华为防⽕墙配置命令⼤全!救急!
防⽕墙(Firewall)也称防护墙,是由Check Point创⽴者Gil Shwed于1993年发明并引⼊国际互联⽹(US5606668(A)1993-12-15)防⽕墙是位于内部⽹和外部⽹之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防⽕墙是系统的第⼀道防线,其作⽤是防⽌⾮法⽤户的进⼊。
初始化防⽕墙
初始化防⽕墙: 默认⽤户名为admin,默认的密码Admin@123,这⾥修改密码为along@163.
Username:admin
Password:*****
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: Along@163
Please confirm new password: Along@163
<FW1> system-view                      // 进⼊系统视图
[FW1] sysname FW1 // 给防⽕墙命名
[FW1] undo info-center enable // 关闭⽇志弹出功能
[FW1] quit
<FW1> language-mode Chinese // 将提⽰修改为中⽂
Change language mode, confirm? [Y/N] y
提⽰:改变语⾔模式成功.
开启Web管理界⾯: 默认防⽕墙console接⼝IP地址是192.168.0.1.
<FW1> system-view
[FW1] web-manager enable // 开启图形管理界⾯
[FW1] interface GigabitEthernet 0/0/0
[FW1-GigabitEthernet0/0/0]ip address 192.168.0.1 24    // 给接⼝配置IP地址
[FW1-GigabitEthernet0/0/0] service-manage all permit // 放⾏该端⼝的请求
[FW1-GigabitEthernet0/0/0] display this
配置Console⼝登陆:
<FW1> system-view // 进⼊系统视图
[FW1] user-interface console 0 // 进⼊console0的⽤户配置接⼝
[FW1-ui-console0] authentication-mode password // 使⽤密码验证模式
[FW1-ui-console0]set authentication password cipher Admin1234 // 设置密码为Admin1234
[FW1-ui-console0] quit // 退出⽤户配置接⼝
置telnet密码认证: 配置密码认证模式,此处配置密码为Admin@123.
FW1> system-view
[FW1] telnet server enable                              // 开启Telnet⽀持
[FW1] interface GigabitEthernet 0/0/0                  // 选择配置接⼝
[FW1-GigabitEthernet0/0/0] service-manage telnet permit // 允许telnet
[FW1-GigabitEthernet0/0/0] quit
[FW1] user-interface vty 04                                  // 开启虚拟终端
[FW1-ui-vty0-4] protocol inbound telnet                      // 允许telnet
[FW1-ui-vty0-4] authentication-mode password                  // 设置为密码认证模式
[FW1-ui-vty0-4]set authentication password cipher Admin@123  // 设置⽤户密码
[USG6000V1] firewall zone trust                                // 选择安全区域
[USG6000V1-zone-trust]add interface GE0/0/0
配置telnet⽤户名密码认证:
<FW1> system-view // 进⼊系统视图
[FW1] interface GigabitEthernet 0/0/0                  // 进⼊接⼝配置
[FW1-GigabitEthernet0/0/0]ip address 192.168.0.1 24    // 配置接⼝IP
[FW1-GigabitEthernet0/0/0] service-manage telnet permit // 允许telnet
[FW1-GigabitEthernet0/0/0] service-manage ping permit // 允许ping
[FW1-GigabitEthernet0/0/0] quit //退出
[FW1] firewall zone trust // 进⼊trust安全域配置
[FW1-zone-trust]add interface GigabitEthernet 0/0/0  // 把GE0/0/0加⼊到trust安全域
[FW1-zone-trust] quit
[FW1] telnet server enable // 启⽤telnet服务
[FW1] user-interface vty 04              // 进⼊vty0-4的⽤户配置接⼝
[FW1-ui-vty0-4] authentication-mode aaa // 使⽤AAA验证模式
[FW1-ui-vty0-4] user privilege level 3    // 配置⽤户访问的命令级别为3
[FW1-ui-vty0-4] protocol inbound telnet // 配置telnet
[FW1-ui-vty0-4] quit // 退出⽤户配置接⼝
[FW1] aaa // 进⼊AAA配置视图
[FW1-aaa] manager-user lyshark // 创建⽤户vtyadmin
[FW1-aaa-manager-user-lyshark] password cipher admin@123  // 配置⽤户密码
[FW1-aaa-manager-user-lyshark] service-type telnet // 配置服务类型
[FW1-aaa-manager-user-lyshark] quit // 退出
[FW1-aaa]bind manager-user lyshark role system-admin // 绑定管理员⾓⾊
[FW1-aaa] quit // 退出AAA视图
常⽤查询命令: 查询防⽕墙的其他配置,常⽤的⼏个命令如下.
