USG6310S防火墙配置说明.doc

USG6310S防火墙配置说明1. 概述 防火墙使用场景为子站保护管理机（安全II区）接入站内继保保护装置（安全I区），通过对IP地址及端口进行限制，达到阻止非法访问的目的。 为方便现场调试及日后维护工作现规定如下：1) 防火墙ETH0的IP固定为，用作配置用；2) 防火墙ETH0接从交换机过来的网线；3) 防火墙ETH4接从子站管理机过来的网线。2. 登录将笔记本通过网线接入防火墙的ETH0，通过浏览器访问:8443 。用户名：admin、密码：Admin123（初始密码）进行配置，第一次登录时需要修改密码，将密码改为“Nice2003”。登录后设置界面如下图所示图 21 登录首页3. 网络配置点击快捷按钮“网络”,可以对所使用的接入口进行配置，操作顺序如下图所示：装置后面板网口标识0至7与配置页面中接口名称对应关系如下：后面板ETH0对应配置页面中接口GE0/0/0后面板ETH1对应配置页面中接口GE0/0/1后面板ETH7对应配置页面中接口GE0/0/.1. ETH0配置ETH保留作为配置使用。出厂时已经设好，无需变更。图 31 ETH0配置3.2. ETH1配置选择GE0/0/1行右则的编辑，在弹出的界面中设置如下：图 32 ETH1配置配置项如下：别名：保护安全区域：trust模式：交换连接类型：Access确定后第一次操作会弹出提示，如下图所示，确定即可。图 33 模式切换确认提示3.3. ETH4配置选择GE0/0/4行右则的编辑，在弹出的界面中设置如下：图 34 ETH4配置配置项如下：别名：子站安全区域：dmz模式：交换连接类型：Access4. 对象配置对象配置中主要配置需放行的IP及端口号，IP在“地址”中配置、端口号在“服务中配置”，配置操作顺序如下图所示：图 41 对象配置操作顺序.4.1. 地址配置首次配置选择“新建”，如已有配置则选择“编辑”，配置界面如下图所示：图 42 保护IP配置注：1) 第行可配置1个IP/范围或MAC地址，行之间使用回车分隔；2) 掩码可以使用255.255.X.X样式，也可使用掩码位数来表示；3) IP配置支持多种方式，若连续的IP，可在首末2个IP之间通过“-”连接，如-00；4) 单个IP配置，其掩码必须为55或32，否则保存时其最后1至2段会变成0；新建地址分两部分，一是可以通过IP，一是需要屏蔽的IP图 43 子站地址配置4.2. 服务配置..4.2.1. 服务配置服务配置中我们选择放行的端口，根据实际配置：常用放行的端口如下：icmp:ping服务4.2.2. 服务组配置为方便选择及管理，将子站与保护通信的端口归到保护通信组中。5. 策略点击快捷按钮“策略”,可以对所使用的策略进行配置，操作顺序如下图所示：图 51 策略配置顺序通过策略配置对需要从防火墙放行的IP及服务进行配置，配置如下：图 52 子站至保护策略图 53 保护至子站策略6. 保存配置修改完毕，按界面右上角“保存”，如下图所示保存所做的配置。图 61 保存配置7. 重启点击快捷按钮“系统”,在左侧目录树中选择“系统重启”，选择“保存并重启”，弹出确认对话框，确定即可。重启后所做的配置即生效，防火墙装置重启后至系统正常时间较长。8. 备份点击快捷按钮“系统”,在左侧目录树中选择“配置文件管理”，选择“导出”，在弹出的对话框中选择文件备置位置及文件名，确定即可。图 81 备份导出9. 复位当无法测试出防火墙的登录密码后，可在防火墙通电正常运行后用顶端尖硬的物体去捅防火墙后面板上RST键5秒以上，防火墙会清空当前配置恢复出厂设置。复位过程中前面板SYS灯先熄灭、后闪烁最后长亮，如果想快速启动可在按RST键5秒后关电重启防火墙。10. 附录... 同一安全区域多个网口同一安全区域如trust若有多个网线接入，将接入网口的安全区域配置成待加入的安全区域即可。同区域内多个网口间是互通，与交换机类似。对象及策略无需特殊配置。图 101 同安全区域多个网口接入10.2. 配置案例!Software Version V500R001C30SPC100!Last configuration was saved at 2017-08-21 01:42:05 UTC#sysname USG6300# undo l2tp sendaccm enable l2tp domain suffix-separator # ipsec sha2 compatible enable # undo factory-configuration prohibit#undo telnet server enableundo telnet ipv6 server enable#clock timezone Beijing add 08:00:00# hrp configuration auto-check 1440 # firewall detect ftp# firewall defend action discard# log type traffic enable log type syslog enable log type policy enable undo log type threat enable undo log type url enable undo log type um enable# undo dataflow enable# sa force-detection enable# isp name china mobile set filename china-mobile.csv isp name china unicom set filename china-unicom.csv isp name china telecom set filename china-telecom.csv isp name china educationnet set filename china-educationnet.csv # user-manage web-authentication security port 8887password-policy level highuser-manage single-sign-on aduser-manage single-sign-on tsmuser-manage single-sign-on radiususer-manage sso-sync radiuspage-setting user-manage security version