华为公司防火墙技术培训-基础篇V1.2-20090616

华赛防火墙技术培训培训提纲基础配置系统管理网络配置策略配置ACL配置NAT配置配置举例2021/5/92基础配置：Console管理防火墙可以通过Console访问方式进行管理最为安全的登录方式无须网络支持就可以登录无须IP地址就可以登录可以看到启动的信息可以看到实时的debug信息2021/5/93基础配置-Console口管理使用系统自带超级终端工具或第三方工具，例如SecureCRT。配置终端通信参数为9600波特、8位数据位、1位停止位、无校验、无流控。如图所示,也可以直接选择还原默认值。需注意选择正确的串口！！！2021/5/94Console登录初始界面：新版的OS初始console的用户名和密码为：adminAdmin@1232021/5/95系统主机名和时间配置：2021/5/96查看接口IP地址配置：缺省情况下，除了USG50有管理IP地址外，其他型号目前都没有配置管理IP，需要给接口手动分配IP地址。2021/5/97给指定接口配置IP地址：我们可以通过该IP地址做telnet、Web、FTP等管理用途。2021/5/98将接口分配到指定安全区域：默认情况下只有USG50的接口已经划分到指定安全区域，其他型号需要自行配置。2021/5/99基本策略放行（保证管理防火墙顺利进行）不指明方向的时候，缺省是进出双向的。2021/5/910基础配置-CLI模式Console和Telnet可以通过命令修改命令行下的语言模式：language-modeChineseLoginauthenticationUsername:telnetuserPassword:*********<Eudemon>用户视图模式（登录后提示）<Eudemon>system-view[Eudemon]系统视图模式2021/5/911基础配置语言模式实例：2021/5/912培训提纲基础配置系统管理网络配置策略配置ACL配置NAT配置配置举例2021/5/913系统管理配置—验证方式配置2021/5/914系统管理配置—验证方式2021/5/915系统管理-WEB方式管理Eudemon/USG防火墙Web特性为用户提供了简单、易用的Web配置界面，使用户能够方便地对防火墙进行操作和维护，绝大多数任务都可以通过Web的方式配置实现。并且为用户提供了如下两种访问方式：加密Web浏览器和防火墙之间通过HTTPS（HTTPSecurity）安全协议进行交互。加密功能保证了用户信息的安全。不加密Web浏览器和防火墙之间通过HTTP协议进行交互。2021/5/916基础配置-WEB管理的配置默认USG50的Web功能是打开的，可以直接访问，无需特别配置，用户名密码为：usg50/usg50前置任务在配置Web管理功能之前需要完成以下任务：1在防火墙上配置与浏览器相连的接口的IP地址，将接口加入到域中，并且打开该区域和local区域的域间关系；配置Web浏览器所在PC的IP地址，并保证PC与防火墙能ping通。配置过程要完成配置Web管理功能的任务，需要执行如下的配置过程：1使能WEB管理功能；配置WEB用户；检查配置结果。2021/5/917基础配置-WEB下建立用户在系统视图下，使能WEB功能[Eudemon]web-manager[security]enable[portport-number]

AAA视图下配置WEB用户创建本地用户：[Eudemon-aaa]local-useruser-name[password{simple|cipher}password]配置用户类型：[Eudemon-aaa]local-useruser-nameservice-typeweb配置用户级别：[Eudemon-aaa]local-useruser-namelevellevel

此步骤可选，level的值为0～3。0表示用户的优先级为参观级，1表示用户的优先级为监控级，2表示用户优先级为配置级，3表示用户的优先级为管理级。缺省情况下，level的默认值为0检查配置结果检查WEB用户的配置结果：[Eudemon]displaycurrent-configurationconfigurationaaa

