22-1用戶手冊(cè)(華為USG防火墻)解析

華為防火墻配置用戶手冊(cè)1.1拓?fù)鋱DGE0/0/1：/24GE0/0/2：6/24GE0/0/3：/24#進(jìn)入系統(tǒng)視圖。#進(jìn)入用戶界面視圖dmplelantian配置空閑斷開(kāi)連接時(shí)間[USG5300]firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound//基于用戶名和密碼驗(yàn)證local-useradminpasswordcipher]MQ;4\]B+4Z,YWX*NZ55OA!!lfirewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninboundcaltelnet1.3地址配置[USG5300]interfaceGigabitEthernet0/0/1tterfaceGigabitEthernet[USG5300]interfaceGigabitEthernet0/0/2oneuntrustterfaceGigabitEthernetDMZ：[USG5300]interfaceGigabitEthernet0/0/3mz1.4防火墻策略本地策略是指與Local安全區(qū)域有關(guān)的域間安全策略，用于控制外界與設(shè)備本身的互訪。域間安全策略就是指不同的區(qū)域之間的安全策略。缺省情況下開(kāi)放local域到其他任意安全區(qū)域的缺省包過(guò)濾，方便設(shè)備自身的對(duì)外訪問(wèn)。其加入安全區(qū)域，并配置域間安全策略或開(kāi)放缺省包過(guò)濾。每條安全策略中包括匹配條件、控制動(dòng)作和UTM等高級(jí)安全策略。安全策略可以指定多種匹配條件，報(bào)文必須同時(shí)滿足所有條件才會(huì)匹配上策略。policy1配置的，策略的優(yōu)先級(jí)按照策略ID的大小進(jìn)行排列，策略ID越小，優(yōu)先級(jí)越高，越先匹來(lái)開(kāi)啟安全策略自動(dòng)排序功能，默認(rèn)是關(guān)閉的。注意與缺省包過(guò)濾的關(guān)系。例如安全策略中只允許某些報(bào)文通過(guò)但是沒(méi)有關(guān)閉缺省包過(guò)濾，將造成那些沒(méi)有匹配到安全策略的流量也會(huì)通過(guò)，就失去配置安全策略的意義了。缺省包過(guò)濾才能實(shí)現(xiàn)需求，否則會(huì)造成所有流量都不能通過(guò)。執(zhí)行命令displaythis查看當(dāng)前已有的安全策略，策略顯示的順序就是策略的匹配順序，越前邊的優(yōu)先級(jí)越高licyidbeforeafterpolicyidUTM策略安全策略的應(yīng)用方向USG是基于會(huì)話的安全策略，只對(duì)同一會(huì)話的首包檢測(cè)，后續(xù)包直接按照首包的動(dòng)作進(jìn)行處理。所以對(duì)同一條會(huì)話來(lái)說(shuō)只需要在首包的發(fā)起方向上，也就是訪問(wèn)發(fā)起的方向上應(yīng)用安全策略。C話而允許通過(guò)。策略一般都是優(yōu)先級(jí)高的在前，優(yōu)先級(jí)低的在后。[USG5300]policyinterzonetrustuntrustoutboundyt如果是允許所有的內(nèi)網(wǎng)地址上公網(wǎng)可以用以下命令：untrusttrustoutbound也會(huì)變成policyinterzonetrustuntrustoutbound。由優(yōu)先級(jí)低的區(qū)域訪問(wèn)優(yōu)先級(jí)高的區(qū)域用inbound，比如是policyinterzoneuntrusttrustinbound，為了保持優(yōu)先級(jí)高的區(qū)域在前，優(yōu)先級(jí)低的區(qū)域在后，命令會(huì)自動(dòng)變成icyinterzonetrustuntrustinboundpolicysourceipterzonetrustuntrusticy[USG5300]firewallinterzonedmzuntrust###優(yōu)先級(jí)高的區(qū)域在前配置NATALG功能與配置應(yīng)用層包過(guò)濾(ASPF)功能使用的是同一條命令。所以如果已ASPF功能的目的是識(shí)別多通道協(xié)議，并自動(dòng)為其開(kāi)放相應(yīng)的包過(guò)濾策略。配置內(nèi)部服務(wù)器：USG00]natserverprotocoltcpglobal68080insidewww[USG5300]natserverprotocoltcpglobal7ftpinsideftptboundInbound方向：數(shù)據(jù)包從低安全級(jí)別流向高安全級(jí)別高優(yōu)先級(jí)與低優(yōu)先級(jí)是相對(duì)的NAPT方式：用于多對(duì)一或多對(duì)多IP地址轉(zhuǎn)換，涉及端口轉(zhuǎn)換1、通過(guò)地址池的方式配置地址池[USG5300]nataddress-group160[USG5300]nat-policyinterzonetrustuntrustoutbound55t如果是基于外網(wǎng)接口的nat轉(zhuǎn)換可以不用配置地址池，直接在nat-policyinterzonetrustuntrustoutboundearyip接口2、通過(guò)公網(wǎng)接口的方式創(chuàng)建Trust區(qū)域和Untrust區(qū)域之間的NAT策略，確定進(jìn)行NAT轉(zhuǎn)換的源地址范圍[USG]nat-policyinterzonetrustuntrustoutboundtnet2.1查看防火墻的會(huì)話的命令[USG5320]disfirewallsessiontable[source|destination][inside|global]可以查看個(gè)數(shù)據(jù)包有沒(méi)有過(guò)來(lái)。