华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍.doc

【转】华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍转载自 shineruncisco最终编辑 iuuexiao 目前市面上华为的防火墙主要有Eudemon和华赛USG系列，以下是我使用华为USG5310系列防火墙时，总结的一点点经验，同大家分享下。首先谈谈华赛防火墙的一些默认配置： console默认采用aaa local本地认证登录，故运行和启动配置中，console下本地认证看不到；默认用户名：admin；密码：Admin123，默认admin的级别是level 3，最高权限，允许通过terminal、http登录；初始配置下，telnet是不能够登录的，没有配置登录的验证；USG系列防火墙，默认是带虚拟防火墙功能的，称为vzone，并且设置的默认优先级别为0；另外还有属于public的四个区域，local区域的优先级为100，主要是指本地设备信息；trust区域优先级为85，dmz区域的优先级为50，untrust区域的优先级为5，而且这些默认区域的优先级别是不能更改，有点类似于cisco的安全等级；默认防火墙策略是允许local区域的数据到trust区域的进出方向；huawei的设备接口规则，从下往上从左往右分别按照G0/0/0-G0/0/n-1（n等于接口的数量）。 同时华赛的防火墙有三种模式：透明模式，路由模式，混杂模式（主要是在透明模式使用到双机热备时采用）；路由模式分为简单的路由模式和UTM（统一网关）模式现在来谈谈华赛防火墙的基本需求配置： 当你拿到一台防火墙，想让它能够带着内网的机器上网，同时还要发布某些服务器出去，那么就需要进行基本的配置。以下是usg系列防火墙的基本配置命令方式 当你通过console输入正确的用户名和密码后的提示符，属于用户视图，可以查看全部的配置，同时也能够对设备的配置进行相关的升级操作 usg5310 只有当你在用户视图输入system-view命令后，才能够进入该视图，从该视图可以配置大部分的配置，同时可以切换到任意的其它视图，属于最高级别的权限； usg5310sysname USG-5300-cave 将防火墙命名为自己希望的名字； USG-5300-cavesuper password level 3 ciper !QW#E$R 配置level 3超级权限的密码，主要是针对那些没有授权为level 3的用户，如果需要进入系统模式就要切换到高级别 USG-5300-caveuser-interface vty 0 4 进入到虚拟登录线程配置模式， USG-5300-cave-ui-vty0-4authentication-mode aaa/none/password 设置认证的模式为aaa认证/不需要认证/密码认证，自己从中间选择一种，本次选择为localuser/password USG-5300-cave-ui-vty0-4idle-timeout 20 0 设置登录用户超时时间为20分钟 USG-5300-cave-ui-vty0-4 acl acl-number 可以是基本的或者高级的acl，设置允许虚拟登录的源和登录的地址等信息 USG-5300-cave-ui-vty0-4lock authentication-counter 5 设置登录认证出错5次就锁定的机制，范围1-12，默认是三次 USG-5300-cave-ui-vty0-4lock lock-timeout 30 设置锁定的时间为30分钟，默认为10分钟，取值范围0-1500分钟 USG-5300-cave-ui-vty0-4history-command max-size 10 设置记录的历史键入命令的最大值为10条，范围在0-256之间 USG-5300-cave-ui-vty0-4set authentication password ciper cavehs-usg-5310 设置通过认证密码来登录设备，要么在线上对登录用户进行登录级别授权，要么设置sup level 3的密码，允许用户权限提升进行操作。 USG-5300-cave-ui-vty0-4user privilege level 3 设置用户登录的级别为3，主要是针对那些采用简单密码认证方式的用户，默认的用户级别为0，没有权限进行操作和查看， USG-5300-cave-ui-vty0-4screen-length 50 设置屏显长度为50行，范围在0-512行之间 USG-5300-caveaaa 进入到aaa配置模式 USG-5300-cave-aaalocal-user admin service-type terminal telnet web 允许用户admin通过三种方式登录 USG-5300-cavefirewall zone trust 进入到防火墙trust区域配置模式下 USG-5300-cave-zone-trustadd interface g0/0/0 将接口添加到trust区域 USG-5300-caveinterface g0/0/0 进入接口配置模式 USG-5300-cave-gigabitethernet0/0/0ip address 给trust接口配置ip地址,这里与思科有点区别，思科防火墙接口要先加区域，然后配置ip，华赛是可以先配置ip再加入区域的； USG-5300-cave-gigabitethernet0/0/0quit USG-5300-caveinterface g0/0/1 进入接口配置模式 USG-5300-cave-gigabitethernet0/0/1ip address 给untrust接口配置ip地址,这里与思科有点区别，思科防火墙接口要先加区域，然后配置ip，华赛是可以先配置ip再加入区域的； USG-5300-cave-gigabitethernet0/0/1quit 退出当前模式 USG-5310-caveip route-static g0/0/1 54 设置到互联网的默认路由，通过互联网出接口转发到下一跳网关 USG-5310-caveip route-static g0/0/0 设置到内网的多网段的路由，如果是直连的，则不需要添加内网路由 USG-5310-caveaaa USG-5310-cave-aaalocal-user cave