检查WEB管理的配置结果：[Eudemon]displayweb-managerconfiguration2021/5/918开启web管理功能配置命令：5454Q前面我们已经在aaa模式下面创建了一个帐号，其中分配给他的service包括web。2021/5/919基础配置-WEB登陆界面2021/5/920基础配置-WEB登陆首页2021/5/921基础配置-Web配置（中文）2021/5/922系统管理-Telnet方式管理首先确保接口的物理和协议状态均为up，并进行连通性测试----ping2021/5/923Telnet方式管理防火墙初始状态：内部端口地址/24，默认情况下USG50的Telnet功能是打开的，无需配置可以直接访问。用户名：admin密码：Admin@123其它型号的防火墙USG和Eudemon系列防火墙没有初始管理IP地址，需要通过Console来进行初始配置。2021/5/924Telnet登录初始配置命令2021/5/925Telnet方式管理telnet542021/5/926系统管理配置—SSH登录配置当需要远程协助支持时，建议打开SSH登录功能，因为SSH在设备和访问终端间建立一条加密的隧道，加强了访问的安全性。2021/5/927系统管理配置-SSH远程登录（三大步）2021/5/928系统管理配置-SSH远程登录（三大步）2021/5/929系统管理配置-SSH远程登录（三大步）2021/5/930系统管理配置-SSH远程登录目前仅支持SSH1版本，不支持压缩！！！2021/5/931清除配置恢复出厂值（第一种方法）2021/5/932清除配置恢复出厂值（第二种方法）1.登录到设备2.查看配置文件所在位置及名称3.删除配置文件，不保存，然后重启。2021/5/933系统管理配置—OS导入导出华为防火墙的OS是VRP系统，可以通过FTP或TFTP的方式进行导入导出。可以选择使用第三方的FTP或TFTP的软件来扮演SERVER的角色，另外一种方式是将防火墙直接配置成SERVER模式。防火墙作为FTPSERVER端方式备份OS:2021/5/934系统管理配置—OS导入导出终端系统访问FTPServer2021/5/935系统管理配置—OS导入导出上传新的OS到系统中：2021/5/936培训提纲基础配置系统管理网络配置策略配置ACL配置NAT配置攻击防范配置举例2021/5/937网络配置-接口的分类接口指设备与网络中的其它设备交换数据并相互作用的部分。接口分为物理接口和逻辑接口两类。1、物理接口就是真实存在、有对应器件支持的接口。包括：局域网接口，主要是指以太网接口。Eudemon防火墙可以通过它与局域网中的网络设备交换数据。广域网接口，主要是指AUX接口。通过AUX接口可以对Eudemon防火墙进行远程配置维护。2、逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口。包括：子接口虚拟接口模板Loopback接口Null接口VLAN接口2021/5/938网络配置-接口的配置Eudemon/USG防火墙的接口都有一个接口描述配置项，接口描述主要用来帮助识别接口的用途，以便于记忆和管理。配置接口描述，需要进行如下操作。执行命令system-view，进入系统视图。执行命令interfaceinterface-typeinterface-number，进入接口视图。执行命令descriptioninterface-description，配置接口描述。2021/5/939网络配置-接口列表操作命令查看接口当前运行状态和统计信息displayinterface[interface-typeinterface-number]查看接口的主要配置信息displayipinterface[interface-typeinterface-number]查看当前配置信息displaycurrent-configuration[interfaceinterface-type[interface-number]|configuration[configuration-type]][|{begin|exclude|include}regular-expression]2021/5/940网络配置-以太网接口的定义在配置以太网接口之前，需准备以下数据：接口编号接口IP地址和掩码地址接口MTU接口工作速率接口双工模式接口要加入到哪个安全区域2021/5/941网络配置-以太网接口的配置#进入Ethernet1/0/0视图。[Eudemon]interfaceethernet1/0/0#配置Ethernet1/0/0的主IP地址。[Eudemon-Ethernet1/0/0]ipaddress#配置Ethernet1/0/0的从IP地址。[Eudemon-Ethernet1/0/0]ipaddresssub2021/5/942网络配置---接口（DHCP方式获取地址）2021/5/943网络配置—DHCPServer配置可以起多个IP-POOL，供内外选择。2021/5/944网络配置-以太网接口配置可以配置以太网接口的双工模式：全双工/半双工/自动协商；配置以太网接口的速率：10M/100/自动协商2021/5/945网络配置-Dialer接口配置-PPPoE命令行配置如下：查看配置：2021/5/946网络配置-Dialer接口配置-PPPoE-Web配置2021/5/947网络配置-Dialer接口配置-PPPoE-Web配置2021/5/948网络配置-Dialer接口配置-PPPoE-Web配置2021/5/949网络配置-Dialer接口配置-PPPoE-Web配置2021/5/950网络配置-Dialer接口配置-PPPoE-Web配置2021/5/951网络配置-Dialer接口配置-PPPoE-Web配置选择应用拨号的接口：2021/5/952网络配置-Dialer接口配置-PPPoE-Web配置配置好以后查看一下：2021/5/953网络配置-防火墙工作模式配置Eudemon/USG防火墙支持路由、透明、混合三种工作模式，默认为路由模式。（USG50只支持路由模式）对于中低端防火墙(E100\200\200S)配置透明模式的管理IP方法为：1.先切换防火墙的工作模式到透明模式，然后保存配置，重启设备。2.配置system-ip,作为管理IP中高端防火墙配置透明模式管理IP的方法为，先创建Vlan，然后给Vlan接口配置IP即可。2021/5/954网络配置-路由配置的条件前置任务在配置静态路由之前，需完成以下任务：配置相关接口的物理参数。配置相关接口的IP地址。数据准备在配置静态路由之前，需要准备以下数据：目的网络的IP地址和掩码。下一跳的IP地址或出接口。2021/5/955网络配置-路由配置步骤1 执行命令system-view，进入系统视图。步骤2 执行命令iproute-staticx.x.x.x{mask|mask-length}{interface-typeinterface-number[gateway-address]|gateway-address}[preferencevalue][reject|blackhole]。2021/5/956网络配置-路由配置举例[Eudemon]iproute-static[Eudemon]iproute-static[Eudemon]iproute-static2021/5/957网络配置-检查路由配置操作命令查看路由表摘要信息displayiprouting-table[vpn-instancevpn-instance-name]查看路由表详细信息displayiprouting-tableverbose查看指定目的地址的路由displayiprouting-tableip-address[mask][longer-match][verbose]查看指定目的地址范围内的路由displayiprouting-tableip_address1