displayfirewallsessiontableverbosesourceinside//inside可以查看私.66“+->”表示啟用了ASPF；-->packets：14bytes:840表示該會(huì)話出方向的包數(shù)和字節(jié)數(shù)統(tǒng)計(jì)<--packets:5bytes:420表示該會(huì)話入方向的包數(shù)和字節(jié)數(shù)統(tǒng)計(jì)。2.2查看防火墻序列號(hào)displayfirewallesn可以查看防火墻的序列號(hào)2.3DHCP配置[USG5300]interfaceVlan-interface2IP圍,缺省情況下，接口地址池的地址范圍就是接口的IP地址所在的網(wǎng)段)[USG5300]dhcpserverip-pool136(定義一個(gè)全局的地址池，名子自己定義)S[USG5300-dhcp-136]static-bindip-addressmask[USG5300-dhcp-136]static-bindmac-address0000-e03f-0305#facevlanPP2.4配置透明模式n[USG5300]vlan2[USG5300]intg0/0/0[USG5300-GigabitEthernet0/0/0]portswitch[USG5300-GigabitEthernet0/0/0]portlink-typeaccess[USG5300-GigabitEthernet0/0/0]portaccessvlan2[USG5300]intg0/0/1[USG5300-GigabitEthernet0/0/1]portswitch[USG5300-GigabitEthernet0/0/1]portlink-typeaccess[USG5300-GigabitEthernet0/0/1]portaccessvlan2然后把相應(yīng)的端口加入到相應(yīng)的區(qū)域就可以了！一般只需要加物理接口即可。子接口的配置方法：子接口不能配置portswitch命令，可以將子接口劃分到某個(gè)vlan。2.5配置時(shí)鐘用戶模式下2.6系統(tǒng)更新2.6.1使用命令進(jìn)行升級(jí)版本文件。USGstartupsavedconfigurationvrpcfgnewcfg下次啟動(dòng)時(shí)使用的配置文件，這個(gè)是可選配置繼續(xù)，請(qǐng)您不保存配置重新啟動(dòng)。要保存配置。nHpat5、運(yùn)行補(bǔ)丁[USG5300]patchrunV300R001C10SPH102.pat2.6.2使用圖形界面升級(jí)點(diǎn)擊維護(hù)—系統(tǒng)更新選擇需要更新的系統(tǒng)文件，點(diǎn)擊導(dǎo)入。使用圖形界面升級(jí)的時(shí)候，升級(jí)完成后不需要保存配置。直接重啟就是。2.7防火墻策略的配置對(duì)于policyinterzonetrustdmzoutbound之間的策略有以下需求：1、源地址為43能訪問(wèn)所有的目的地址，服務(wù)全部開(kāi)放。3、源地址是所有的訪問(wèn)目的地址是0、1的服務(wù)全部開(kāi)放。icmp議。里不知道源和目的就是指anyipservice-settest1typeobject//創(chuàng)建自定義服務(wù)service0protocoltcpdestination-port8080service1protocoltcpdestination-port3389也可以指定一個(gè)范圍，比如：service1protocoltcpdestination-port8080to8090ipservice-settesttypegroup//創(chuàng)建服務(wù)組，可以將創(chuàng)建的自定義服務(wù)或者預(yù)定義的服務(wù)加到服務(wù)組里。service0service-sethttpservice1service-sethttpsservice2service-seticmpservice3service-settest1//將以上創(chuàng)建的自定義服務(wù)添加到服務(wù)組里policyinterzonetrustdmzoutbound//配置域間包過(guò)濾策略，3個(gè)需求3個(gè)policy策略policy0actionpermitpolicysource43mask55policy1actionpermitpolicyserviceservice-settest//指定上面創(chuàng)建的服務(wù)組policydestinationmask55policydestinationmask55policydestinationmask55policy2actionpermitpolicydestination0mask55policydestination1mask55#有地方還需要?jiǎng)?chuàng)建地址集，方法如下ipaddress-setaptypeobject//創(chuàng)建地址集：address02mask32//一個(gè)單獨(dú)地址address1range555//創(chuàng)建一個(gè)地址范圍tgroup。ipaddress-set生產(chǎn)網(wǎng)ip限制typegroup//創(chuàng)建地址組address0address-setap//可以包含以前的object。