要進(jìn)行如下操作。步驟1 執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2 執(zhí)行命令firewallpacket-filterdefault{permit|deny}{all[vpn-instancevpn-instance-name]|interzone[vpn-instancevpn-instance-name]zone1zone2}[direction{inbound|outbound}]，配置域間缺省包過濾規(guī)則。缺省情況下，在防火墻所有安全區(qū)域間的所有方向都禁止報(bào)文通過。例如打開untrust和local之間的缺省域間包過濾規(guī)則：2021/5/963策略配置-配置域間明細(xì)規(guī)則1.進(jìn)入?yún)^(qū)域間視圖2.應(yīng)用已經(jīng)寫好的ACL3.確定應(yīng)用的正確方向這里可以根據(jù)實(shí)際需要來配置標(biāo)準(zhǔn)和擴(kuò)展的ACL，然后應(yīng)用到區(qū)域間的進(jìn)或出的方向。從低安全區(qū)域流向高安全區(qū)域的為outbound，反之為inbound。2021/5/964培訓(xùn)提綱基礎(chǔ)配置系統(tǒng)管理網(wǎng)絡(luò)配置策略配置ACL配置NAT配置配置舉例2021/5/965ACL配置-定義ACL能夠通過報(bào)文的源地址、目的地址、端口號(hào)、上層協(xié)議等信息組合定義網(wǎng)絡(luò)中的數(shù)據(jù)流，是包過濾、NAT、IPSec（IPSecurity）、QoS（QulityofService）、策略路由等應(yīng)用的基礎(chǔ)。防火墻通過數(shù)字定義和引用ACL。Eudemon防火墻上的ACL分為如下三類：基本ACL（組號(hào)范圍為2000～2999）-------標(biāo)準(zhǔn)ACL高級(jí)ACL（組號(hào)范圍為3000～3999）-------擴(kuò)展ACL防火墻ACL（組號(hào)范圍為5000～5499）2021/5/966基本ACL配置步驟：2021/5/967高級(jí)ACL配置步驟：2021/5/968ACL配置-匹配順序一個(gè)ACL組可以由多條包含permit或deny關(guān)鍵字的ACL規(guī)則組成。一臺(tái)防火墻可以包含多個(gè)ACL組。一個(gè)報(bào)文匹配ACL規(guī)則時(shí)遵循如下原則：防火墻ACL比高級(jí)ACL優(yōu)先被匹配，高級(jí)ACL比基本ACL優(yōu)先被匹配。在防火墻ACL、高級(jí)ACL或基本ACL中，acl-number序號(hào)小的ACL優(yōu)先被匹配。在同一ACL規(guī)則組中，rule-id小的規(guī)則被優(yōu)先匹配。如果數(shù)據(jù)流與一條ACL規(guī)則匹配成功，將不再繼續(xù)向下匹配。防火墻將根據(jù)該ACL規(guī)則的動(dòng)作，對(duì)數(shù)據(jù)流進(jìn)行后續(xù)操作。2021/5/969ACL-配置過程下面以基本ACL規(guī)則為例進(jìn)行說明。對(duì)已經(jīng)存在的ACL規(guī)則，所有后期編輯的屬性參數(shù)都可以疊加到該編號(hào)的ACL規(guī)則上，沒有編輯的部分是不受影響的。例如：#配置一個(gè)ACL規(guī)則。[Eudemon-acl-basic-2001]rule1denysource0#編輯相應(yīng)ACL規(guī)則。[Eudemon-acl-basic-2001]rule1permit此時(shí)，ACL規(guī)則變?yōu)椋篬Eudemon-acl-basic-2001]rule1permitsource02021/5/970ACL-注意事項(xiàng)Eudemon/USG防火墻按照如下規(guī)則匹配ACL：防火墻ACL比高級(jí)ACL優(yōu)先被匹配，高級(jí)ACL比基本ACL優(yōu)先被匹配。在防火墻ACL、高級(jí)ACL或基本ACL中，acl-number序號(hào)小的ACL優(yōu)先被匹配。在同一ACL規(guī)則組中，rule-id小的規(guī)則被優(yōu)先匹配。在配置ACL前，需要考慮整個(gè)組網(wǎng)的需求，并按照Eudemon/USG防火墻的ACL匹配順序進(jìn)行配置。否則，容易配置不當(dāng)，導(dǎo)致業(yè)務(wù)不通。2021/5/971ACL-配置檢查2021/5/972ACL-域間規(guī)則調(diào)用ACL配置域間包過濾規(guī)則，需要進(jìn)行如下操作。步驟1 執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2 執(zhí)行命令firewallinterzone[vpn-instancevpn-instance-name]zone-name1zone-name2，進(jìn)入安全域間視圖。步驟3 執(zhí)行命令packet-filteracl-number{inbound|outbound}，配置域間包過濾規(guī)則。域間入方向或出方向的過濾規(guī)則僅能分別引用一條ACL。2021/5/973培訓(xùn)提綱基礎(chǔ)配置系統(tǒng)管理網(wǎng)絡(luò)配置策略配置ACL配置NAT配置配置舉例2021/5/974NAT配置-應(yīng)用環(huán)境、前置任務(wù)

一般常用的分為一對(duì)多、多對(duì)多和一對(duì)一的方式。應(yīng)用環(huán)境當(dāng)需要隱藏防火墻內(nèi)部網(wǎng)絡(luò)用戶的私有IP地址時(shí)，需要配置NAT。前置任務(wù)在配置NAT功能前，需完成以下任務(wù)： 配置防火墻的工作模式（可選） 配置接口IP地址（可選） 配置接口加入安全區(qū)域 配置地址集（可選） 配置端口集（可選）2021/5/975NAT-數(shù)據(jù)準(zhǔn)備數(shù)據(jù)準(zhǔn)備在配置NAT前，需要準(zhǔn)備以下數(shù)據(jù)：

ACL組號(hào)

ACL相關(guān)參數(shù)

NAT地址池編號(hào) 地址池起始地址和結(jié)束地址2021/5/976NAT-配置過程-1步驟1 執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2 執(zhí)行命令acl[number]acl-number[vpn-instancevpn-instance-name]，創(chuàng)建ACL，并進(jìn)入相應(yīng)視圖。步驟3 執(zhí)行命令rule[rule-id]{permit|deny}[source{source-addresssource-wildcard|any|address-setaddress-set-name}|time-rangetime-name|logging]*，配置基本ACL規(guī)則。步驟4 執(zhí)行命令quit，退回系統(tǒng)視圖。步驟5 執(zhí)行命令nataddress-group{group-name|group-number}start-addressend-address[vrrpvirtual-router-ID|vpn-instancevpn-instance-name]*，配置NAT地址池。步驟6 執(zhí)行命令firewallinterzone[vpn-instancevpn-instance-name]zone-name1zone-name2，進(jìn)入域間視圖。步驟7 執(zhí)行命令natoutbou