[FW1] display ip interface brief // 查默认接⼝信息
[FW1] display ip routing-table              // 显⽰路由表
[FW1] display zone // 显⽰防⽕墙区域
[FW1] display firewall session table        // 显⽰当前会话
[FW1] display security-policy rule all // 显⽰安全策略
**防⽕墙基本配置**
初始化防⽕墙: 初始化配置,并设置好防⽕墙密码,此处⽤户名admin密码是along@123.
Username:admin
Password:*****
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: Admin@123
Please enter new password: Along@163
Please confirm new password: Along@163
<USG6000V1> system-view                                // 进⼊系统视图
[USG6000V1] sysname FW1 // 给防⽕墙命名
[FW1] undo info-center enable // 关闭⽇志弹出功能
[FW1] quit
<FW1> language-mode Chinese // 将提⽰修改为中⽂
[FW1] web-manager enable // 开启图形管理界⾯
[FW1] interface GigabitEthernet 0/0/0
[FW1-GigabitEthernet0/0/0] service-manage all permit // 放⾏该端⼝的请求
配置内⽹接⼝: 配置内⽹的接⼝信息,这⾥包括个GE 1/0/0 and GE 1/0/1这两个内⽹地址.
<FW1> system-view
[FW1] interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 192.168.1.1 255.255.255.0
[FW1-GigabitEthernet1/0/0] undo shutdown
[FW1-GigabitEthernet1/0/0] quit
[FW1] interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.2.1 255.255.255.0
[FW1-GigabitEthernet1/0/1] undo shutdown
[FW1-GigabitEthernet1/0/1] quit
# -------------------------------------------------------
[FW1] firewall zone trust // 将前两个接⼝加⼊trust区域
[FW1-zone-trust]add interface GigabitEthernet 1/0/0
[FW1-zone-trust]add interface GigabitEthernet 1/0/1
配置外⽹接⼝: 配置外⽹接⼝GE 1/0/2接⼝的IP地址,并将其加⼊到untrust区域中.
[FW1] interface GigabitEthernet 1/0/2                            // 选择外⽹接⼝
[FW1-GigabitEthernet1/0/2] undo shutdown                        // 开启外⽹接⼝
[FW1-GigabitEthernet1/0/2]ip address 10.10.10.10 255.255.255.0  // 配置IP地址
[FW1-GigabitEthernet1/0/2] gateway 10.10.10.20                  // 配置⽹关
[FW1-GigabitEthernet1/0/2] undo service-manage enable
[FW1-GigabitEthernet1/0/2] quit
# -------------------------------------------------------
[FW1] firewall zone untrust                                      // 选择外⽹区域
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2
配置安全策略: 配置防⽕墙安全策略,放⾏trust(内⽹)–>untrust(外⽹)的数据包.
[FW1] security-policy // 配置安全策略
[FW1-policy-security] rule name lyshark // 规则名称
[FW1-policy-security-rule-lyshark] source-zone trust // 原安全区域(内部)
[FW1-policy-security-rule-lyshark] destination-zone untrust // ⽬标安全区域(外部)
[FW1-policy-security-rule-lyshark] source-address any // 原地址区域
[FW1-policy-security-rule-lyshark] destination-address any // ⽬标地址区域
[FW1-policy-security-rule-lyshark]service any // 放⾏所有服务
[FW1-policy-security-rule-lyshark] action permit // 放⾏配置
[FW1-policy-security-rule-lyshark] quit
配置源NAT:配置原NAT地址转换,仅配置源地址访问内⽹ --> 公⽹的转换.