address1range55address2range555address3range55address4range55//一個(gè)地址范圍，組里可以包含以前創(chuàng)建的地添加地址界面創(chuàng)建的地址集或者是地址組需要在策略里引用：policyinterzonetrustdmzoutboundpolicy1o//增加自定義服務(wù)組//這個(gè)可以是自定義的服務(wù)集policy12.9配置域內(nèi)NAT，實(shí)現(xiàn)內(nèi)網(wǎng)用戶通過(guò)公網(wǎng)訪問(wèn)內(nèi)部服務(wù)器###不正常的時(shí)候在配置。zt2.10配置策略路由aclnumber3000rule1permitipsource55aclnumber3001rule1permitipsource55policy-based-routeinternetpermitnode0if-matchacl3000applyip-addressnext-hop77policy-based-routeinternetpermitnode1if-matchacl3001applyip-addressnext-hop33、將策略路由引用到入接口(內(nèi)網(wǎng)口)ippolicy-based-routeinternet4、配置默認(rèn)路由，配置策略路由的時(shí)候不需要配置明細(xì)路由。iproute-static77iproute-static3dispolicy-based-route2.11雙線接入時(shí)的路由配置雙線接入時(shí)必須選擇等價(jià)路由，配置到達(dá)相同目的地的多條路由，如果指定相同優(yōu)先級(jí)，則可實(shí)現(xiàn)負(fù)載分擔(dān)。此時(shí)，多條路由之間稱為等價(jià)路由。dd配置內(nèi)部服務(wù)器natoutboundaddressgroup1aclnumber3000rule10permittcpdestination0destination-porteqwwwnatserverprotocoltcpglobalwwwinsidewwwfirewallinterzonetrustuntrustpacket-filter3000inboundaclnumber3002rule10permitipdestination0user-interfacevty04acl3002inbound前提條件SG??背景信息動(dòng)將回應(yīng)報(bào)文的源地址(私網(wǎng)地址)轉(zhuǎn)換成公網(wǎng)地址。操作步驟。[vrrpvirtual-router-id][vpn-instancevpn-instance-name]，?執(zhí)行命令natserver[id]protocolprotocol-typeglobal[vrrpvirtual-router-id][vpn-instancevpn-instance-name]，[vrrpvirtual-router-id]no-reverse[vpn-instancevpn-instance-name]，配置不指定協(xié)議類型的內(nèi)部服務(wù)器。?執(zhí)行命令natserver[id]protocolprotocol-typeglobal[vrrpvirtual-router-id]no-reverse[vpn-instancevpn-instance-name]，配置指定協(xié)議類型的內(nèi)部服務(wù)器。。址轉(zhuǎn)換成公網(wǎng)地址。當(dāng)內(nèi)部服務(wù)器主動(dòng)訪問(wèn)外部網(wǎng)絡(luò)時(shí)需要執(zhí)行nat3.執(zhí)行命令firewallinterzone[vpn-instancevpn-instance-name]配置舉例no-reverseno-reverseUSGnataddressgroup2.2.2USGnataddressgroup.3.3.3natpolicyinterzonedmzuntrustoutboundicyinterzonedmzuntrustoutboundpolicysourcedestinationmask8nterzonedmzuntrustoutboundaddressgrouperzonedmzuntrustoutboundpolicyicyinterzonedmzuntrustoutboundpolicysourcedestinationmask8toutboundaddressgroup注意根據(jù)向運(yùn)營(yíng)商租用的總帶寬、上網(wǎng)人數(shù)規(guī)劃數(shù)據(jù)。個(gè)人可獲得的平均帶寬為5M，規(guī)劃每個(gè)人的最大帶寬可以高于平均帶寬，保證帶寬則要低于平均帶寬，否則無(wú)法保證最低帶寬。限制上傳、下載兩個(gè)方向的流量需要配置兩條限流策略，上傳是Trust到Untrust區(qū)域的策發(fā)現(xiàn)網(wǎng)絡(luò)總帶寬還有剩余，還可以獲得剩余的帶寬。配置整體限流策略，限制上網(wǎng)的總體最大上傳/下載帶寬均為100Mbps#####//動(dòng)作為限流//上傳要指定源地址，目的地址是所有。#//動(dòng)作為限流//下載要指定目的地址，源地址是所有。配置每IP限流策略，限制每個(gè)員工的上傳流量。每個(gè)員工的最大上傳/下載帶寬：8Mbps/10Mbps每個(gè)員工的上傳/下載保證帶寬：4Mbps#car-classper_upload_classtypeper-ipcarmax8000guaranteed4000//上傳最大帶寬8M，保證帶寬4M。car-classper_download_classtypeper-ipcarmax10000guaranteed4000//下載最大帶寬10M，保證帶寬4M。connection-number10//也可以設(shè)置最大連接數(shù)，一般不設(shè)置，把這條命令去掉即可。