mask1

ip_address2

mask2[verbose]查看通过指定标准访问控制列表过滤的路由displayiprouting-tableacl{acl-number|acl-name}[verbose]查看通过指定前缀列表过滤的路由displayiprouting-tableip-prefixip-prefix-number[verbose]查看指定协议发现的路由displayiprouting-tableprotocolprotocol[inactive|verbose]查看树形式路由表displayiprouting-tableradix查看路由表的综合信息displayiprouting-tablestatistics2021/5/958培训提纲基础配置系统管理网络配置策略配置ACL配置NAT配置配置举例2021/5/959策略配置-（缺省策略和明细策略）

安全区的定义Eudemon/USG防火墙缺省保留五个安全区域：1、虚拟区域Vzone最低安全级别的安全区域，系统未定义其安全级别，安全级别为0。2、非受信区域Untrust低安全级别的安全区域，安全级别为5。3、非军事化区域DMZ中等安全级别的安全区域，安全级别为50。4、受信区域Trust较高安全级别的安全区域，安全级别为85。5、本地区域Local最高安全级别的安全区域，安全级别为100。2021/5/960策略配置-安全区的创建（自定义）配置安全区域的安全级别时，需要遵循如下原则：只能为自定义的安全区域设定安全级别。安全级别一旦设定，不允许更改。同一系统中，两个安全区域不允许配置相同的安全级别。2021/5/961策略配置-安全区的使用创建区域（如果需要自定义的话）执行命令addinterfaceinterface-typeinterface-number，配置接口加入安全区域。配置接口加入安全区域时，需要遵循如下原则：除Local和Vzone安全区域外，使用其他所有安全区域前，均需手工配置接口加入安全区域。加入安全区域的接口可以是物理接口，也可以是逻辑接口。加入一个安全区域的接口数不大于1024。2021/5/962策略配置-配置域间缺省规则配置域间缺省包过滤规则，需要进行如下操作。步骤1 执行命令system-view，进入系统视图。步骤2 执行命令firewallpacket-filterdefault{permit|deny}{all[vpn-instancevpn-instance-name]|interzone[vpn-instancevpn-instance-name]zone1zone2}[direction{inbound|outbound}]，配置域间缺省包过滤规则。缺省情况下，在防火墙所有安全区域间的所有方向都禁止报文通过。例如打开untrust和local之间的缺省域间包过滤规则：2021/5/963策略配置-配置域间明细规则1.进入区域间视图2.应用已经写好的ACL3.确定应用的正确方向这里可以根据实际需要来配置标准和扩展的ACL，然后应用到区域间的进或出的方向。从低安全区域流向高安全区域的为outbound，反之为inbound。2021/5/964培训提纲基础配置系统管理网络配置策略配置ACL配置NAT配置配置举例2021/5/965ACL配置-定义ACL能够通过报文的源地址、目的地址、端口号、上层协议等信息组合定义网络中的数据流，是包过滤、NAT、IPSec（IPSecurity）、QoS（QulityofService）、策略路由等应用的基础。防火墙通过数字定义和引用ACL。Eudemon防火墙上的ACL分为如下三类：基本ACL（组号范围为2000～2999）-------标准ACL高级ACL（组号范围为3000～3999）-------扩展ACL防火墙ACL（组号范围为5000～5499）2021/5/966基本ACL配置步骤：2021/5/967高级ACL配置步骤：2021/5/968ACL配置-匹配顺序一个ACL组可以由多条包含permit或deny关键字的ACL规则组成。