hcie-security內(nèi)容修訂17套第一部分hc防火墻初始化配置

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC13031031 USG6000 V1R11.00開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）周常青2014.09.15陳昊新開發(fā)丁祖賢2015.04.18優(yōu)化本頁不打印講師授課建議：1、xxxHC13031031防火墻初始化配置 前言華為NGFW同時支持WEB配置和命令行配置，在WEB配置時還支持快速向?qū)Р僮?。本章?jié)主要講解防火墻的初始化配置，主要包括接口配置、遠程管理配置、管理員角色配置、license激活、時鐘配置、文件操作等內(nèi)容。 目標學完本課程后，您將能夠:使用向?qū)нM行防火墻基礎(chǔ)配置配置防火墻遠程管理配置防火墻管理員角色配置防火

2、墻系統(tǒng)時鐘配置防火墻License對防火墻文件進行備份還原 目錄下一代防火墻硬件簡介防火墻配置向?qū)Х阑饓A(chǔ)配置防火墻文件管理華為下一代防火墻簡介 2GUSG6370/6380/6390USG6550/6570USG6320USG6510-SJJ 固定接口： 8GE 擴展槽： - 桌面型 外置適配器固定接口： 8GE+4SFP擴展槽數(shù)： 21U選配冗余電源USG6650/6660USG6680USG6670固定接口： 2*10GE+8GE+8SFP擴展槽數(shù)： 63U標配冗余電源固定接口：4*10GE+16GE+8SFP擴展槽數(shù)： 53U標配冗余電源固定接口：4*10GE+16GE+8SFP擴展

3、槽數(shù)： 23U標配冗余電源標配SPUB卡中小企業(yè)USG6300/6500系列大中企業(yè)&數(shù)據(jù)中心USG6600系列35G40G4G/6G/8G5G/9G20G/25GUSG6370/6380/6390/6550/6570外觀USG6650/6660外觀NGFW支持的擴展接口卡8GEF WSIC接口卡2XG8GE WSIC接口卡4GE-BYPASS WSIC卡8GE WSIC接口卡 目錄下一代防火墻硬件簡介防火墻配置向?qū)Х阑饓A(chǔ)配置防火墻文件管理使用WEB配置防火墻登陸入口： 或 。用戶名admin；密碼Admin123。修改管理員密碼第一次登陸成功后必須修改管理員密碼。為提高安全性，密碼必須滿

4、足最小復雜度要求，包含英文大寫字母（AZ）、英文小寫字母（az）、數(shù)字（09）、特殊字符（如!、#、$、%等）中的三種。請牢記輸入的新密碼避免無法登錄。使用快速向?qū)渲妹艽a修改后默認會進入如下配置向?qū)ы撁妫嚎梢渣c“取消”，取消配置向?qū)??；螯c“下一步”開快速度向?qū)?。配置基本信息此處可以修改主機名稱和管理員密碼。配置系統(tǒng)時間此處可以配置時區(qū)、日期、時間、夏令時等參數(shù)。配置互聯(lián)網(wǎng)接入方式此處可選靜態(tài)IP、DHCP、PPPOE三種的一種。配置互聯(lián)網(wǎng)接入?yún)?shù)各種上網(wǎng)方式配置示例：配置局域網(wǎng)接口配置局域網(wǎng)接口IP地址：配置局域網(wǎng)DHCP服務(wù)配置DHCP池的起止地址：核對配置信息核對信息確保無錯誤后點應(yīng)用（

5、同時勾選“下次登陸不再顯示”）。完成向?qū)渲贸霈F(xiàn)如下頁面表示已經(jīng)成功完成向?qū)渲茫悍阑饓EB主頁面介紹主要配置項有：面板、監(jiān)控、策略、對象、網(wǎng)絡(luò)、系統(tǒng)。面板頁功能介紹實時查看最常用的系統(tǒng)信息，監(jiān)測系統(tǒng)是否正常運行。監(jiān)控頁功能介紹查看系統(tǒng)日志與報表，了解設(shè)備與網(wǎng)絡(luò)狀態(tài)，為新策略制定與配置調(diào)整提供依據(jù)。策略頁功能介紹配置各種業(yè)務(wù)策略，控制流量轉(zhuǎn)發(fā)，防范網(wǎng)絡(luò)威脅，保證網(wǎng)絡(luò)安全運行。對象頁功能介紹創(chuàng)建各種被多個策略共同引用的公共元素，簡化策略配置。網(wǎng)絡(luò)頁功能介紹配置接口、安全區(qū)域和網(wǎng)絡(luò)層協(xié)議，保證網(wǎng)絡(luò)互聯(lián)互通。系統(tǒng)頁功能介紹系統(tǒng)時間、管理員、高可靠性、license、升級等配置。保存配置文件右上角點