[FW1] nat-policy                                                      // 配置NAT地址转换
[FW1-policy-nat] rule name lyshark                                    // 指定策略名称
[FW1-policy-nat-rule-lyshark] egress-interface GigabitEthernet 1/0/2  // 外⽹接⼝IP
[FW1-policy-nat-rule-lyshark] action source-nat easy-ip              // 源地址转换
[FW1-policy-nat-rule-lyshark] display this
配置⽬标NAT: 外⽹访问10.10.10.10⾃动映射到内⽹的192.168.2.1这台主机上.
[FW1] firewall zone untrust                                      // 选择外⽹区域
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2          // 将接⼝加⼊到此区域
# ----NAT规则---------------------------------------------------
# 外⽹主机访问10.10.10.10主机⾃动映射到内部的192.168.2.2
[FW1] firewall detect ftp
[FW1] nat server lyshark global 10.10.10.10 inside 192.168.2.2 no-reverse
# ----放⾏规则---------------------------------------------------
[FW1] security-policy                                        // 配置安全策略
[FW1-policy-security] rule name untrs-trs                    // 规则名称
[FW1-policy-security-rule-lyshark] source-zone untrust        // 原安全区域(外部)
[FW1-policy-security-rule-lyshark] destination-zone trust    // ⽬标安全区域(内部)
[FW1-policy-security-rule-lyshark] action permit              // 放⾏配置
[FW1-policy-security-rule-lyshark] quit
NAT 地址转换
配置内⽹区域: 分别配置防⽕墙内⽹接⼝GE1/0/0 and GE1/0/1设置IP地址,并加⼊指定区域内.
<FW1>system-view
[FW1]undo info-center enable
# ----配置IP地址-----------------------------------------------
[FW1] interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]ip address 192.168.1.1 24
[FW1-GigabitEthernet1/0/0] quit
[FW1] interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.2.1 24
[FW1-GigabitEthernet1/0/1] quit
# ----加⼊到指定区域--------------------------------------------
cipher命令
[FW1] firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/0
[FW1] firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/0/1
配置外⽹区域: 然后配置外⽹地址,将Gig 1/0/2加⼊到untrust区域内.
[FW1] interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2]ip address 10.10.10.10 8
[FW1] firewall zone untrust
[FW1-zone-dmz]add interface GigabitEthernet 1/0/2
配置源NAT: 配置原NAT地址转换,仅配置源地址访问内⽹ --> 公⽹的转换.
# ----配置源NAT转换---------------------------------------------
[FW1] nat-policy                                                      // 配置NAT地址转换
[FW1-policy-nat] rule name lyshark                                    // 指定策略名称
[FW1-policy-nat-rule-lyshark] egress-interface GigabitEthernet 1/0/2  // 外⽹接⼝IP
[FW1-policy-nat-rule-lyshark] action source-nat easy-ip              // 源地址转换
[FW1-policy-nat-rule-lyshark] display this
# ----放⾏相关安全策略------------------------------------------
[FW1] security-policy
[FW1-policy-security] rule name trust_untrust
[FW1-policy-security-rule] source-zone trust
[FW1-policy-security-rule] destination-zone untrust
[FW1-policy-security-rule] action permit
配置⽬标NAT: 外⽹访问10.10.10.10⾃动映射到内⽹的192.168.2.2这台主机上. # ----NAT规则---------------------------------------------------
# 外⽹主机访问10.10.10.10主机⾃动映射到内部的192.168.2.2
[FW1] firewall detect ftp
[FW1]nat server lyshark global 10.10.10.10 inside 192.168.2.2 no-reverse
# ----放⾏规则---------------------------------------------------
[FW1] security-policy // 配置安全策略
[FW1-policy-security] rule name untrs-DMZ // 规则名称
[FW1-policy-security-rule-untrs-DMZ] source-zone untrust // 原安全区域(外部)
[FW1-policy-security-rule-untrs-DMZ] destination-zone trust // ⽬标安全区域(内部)
[FW1-policy-security-rule-untrs-DMZ] destination-address 192.168.2.2 24
[FW1-policy-security-rule-untrs-DMZ]service any
[FW1-policy-security-rule-untrs-DMZ] action permit // 放⾏配置
[FW1-policy-security-rule-untrs-DMZ] quit
配置交换机为透明模式

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。