ensp usg6000v web登录及cli配置

注意事项：使用火狐浏览器打开https://192.168.0.1:8443,输入用户名admin密码Admin@123登录，登录之后，修改密码。

组网需求

如下图所示，企业购买了FW作为企业出口网关。管理员在登录FW后，首先需要对FW进行网络基础配置，包括时钟、接口IP地址、安全区域、缺省路由及缺省包过滤的配置。

配置完成后，FW能够成功接入Internet。

配置思路

1. 配置FW的时钟。
2. 配置FW各业务接口的IP地址。IP地址需要在配置前进行统一规划。
3. 将各个业务接口加入安全区域。一般情况下，连接外网的接口加入安全级别低的安全区域（例如untrust区域），连接内网的接口加入安全级别高的安全区域（例如trust区域），服务器可以加入DMZ区域。
4. 配置缺省路由，下一跳为ISP提供的接入点。

5. 打开缺省包过滤，保证FW能够接入Internet。缺省情况下，缺省包过滤关闭。

   说明：

   一般情况下建议保持缺省包过滤关闭，然后配置具体允许哪些数据流通过的安全策略。

操作步骤

1.配置时钟，包括当前时间和时区。

• 选择“系统 > 配置 > 时钟配置”。
• 在“配置方式”中选择“手动配置时间”。
• 配置“时区”。
• 配置“日期”。
• 配置“系统时间”。
• 单击“应用”。

配置设备名称

system-view
[USG6000V1]sysname FW_A
[FW_A]quit

配置时钟，包括当前时间和时区。

clock datetime 20:48:00 2018-09-12
clock timezone BJ add 08:00:00

 

2、配置接口0的IP地址和安全区域。

• 选择“网络 > 接口”。
• 单击“GE1/0/0”。
• 配置接口GE1/0/0，ip为192.198.1.1/24,安全区域为trust。
• 单击“确定”。

 依次配置ge/0/1的接口地址为10.1.1.1/24，trust区域,g1/0/2的接口地址为1.1.1.1/24,untrust区域

 system-view
[FW_A] interface GigabitEthernet 1/0/0
[FW_A-GigabitEthernet1/0/0] ip address 192.168.1.1 24
[FW_A-GigabitEthernet1/0/0] quit
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] ip address 10.1.1.1 24
[FW_A-GigabitEthernet1/0/1] quit
[FW_A] interface GigabitEthernet 1/0/2
[FW_A-GigabitEthernet1/0/2] ip address 1.1.1.1 24
[FW_A-GigabitEthernet1/0/2] quit

 将各个业务接口加入安全区域。 

[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/0
[FW_A-zone-trust] quit
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 1/0/1
[FW_A-zone-dmz] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/2
[FW_A-zone-untrust] quit

3.配置缺省路由

[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

 

4.打开缺省包过滤，保证FW能够接入Internet。

说明：

一般情况下建议保持缺省包过滤关闭，然后配置具体允许哪些数据流通过的安全策略。

• 选择“策略 > 安全策略”。
• 修改default安全策略的动作为允许。
• 单击“确定”。

 

 

[FW_A] security-policy
[FW_A-policy-security] default action permit