6、“保存”即可進行保存配置。打開基于WEB的CLI右下角點擊“CLI控制臺”：已經(jīng)打開的命令行窗口：使用Console接口配置防火墻通過Console登錄CLI管理員界面組網(wǎng)圖。WinXP可以使用超級終端進行連接。Win7可以使用Putty進行連接。 目錄下一代防火墻硬件簡介防火墻配置向?qū)Х阑饓A(chǔ)配置3.1 配置防火墻遠程管理3.2 配置防火墻管理員角色3.3 配置防火墻系統(tǒng)時鐘3.4 配置防火墻License防火墻文件管理配置防火墻遠程管理選擇“系統(tǒng)-管理員-設(shè)置”，點擊“設(shè)置設(shè)備服務(wù)”，可以選擇配置如下功能： HTTP服務(wù)HTTPS服務(wù)STELNET服務(wù)SFTP服務(wù)配置防火墻遠程管理（CL

7、I）該配置實現(xiàn)和上頁WEB配置一樣的功能。#生成RSA密鑰對USG6600Arsa local-key-pair create 10:57:51 2014/09/18The key name will be: USG6600A_HostThe range of public key size is (512 2048).NOTES: A key shorter than 1024 bits may cause security risks. The generation of a key longer than 512 bits may take several minutes.Input t

8、he bits in the modulusdefault = 1024:1024Generating keys.+.+.+.+#配置WEB、SSH、SFTP服務(wù) web-manager security cipher-suit all web-manager security version sslv3 tlsv1 web-manager enable web-manager security enable port 8443# ssh server authentication-retries 5 ssh server rekey-interval 10 sftp server enabl

9、e stelnet server enable# 使用SSH登陸防火墻配置完成后可以使用Putty或SecureCRT進行登陸。 目錄下一代防火墻硬件簡介防火墻配置向?qū)Х阑饓A(chǔ)配置3.1 配置防火墻遠程管理3.2 配置防火墻管理員角色3.3 配置防火墻系統(tǒng)時鐘3.4 配置防火墻License防火墻文件管理管理員角色介紹默認情況系統(tǒng)支持四種角色：可以自定義新的角色。角色名角色描述默認用戶系統(tǒng)管理員擁有除審計功能以外的所有權(quán)限。admin/Admin123配置管理員擁有業(yè)務(wù)配置和設(shè)備監(jiān)控權(quán)限。無配置管理員(只讀)擁有設(shè)備監(jiān)控權(quán)限。無審計管理員配置審計策略和查看審計日志的專用管理員角色。audit

10、-admin/Admin123管理員角色和管理員級別管理員角色優(yōu)先級高于管理員級別，即如果將管理員綁定角色，那么管理員級別將不再有效。管理員角色優(yōu)先級高于遠程服務(wù)器授權(quán)，即如果管理員綁定角色，那么遠程服務(wù)器授權(quán)不再有效。管理員級別說明0只可以使用參觀級（0級）的命令。1可以使用監(jiān)控（1級）及參觀級（0級）的命令。2可以使用配置（2級）、監(jiān)控（1級）及參觀級（0級）的命令。3可以使用管理（3級）、配置（2級）、監(jiān)控（1級）及參觀級（0級）的命令。415缺省與3級管理員權(quán)限相同，當命令級別擴充時，可配合擴充的命令級別使用。創(chuàng)建新的管理員角色選擇“系統(tǒng)-管理員-管理員角色”，點“新建”，按如下參數(shù)創(chuàng)

11、建：創(chuàng)建新的管理員角色（CLI）創(chuàng)建策略管理員角色：role policy_admindashboard read-only monitor read-only log-traffic log-threat log-content log-url log-operation log-syslog log-user-activity log-policy-matching log-mail-filtering report session statistic none packet-capture none diagnosepolicy read-write object read-writen

12、etwork read-onlysystem nonerole network_admindashboard none monitor nonepolicy noneobjectnone address service application user-manage time-range url-category keyword-group signature av ips data-filter file-filter app-control mail-filter url-filter authen-server certificate mail-address-groupnetwork

13、read-onlysystem none創(chuàng)建策略管理員角色：創(chuàng)建管理員選擇“系統(tǒng)-管理員-管理員”，點擊“新建”，按如下參數(shù)新建：創(chuàng)建管理員（CLI）使用如下命令可以創(chuàng)建管理員并分配角色：aaa# manager-user policy_admin password cipher Admin123 level 15 ssh authentication-type password ssh service-type stelnet authentication-scheme admin_local # manager-user network_admin password cipher Admi

