一、配置安全策略

华为防火墙基础配置_第1张图片

图片.png

华为防火墙基础配置_第2张图片

配置网络(保证网络连通性)

华为防火墙基础配置_第3张图片

华为防火墙基础配置_第4张图片

第一步、系统视图下配置

dis ver
 2018-05-26 12:34:56.580
 Huawei Versatile Routing Platform Software
 VRP (R) Software, Version 5.170 (USG6500 V500R001C60SPC300)
 Copyright (C) 2014-2017 Huawei Technologies Co., Ltd.
 USG6530 uptime is 0 week, 0 day, 0 hour, 10 minutes

license active 激活指定的license文件
display license 查看license的信息

system-view

info-center enable #开启日志中心
info-center loghost 192.168.1.10 #配置日志服务器IP地址和发送日志信息的源接口
info-center loghost source GE0/0/1

第二步、配置接口地址

interface g0/0/1 #进入G0/0/1接口
ip add 192.168.10.1 24 #配置接口地址

service-manage enable #开启管理功能
service-manage https permit #允许https管理功能(控制管理协议的策略优先)

undo shutdown #激活该接口

portswitch #切换至二层以太网接口模式

quit #退出接口视图
web-manager security enable port 2000 #启动web管理功能(有security支持https,没有支持http)
aaa
manager-user admin #配置web用户

password cipher admin@123
service-type web
level 3


manager-user ftptest
service-type ftp
password cipher ftp@1234
level 3
ftp-directory hda1:/

用户(192.168.40.1:(none)): ftptest
331 Password required for ftptest.
密码:ftp@1234
230 User logged in.
ftp> get vrpcfg.zip
200 Port command okay.
150 Opening ASCII mode data connection for directory list.
226 Transfer complete.
ftp: 收到 5966 字节,用时 0.05秒 112.57千字节/秒。
ftp> lcd
目前的本地目录 C:\Users\Administrator。


第三步、将接口加入区域
firewall zone office #创建安全区域

set priority 80 #设置安全级别

add interface g0/0/1 #将接口添加至安全区域

display zone 查看区域

display firewall packet-filter default all 查看默认区域之间的转发策略

第四步、修改默认策略

ip route-static 0.0.0.0 0.0.0.0 123.121.1.1


第五步、使用策略,精确控制

firewall packet-filter default permit interzone trust dmz direction outbound 放行trust到DMZ区域的所有流量
位置越靠前的安全策略规则,优先级越高

firewall interzone trust dmz
detect ftp 针对多通道的服务要开启应用层检测,将该服务的流量放行

policy interzone trust dmz outbound 制定从trust触发到dmz的精确流量策略,默认是拒绝所有

security-policy #进入安全视图

rule name 1  #创建安全规则名称

source-zone  office #配置源安全区域

destination-zone local #目的安全区域
source-address 192.168.1.0 mask 255.255.255.0 #配置安全策略规则的源地址
action permit 动作


0.255.0.255 反掩码 #表示A和C段进行掩码匹配,B和D段忽略


rule move 3 before rule 1 #调整策略
quit
time-range week
absolute-range 8:00:00 2018/05/07 to 8:00:00 2019/05/07 设置绝对时间段
period-range 8:00:00 to 17:30:00 daily  设置周期时间段
hh:mm:ss #from某时间to某时间
YYYY/MM/DD #from某日期to某日期
Daily #一星期中的每天
off-day #休息日(周六、日)
working-day #工作日(星期一至星期五)


display policy interzone trust dmz outbound

firewall defend syn-flood enable 开启syn-flood***防范功能

firewall defend tcp-illegal-session enable

firewall defend port-scan-flood enable

firewall defend udp-flood enable

firewall defend icmp-flood enable

firewall defend arp-flood enable

firewall defend syn-flood enable


snmp-agent sys-info version v2c #设置SNMP版本号V2C
snmp-agent community read cipher public #设置SNMP只读团体字public
snmp-agent community write cipher admin #设置SNMP读写团体字admin
snmp-agent trap enable #开启SNMP trap功能
snmp-agent target-host trap address udp-domain 192.168.1.1 params securityname cipher hello@123 v2c #设置SNMP trap服务器
配置管理设备主动向网管服务器发送告警,如果不配置SNMP trap,SNMP网管服务将只是周期性向被管理设备发送各种查询报文,设备返回查询数据

user-interface console 0
ide-outtime  0 10 超时

user-interface vty 0 4
 set authentication  password cipher admin@123 #密码验证,仅仅使用密码验证
 authentication-mode aaa #AAA验证,使用用户名密码验证
 protocol inbound all #允许所有协议连接


默认策略任何流量全部阻止(包括抵达local和local发起的),但是接口下的控制管理协议的策略优先

Console口登录是最安全的方法,也是当设备无法启动(无法连接网络时唯一——一种登录设备进行故障修复的方法)

一键升级系统软件
1、查看系统设备的存储空间是否满足
2、系统软件必须以“.bin”为后缀,不支持中文
3、设置为下次启动系统软件,并重启系统


display firewall esn #唯一标识设备的数字序列号,申请license文件时需要提供设备esn信息
display firewall session table 查看会话表信息
display firewall session table verbose 查看会话表详细信息

display firewall statistic system discard
reset firewall session table #清除系统当前会话表项

配置文件类型
current-configuration:配置当前生效,存储在内存中,重启丢失
saved-configuration:下次上电启动时所用的配置文件,存储在Flash或者CF卡,重启不丢失

清除配置文件
1、命令模式:reset saved-configuration #重启
2、Web模式:系统——>配置文件管理——>恢复出厂配置——>点击
3、硬件reset按钮:先按住reset按钮——>设备上电打开电源开关——>指示灯以2次/秒的频率闪烁——>松开reset
4、设备已经正常启动:按住reset超过10s,松开