ENSP-----华为USG6000防⽕墙
本篇来讲⼀下USG6000的各种配置命令,此外还有配置web登录和ssh登录
⼀.防⽕墙简介
web端登录防⽕墙的⼯作模式
路由模式:当防⽕墙处于内部⽹络和外部⽹络中间时,需要将防⽕墙的内部⽹络、外部⽹络、DMZ三个区域不同地址段的时候,这个时候防⽕墙⾸先是⼀台路由器,其后在提供其他的防⽕墙功能
透明模式:华为防⽕墙和外层相连的时候,则防⽕墙处于透明模式下
混合模式:既处于路由接⼝模式⼜处于透明模式下,则防⽕墙是混合模式,⽬前只⽤于透明模式下的双机热备的特殊应⽤中,别的环境不⽤。
华为防⽕墙的安全区域
Local:通常定义防⽕墙本⾝,优先级100,防⽕墙除了转发的流量外,⾃⼰也有收发流量,如控制流量、动态路由协议等,这些报⽂通常是从Local区域发送的
trust:主要⽤户连接公司内部⽹络,优先级是85,安全等级较⾼
DMZ:⾮军事化区域,优先级为50,是介于军事管事区和公共区域之间的⼀个区域,安全等级中
untrust:外部⽹络,优先级为5,安全等级低
⾃定义区域:⽤户⾃定义区域。默认最多16个区域,默认没有优先级,⽤户⾃定义优先级
防⽕墙的inbound和outbound
inbound:数据由等级低的流向等级⾼的,如untrust(5)区域流向trust(85)
outbound:数据由等级⾼的流向等级低的,如DMZ(50)区域流向untrust(5)
安全策略
传统的防⽕墙都是基于5元组:源ip、⽬标IP、协议号、源端⼝号、⽬标端⼝号
新⼀代的防⽕墙除了传统的5元组之外,还加⼊了应⽤、内容、时间、⽤户、威胁、位置进⾏深层次探测
任何2个安全区域的优先级不能相同
本域内不同接⼝间的报⽂不过滤直接转发
接⼝没有加⼊域之前不能转发包
在USG6600系列防⽕墙上默认是没有安全策略的,也就是说,不管是什么区域之间项⽬访问,都必须要配置安全策略,除⾮是同⼀区域内的报⽂传递
⼆.USG6000具体配置
⽹络拓扑图
Cloud1的配置
USG6000防⽕墙配置使⽤Telnet协议,登录远程软件在ensp上的usg终端上的配置
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:
Please enter new password:
Please confirm new password:
Info: Your password has been changed. Save the change to survive a reboot. *************************************************************************
*        Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.        *
*                          All rights reserved.                        *
*              Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************
<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]un in en
Info: Saving
Info: Information center is disabled.
[USG6000V1]sysname FW
[FW]int g0/0/0
[FW-GigabitEthernet0/0/0]ip add 192.168.70.10 24    //进⼊g⼝,配置IP地址[FW-GigabitEthernet0/0/0]service-manage enable    //配置接⼝管理模式
[FW-GigabitEthernet0/0/0]service-manage telnet permit    //允许telnet服务[FW-GigabitEthernet0/0/0]un sh    //激活接⼝
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[FW-GigabitEthernet0/0/0]q
[FW]telnet server enable    //开启telnet服务
Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet. [FW]firewall zone trust    //进⼊防⽕墙的trust区域
[FW-zone-trust]dis this    //确定g⼝,添加进⼊trust区域
2020-02-11 03:11:23.790
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
#
return
[FW-zone-trust]q
[FW]security-policy    //安全策略配置
[FW-policy-security]rule name allow_telnet    //取名规则,命名为allow_telnet [FW-policy-security-rule-allow_telnet]source-zone trust    //来⾃trust区域[FW-policy-security-rule-allow_telnet]destination-zone local    //去local区域[FW-policy-security-rule-allow_telnet]action permit    //动作是允许放通
[FW-policy-security-rule-allow_telnet]q
[FW-policy-security]q
[FW]user-interface vty 0 4    //进⼊配置认证模式
[FW-ui-vty0-4]authentication-mode aaa    //认证模式为aaa
Warning: The level of the user-interface(s) will be the default level of AAA use rs, please check whether it is correct.
[FW-ui-vty0-4]protocol inbound telnet    //允许telnet连接虚拟终端
[FW-ui-vty0-4]q
[FW]aaa    //进⼊AAA模式
[FW-aaa]manager-user demo    //配置管理⽤户名为demo
[FW-aaa-manager-user-demo]password cipher bdqn@123    //设置密码Info: You are advised to config on man-machine mode.
[FW-aaa-manager-user-demo]service-type telnet    //服务类型是telnet Warning: The user access modes include Telnet or FTP, so security risks exist. [FW-aaa-manager-user-demo]level 3    //⽤户权限级别是3
[FW-aaa-manager-user-demo]q
[FW-aaa]
点击SecureCRT软件远程登录防⽕墙
USG6000防⽕墙配置WEB界⾯登录
<FW>sys
Enter system view, return user view with Ctrl+Z.
[FW]int g0/0/0
[FW-GigabitEthernet0/0/0]service-manage http permit    //允许http服务
[FW-GigabitEthernet0/0/0]service-manage https permit    //允许https服务
[FW-GigabitEthernet0/0/0]q
[FW]aaa    //进⼊AAA模式
[FW-aaa]manager-user demo
[FW-aaa-manager-user-demo]service-type web    //服务类型web
在本机浏览器输⼊192.168.70.10:8443/,具体web界⾯配置⽅法参考百度

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。