一台防火墙可以包含多个ACL组。一个报文匹配ACL规则时遵循如下原则：防火墙ACL比高级ACL优先被匹配，高级ACL比基本ACL优先被匹配。在防火墙ACL、高级ACL或基本ACL中，acl-number序号小的ACL优先被匹配。在同一ACL规则组中，rule-id小的规则被优先匹配。如果数据流与一条ACL规则匹配成功，将不再继续向下匹配。防火墙将根据该ACL规则的动作，对数据流进行后续操作。2021/5/969ACL-配置过程下面以基本ACL规则为例进行说明。对已经存在的ACL规则，所有后期编辑的属性参数都可以叠加到该编号的ACL规则上，没有编辑的部分是不受影响的。例如：#配置一个ACL规则。[Eudemon-acl-basic-2001]rule1denysource0#编辑相应ACL规则。[Eudemon-acl-basic-2001]rule1permit此时，ACL规则变为：[Eudemon-acl-basic-2001]rule1permitsource02021/5/970ACL-注意事项Eudemon/USG防火墙按照如下规则匹配ACL：防火墙ACL比高级ACL优先被匹配，高级ACL比基本ACL优先被匹配。在防火墙ACL、高级ACL或基本ACL中，acl-number序号小的ACL优先被匹配。在同一ACL规则组中，rule-id小的规则被优先匹配。在配置ACL前，需要考虑整个组网的需求，并按照Eudemon/USG防火墙的ACL匹配顺序进行配置。否则，容易配置不当，导致业务不通。2021/5/971ACL-配置检查2021/5/972ACL-域间规则调用ACL配置域间包过滤规则，需要进行如下操作。步骤1 执行命令system-view，进入系统视图。步骤2 执行命令firewallinterzone[vpn-instancevpn-instance-name]zone-name1zone-name2，进入安全域间视图。步骤3 执行命令packet-filteracl-number{inbound|outbound}，配置域间包过滤规则。域间入方向或出方向的过滤规则仅能分别引用一条ACL。2021/5/973培训提纲基础配置系统管理网络配置策略配置ACL配置NAT配置配置举例2021/5/974NAT配置-应用环境、前置任务

一般常用的分为一对多、多对多和一对一的方式。应用环境当需要隐藏防火墙内部网络用户的私有IP地址时，需要配置NAT。前置任务在配置NAT功能前，需完成以下任务： 配置防火墙的工作模式（可选） 配置接口IP地址（可选） 配置接口加入安全区域 配置地址集（可选） 配置端口集（可选）2021/5/975NAT-数据准备数据准备在配置NAT前，需要准备以下数据：

ACL组号

ACL相关参数

NAT地址池编号 地址池起始地址和结束地址2021/5/976NAT-配置过程-1步骤1 执行命令system-view，进入系统视图。步骤2 执行命令acl[number]acl-number[vpn-instancevpn-instance-name]，创建ACL，并进入相应视图。步骤3 执行命令rule[rule-id]{permit|deny}[source{source-addresssource-wildcard|any|address-setaddress-set-name}|time-rangetime-name|logging]*，配置基本ACL规则。步骤4 执行命令quit，退回系统视图。步骤5 执行命令nataddress-group{group-name|group-number}start-addressend-address[vrrpvirtual-router-ID|vpn-instancevpn-instance-name]*，配置NAT地址池。步骤6 执行命令firewallinterzone[vpn-instancevpn-instance-name]zone-name1zone-name2，进入域间视图。步骤7 执行命令natoutbou