#traffic-policyinterzonetrustuntrustoutboundper-ippolicy0actioncarpolicysourcemask24//因?yàn)樾枰拗粕暇W(wǎng)員工的上傳流量，所以限流對(duì)象選擇“源地址”。policycar-typesource-ippolicycar-classper_upload_classtraffic-policyinterzonetrustuntrustinboundper-ippolicy0actioncarpolicydestinationmask24//為需要限制上網(wǎng)員工的下載流量，所以限流對(duì)象選擇“目的地址”。policycar-typedestination-ippolicycar-classper_download_classcar-classip線速typeper-ipconnection-number10carmax20guaranteed10#配置限制外網(wǎng)用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)器連接數(shù)的整體限流策略。car-classconnection_classtypesharedconnection-number20//限制外網(wǎng)用戶訪問(wèn)內(nèi)網(wǎng)FTP服務(wù)器的最大連接數(shù)不能超過(guò)20個(gè)traffic-policyinterzonedmzuntrustinboundsharedpolicy0actioncarpolicydestinationmask24//ftp服務(wù)器的ip地址policycar-classconnection_class上傳的整體限流策略：3協(xié)議集：saenable//全局啟用應(yīng)用控制功能sasa視圖user-define-ruletest//在sa視圖下創(chuàng)建自定義應(yīng)用程序testprotocoltcpsource-port10destination-port10ruleenablesadescription禁止某些應(yīng)用categorycategoryWeb_VideocategoryGamecategoryAttackcategoryNetwork_StoragecategoryStreamingcategoryPeerCastingcategoryVoIPcategoryuserdefineapplicationtest//可以將創(chuàng)建的自定義應(yīng)用程序添加到應(yīng)用協(xié)議集[huawei]sa-policytest//系統(tǒng)視圖命令，對(duì)應(yīng)于防火墻的UTM下的應(yīng)用控制下的策略。policydefaultactionpermitrule0ruleenableactiondenyrulecategoryWeb_BrowsingapplicationHTTPrule3ruleenableactiondenyruleapp-settest//引用上面創(chuàng)建的應(yīng)用協(xié)議集在策略上引用創(chuàng)建的應(yīng)用程序：policyinterzonetrustuntrustoutboundpolicy24actionpermitpolicysourceaddress-set生產(chǎn)網(wǎng)ip限制policysa生產(chǎn)網(wǎng)ip限網(wǎng)policy23actionpermitpolicysourceaddress-set質(zhì)量管理部及pmcpolicysa質(zhì)量管理部及pmcpolicy22actionpermitpolicylogging//記錄策略匹配日志policysourceaddress-setoempolicysaoempolicy21actionpermitpolicysourceaddress-setme制造一課二課policysame制造一課二課移動(dòng)策略的優(yōu)先級(jí)：域間或者域內(nèi)視圖下。policymove的優(yōu)先級(jí)調(diào)整到policy-id2之后。功能開(kāi)啟。Web口配置“安全防護(hù)”里的配置。firewalldefendactionalertfirewalldefendudp-short-headerenablefirewalldefendport-scanenablefirewalldefendip-sweepenablefirewalldefendteardropenablefirewalldefendip-fragmentenablefirewalldefendtcp-flagenablefirewalldefendwinnukeenablefirewalldefendfraggleenablefirewalldefendping-of-deathenablepolicy2actionpermitfirewalldefendudp-floodenablefirewalldefendsmurfenablefirewalldefendlandenablefirewalldefendarp-floodenablefirewalldefendarp-spoofingenablefirewalldefendudp-floodbase-sessionmax-rate20000firewalldefendicmp-floodbase-sessionmax-rate255firewallsource-ipdetectinterfaceGigabitEthernet0/0/5firewallsource-ipdetectinterfaceGigabitEthernet0/0/6firewalldefendicmp-floodinterfaceGigabitEthernet0/0/5max-rate200000firewalldefendicmp-floodinterfaceGiga