14、n123 level 15 ssh authentication-type password ssh service-type stelnet authentication-scheme admin_local # bind manager-user policy_admin role policy_admin bind manager-user network_admin role network_admin#驗證用戶登陸及權(quán)限使用不同的用戶登陸即可看到不同的權(quán)限頁面：用戶network_admin登陸后只有讀寫“網(wǎng)絡(luò)”的權(quán)限，其它權(quán)限都沒有用戶policy_admin登陸后可以讀寫“策略”

15、和對象，只讀“面板”和“監(jiān)控”，沒有“系統(tǒng)”權(quán)限 目錄下一代防火墻硬件簡介防火墻配置向?qū)Х阑饓A(chǔ)配置 3.1 配置防火墻遠程管理 3.2 配置防火墻管理員角色 3.3 配置防火墻系統(tǒng)時鐘 3.4 配置防火墻License防火墻文件管理配置系統(tǒng)時鐘選擇“系統(tǒng)-配置-時鐘配置-配置方式”，配置時鐘：配置系統(tǒng)時鐘（CLI）手工配置：從NTP服務(wù)器獲?。篶lock timezone beijing add 8clock datetime 14:52:20 2014/09/18dis clock14:53:45 2014/09/182014-09-18 14:53:45ThursdayTime Zon

16、e : beijing add 08:00:00clock timezone beijing add 8sysUSG6600Antp-service unicast-server 目錄下一代防火墻硬件簡介防火墻配置向?qū)Х阑饓A(chǔ)配置 3.1 配置防火墻遠程管理 3.2 配置防火墻管理員角色 3.3 配置防火墻系統(tǒng)時鐘 3.4 配置防火墻License防火墻文件管理激活系統(tǒng)LicenseLicense激活支持在線激活和本地激活兩種方式。激活系統(tǒng)License（CLI）查看ESN用來申請License：USG6600Alicense file hda1:/license.dat display l

17、icenseDevice ESN is : 210235G7G410DC000001The file activated is : hda1:/license.datThe time when activated is : 2014/04/21 11:23:45The time when expired is : 2014/05/20Virtual System: 500SSL VPN Concurrent User: 500Content Security Group: DisabledEncryption Function: EnabledIPS : Enabled; service ex

18、pire time: 2016/04/20Anti Virus : Enabled; service expire time: 2016/04/20URL Filter : Enabled; service expire time: 2016/04/20USG6600Adis firewall esn15:09:06 2014/09/18Device ESN is: 210235G7G410DC000001配置手工激活： 目錄下一代防火墻硬件簡介防火墻配置向?qū)Х阑饓A(chǔ)配置防火墻文件管理4.1 配置備份、還原4.2 升級中心、系統(tǒng)更新配置備份選擇“系統(tǒng)-高可靠性-配置文件管理”，點擊“導出”可

19、以對文件進行備份操作。配置還原選擇“系統(tǒng)-高可靠性-配置文件管理”，點擊“下次啟動文件-上傳”可以對文件進行還原操作。配置備份及還原（CLI）startup saved-configuration vrpcfgbk.cfg 15:56:46 2014/09/18 Info: Succeeded in setting the configuration for booting system.dis startup 15:57:39 2014/09/18 MainBoard: Configed startup system software: hda1:/suampua10v1r1c00spc10

20、0.bin Startup system software: hda1:/suampua10v1r1c00spc100.bin Next startup system software: hda1:/suampua10v1r1c00spc100.bin Startup saved-configuration file: hda1:/vrpcfg.zip Next startup saved-configuration file: hda1:/vrpcfgbk.cfg命令行可以使用FTP/SFTP/TFTP協(xié)議對配置進行備份和還原。配置進行備份前要使用save命令進行保存。配置還原后使用star

21、tup saved-configuration命令設(shè)置下次啟動后加載配置文件。 目錄下一代防火墻硬件簡介防火墻配置向?qū)Х阑饓A(chǔ)配置防火墻文件管理4.1 配置備份、還原4.2 升級中心、系統(tǒng)更新升級中心升級中心目前提供特征庫的升級：入侵防御特征庫反病毒特征庫應(yīng)用識別特征庫地區(qū)識別特征庫升級方式：通過安全中心平臺升級通過內(nèi)網(wǎng)升級服務(wù)器進行升級配置升級中心配置升級中心(CLI)update schedule weekly Sun 23:00update schedule av-sdb enable update schedule ips-sdb enable update schedule sa-sdb enable USG6600Adis update conf 16:24:04 2014/09/18 Update Configuration Information:- Internal Update Mode : Disable Internal Update Server : - Internal Update Port : 80 IPS-SDB: Application Confirmation : Enable Schedule Update : Enable