华为USG5500和USG6000的一些配置命令

一、默认配置

管理接口：g0/0/0,而且默认开启了dhcp sever

ip地址:192.168.0.1/24

用户名：admin

密码：Admin@123（注意大小写）

二、端口和区域配置

进入端口视图

interface GigabitEthernet 0/0/1

配置ip地址

ip address 192.168.1.1 255.255.255.0

开启端口

undo shutdown

配置端口为trust区域

firewall zone trust

add inteface GigabitEthernet 0/0/1

quit

dmz和 untrust区域配置类似

三、防火墙策略配置

配置Trust和untrust域间出方向的策略（如果不配置policy source|destination则表示相应的为any）

优先级高的区域到优先级低的区域为outbound,反之为inbound.

policy interzone trust untrust outbound

policy source 192.168.1.0 0.0.0.255

policy service service-set ftp

action permit

quit

USG6000:

security-policy

rule name policy-name

source-zone trust

destination-zone dmz

source-address address-set pc-1

destination-address 192.168.5.2 32

service server server_demo

time-range time-deny

action deny

quit

四、地址集配置

为什么要配地址集？当我们需要修改策略的地址时，如果我们用的是地址对象，那我们就不用去undo相应的命令后添加策略，直接可以修改地址集中的地址就行了。

ip address-set pc-1 type object

address 0 192.168.1.1 mask 32

quit

五、服务对象配置

ip service-set server_demo type object

service 0 protocol tcp destination-port 8888

quit

六、时间段配置

time-range time_deny

period-range 08:00:00 to 20:00:00 daily

quit