password ciper cavehs-usg-5310 在AAA数据库中间创建本地用户以及密码和密码采用的加密方式 USG-5310-cave-aaalocal-user cave service-type web terminal telnet 针对用户cave开启三种登录方式可以通过http或者https、console和telnet USG-5310-cave-aaalocal-user cave privilege level 3 设置cave的用户等级为最高级别，拥有最高级别的用户，不需要通过输入super pass level 3的密码即可以完全操作整台设备 USG-5310-cavenat address-group 1 untrust-vip 设置地址映射全局地址池的编号和名字，用户做pat使用，可以是出接口的地址，也可以一段地址 USG-5310-cavenat-policy interzone trust untrust outbound 设置地址映射策略，从内部区域的信任区域到非信任区域的出方向的地址映射 USG-5310-cave-policy-interzone-trust-untrust-outboundpolicy 1 映射的第一条策略，可以定义很多条，尤其是当需要不同的源，通过不同的地址映射时使用多条策略区分 USG-5310-cave-policy-interzone-trust-untrust-outbound-1action source-nat 在策略中执行的是源地址转换 USG-5310-cave-policy-interzone-trust-untrust-outbound-1policy source 24 针对该策略的需要转换的源地址段 USG-5310-cave-policy-interzone-trust-untrust-outbound-1address-group untrust-vip 将先前定义的地址池应用到该地址转发策略上 USG-5310-cavenat server 1 zone untrust global 00 inside 00 将外部不信任区域上将内部的一台服务器发布到外网 USG-5310-cavenat server 2 zone untrust protocol tcp global 01 80 inside 01 80 采用地址复用功能，将内部主机的对外提供服务端口映射到外网 USG-5310-cavenat server 3 zone untrust protocol tcp global 01 8080 inside 02 8080 采用地址复用功能，将同一个外网地址的不同端口映射到不同的内网服务的不同应用 USG-5310-cavepolicy interzone untrust trust inbound 设置访问控制策略，放行从untrust区域到trust区域的进方向的策略 USG-5310-cave-policy-interzone-trust-untrust-inboundpolicy 1 定义区域间访问的第一条策略 USG-5310-cave-policy-interzone-trust-untrust-inbound-1action permit 针对该策略的动作是允许 USG-5310-cave-policy-interzone-trust-untrust-inbound-1policy destination address-set 00 设置允许访问的目的主机， USG-5310-cave-policy-interzone-trust-untrust-inbound-1policy service service-set http 设置被访问主机对外提供的服务 USG-5310-caveip service-set tcp8080 type object 自定义的服务类，名叫tcp8080服务类， USG-5310-cave-object-service-set-tcp8080service 0 protocol tcp source-port 0 to 65535 destination-port 8080 定义tcp8080服务类的协议类型为tcp，源端口不限制，目的端口为8080的；即自定义一个8080的tcp服务端口 USG-5310-cave-policy-interzone-trust-untrust-inboundpolicy 2 定义区域间访问的第二条策略 USG-5310-cave-policy-interzone-trust-untrust-inbound-2action permit 针对该策略的动作是允许 USG-5310-cave-policy-interzone-trust-untrust-inbound-2policy destination address-set 01 设置允许访问的目的主机， USG-5310-cave-policy-interzone-trust-untrust-inbound-2policy service service-set tcp8080 设置被访问主机对外提供的服务,自定义服务tcp8080 save 保存配置文件以下是配置HA的部分（注意当启用ha配置，备机会同步主机上面的配置，包括各种管理密码;但是必须登陆到备机进行配置保存） USG-5310-cavefirewall zone name HA_zone 创建做HA的区域，将hrp的接口划分到专用的failover区域 USG-5310-cave-zone-hrp_zoneset priority 90 设置该区域的优先级为90，用于hrp备份的专用区域 USG-5310-cave-zone-hrp_zoneadd interface gigabitethernet 0/0/2 将g0/0/2添加到HA_zone区域，用于hrp信息传递和状态备份信息 USG-5310-cavehrp mirror session enable 开启华为冗余协议会话镜像功能，通过该功能实现高效的failover功能，实现现有主设备会话在状态切换时也同步到备份设备上，降低由于重新建立地址映射表导致的延时 USG-5310-caveinterface g0/0/1 进入到接口下 USG-5310-cave-gigabitethernet0/0/1vrrp vrid 1 virtual-ip