tlsv1.1 tlsv1.2# firewall ids authentication type sha256# snmp-agent session history-max-number enable# web-manager security version tlsv1.1 tlsv1.2 web-manager enable web-manager security enable#firewall dataplane to manageplane application-apperceive default-action drop# update schedule ips-sdb daily 22:10 update schedule av-sdb daily 22:10 update schedule sa-sdb daily 22:10 update schedule cnc daily 22:10#ip vpn-instance default ipv4-family#ip address-set 保护地址 type object address 0 range 00#ip address-set 子站地址 type object address 0 51 mask 32# time-range worktime period-range 08:00:00 to 18:00:00 working-day #aaa authentication-scheme default authentication-scheme admin_local authentication-scheme admin_radius_local authentication-scheme admin_hwtacacs_local authentication-scheme admin_ad_local authentication-scheme admin_ldap_local authentication-scheme admin_radius authentication-scheme admin_hwtacacs authentication-scheme admin_ad authentication-scheme admin_ldap authorization-scheme default accounting-scheme default domain default service-type internetaccess ssl-vpn l2tp ike internet-access mode password reference user current-domain manager-user audit-admin password cipher %nQX1YTEIm/KF=h;&6)jh3D2e=!|2t2e%(*8*TdYjh6)% service-type web terminal level 15 manager-user api-admin password cipher %+VN+pRIl*YyIIT+3(8B8G)*:zmSCqC&uOr4jk;3(;+% service-type api level 15 manager-user admin password cipher %VA3aSb0(40m7kA%,L-pmHVj4O-WZsc6dlp,L0% service-type web terminal level 15 role system-admin role device-admin role device-admin(monitor) role audit-admin bind manager-user audit-admin role audit-admin bind manager-user admin role system-admin#l2tp-group default-lns#interface GigabitEthernet0/0/0 undo shutdown ip binding vpn-instance default ip address service-manage http permit service-manage https permit service-manage ping permit#interface GigabitEthernet0/0/1 portswitch undo shutdown port link-type access alias 保护#interface GigabitEthernet0/0/2 undo shutdown#interface GigabitEthernet0/0/3 undo shutdown#interface GigabitEthernet0/0/4 portswitch undo shutdown port link-type access alias 子站#interface GigabitEthernet0/0/5 undo shutdown#interface GigabitEthernet0/0/6 undo shutdown#interface GigabitEthernet0/0/7 undo shutdown#interface Virtual-if0#interface Cellular0/0/0#interface NULL0#firewall zone local set priority 100#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet0/0/1#firewall zone untrust set priority 5#firewall zone dmz set priority 50 add interface GigabitEthernet0/0/4#undo ssh server compatible-ssh1x enable#user-interface con 0 authentication-mode aaauser-interface vty 0 4 authentication-mode aaa protocol inbound sshuser-interface vty 16 20#sa#location#multi-interface mode proportion-of-weight#right-manager