前言

今天浩道跟大家分享硬核干貨，關于華為防火墻相關的實戰(zhàn)配置！

防火墻是位于內部網和外部網之間的屏障，它按照系統(tǒng)管理員預先定義好的規(guī)則來控制數(shù)據(jù)包的進出。防火墻是系統(tǒng)的第一道防線，其作用是防止非法用戶的進入。

本期我們一起來總結下防火墻的配置，非常全面，以華為為例。

防火墻的配置主要有下面這些：

• 初始化防火墻

  • 初始化防火墻:

  • 開啟Web管理界面:

  • 配置Console口登陸:

  • 配置telnet密碼認證:

  • 配置telnet用戶名密碼認證:

  • 常用查詢命令:

• 防火墻基本配置

  • 初始化防火墻:

  • 配置內網接口:

  • 配置外網接口:

  • 配置安全策略:

  • 配置源NAT:

  • 配置目標NAT:

• NAT 地址轉換

  • 配置內網區(qū)域:

  • 配置外網區(qū)域:

  • 配置源NAT:

  • 配置目標NAT:

• 配置交換機

  • 配置兩臺交換機:

  • 配置防火墻:

  • 添加防火墻區(qū)域:

一、初始化防火墻

一、初始化防火墻

默認用戶名為admin，默認的密碼Admin@123，這里修改密碼為wljsghq@163.

Username:admin

Password:*****

Pleaseconfirmnewpassword:LyShark@163

提示：變語言模式成功

二、開啟Web管理界面:

默認防火墻console接口IP地址是192.168.0.1.

system-view

[FW1] web-manager enable // 開啟圖形管理界面

[FW1] interface GigabitEthernet 0/0/0

[FW1-GigabitEthernet0/0/0] ip address 192.168.0.1 24 // 給接口配置IP地址

[FW1-GigabitEthernet0/0/0] service-manage all permit // 放行該端口的請求

[FW1-GigabitEthernet0/0/0] display this

三、配置Console口登陸:

system-view//進入系統(tǒng)視圖
[FW1] user-interfaceconsole0//進入console0的用戶配置接口
[FW1-ui-console0]authentication-modepassword  //使用密碼驗證模式

[FW1-ui-console0]setauthenticationpasswordcipherAdmin1234

//設置密碼為Admin1234

四、配置telnet密碼認證:

配置密碼認證模式,此處配置密碼為Admin@123.

system-view
[FW1]telnetserverenable//開啟Telnet支持
[FW1]interfaceGigabitEthernet0/0/0//選擇配置接口
[FW1-GigabitEthernet0/0/0]service-managetelnetpermit  //允許telnet
[FW1-GigabitEthernet0/0/0]quit

[FW1]user-interfacevty04//開啟虛擬終端
[FW1-ui-vty0-4]protocolinboundtelnet   //允許telnet
[FW1-ui-vty0-4]authentication-modepassword   //設置為密碼認證模式
[FW1-ui-vty0-4]setauthenticationpasswordcipherAdmin@123//設置用戶密碼

[USG6000V1]firewallzonetrust//選擇安全區(qū)域

[USG6000V1-zone-trust]addinterfaceGE0/0/0 //添加到安全區(qū)域

五、配置telnet用戶名密碼認證:

system-view // 進入系統(tǒng)視圖

[FW1] interface GigabitEthernet 0/0/0 // 進入接口配置

[FW1-GigabitEthernet0/0/0]ip address 192.168.0.1 24 // 配置接口IP

[FW1-GigabitEthernet0/0/0]service-manage telnet permit // 允許telnet

[FW1-GigabitEthernet0/0/0]service-manage ping permit // 允許ping

[FW1-GigabitEthernet0/0/0] quit //退出

[FW1] firewall zone trust // 進入trust安全域配置

[FW1-zone-trust] add interface GigabitEthernet 0/0/0 // 把GE0/0/0加入到trust安全域

[FW1-zone-trust] quit

[FW1]telnetserverenable//啟用telnet服務
[FW1]user-interfacevty04   //進入vty0-4的用戶配置接口
[FW1-ui-vty0-4]authentication-modeaaa//使用AAA驗證模式
[FW1-ui-vty0-4]userprivilegelevel3//配置用戶訪問的命令級別為3
[FW1-ui-vty0-4]protocolinboundtelnet//配置telnet
[FW1-ui-vty0-4]quit//退出用戶配置接口

[FW1]aaa     //進入AAA配置視圖
[FW1-aaa]manager-userlyshark    //創(chuàng)建用戶vtyadmin
[FW1-aaa-manager-user-lyshark]passwordcipheradmin@123 //配置用戶密碼
[FW1-aaa-manager-user-lyshark]service-typetelnet  //配置服務類型
[FW1-aaa-manager-user-lyshark]quit    //退出

[FW1-aaa]bindmanager-userlysharkrolesystem-admin //綁定管理員角色
[FW1-aaa]quit//退出AAA視圖

六、常用查詢命令:

查詢防火墻的其他配置,常用的幾個命令如下.

[FW1]displayipinterfacebrief    //查默認接口信息
[FW1]displayiprouting-table     //顯示路由表
[FW1]displayzone         //顯示防火墻區(qū)域
[FW1]displayfirewallsessiontable  //顯示當前會話
[FW1]displaysecurity-policyruleall  //顯示安全策略

配置到這里,我們就可以在瀏覽器中訪問了,其訪問地址是http://192.168.0.1

二、防火墻基本配置

初始化防火墻：

初始化配置,并設置好防火墻密碼。

Username:admin
Password:*****
Thepasswordneedstobechanged.Changenow?[Y/N]:y
Pleaseenteroldpassword:Admin@123
Pleaseenternewpassword:Lyshark@163
Pleaseconfirmnewpassword:Lyshark@163

system-view      //進入系統(tǒng)視圖
[USG6000V1]sysnameFW1       //給防火墻命名
[FW1]undoinfo-centerenable     //關閉日志彈出功能
[FW1]quit
language-modeChinese         //將提示修改為中文
[FW1]web-managerenable         //開啟圖形管理界面
[FW1]interfaceGigabitEthernet0/0/0

[FW1-GigabitEthernet0/0/0]service-manageallpermit //放行該端口的請求

配置內網接口：

配置內網的接口信息,這里包括個GE 1/0/0 and GE 1/0/1這兩個內網地址.

system-view
[FW1]interfaceGigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0]ipaddress192.168.1.1255.255.255.0
[FW1-GigabitEthernet1/0/0]undoshutdown
[FW1-GigabitEthernet1/0/0]quit

[FW1]interfaceGigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1]ipaddress192.168.2.1255.255.255.0
[FW1-GigabitEthernet1/0/1]undoshutdown
[FW1-GigabitEthernet1/0/1]quit

#-------------------------------------------------------
[FW1]firewallzonetrust//將前兩個接口加入trust區(qū)域
[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0

[FW1-zone-trust]addinterfaceGigabitEthernet1/0/1

配置外網接口:

配置外網接口GE 1/0/2接口的IP地址,并將其加入到untrust區(qū)域中.

[FW1]interfaceGigabitEthernet1/0/2//選擇外網接口
[FW1-GigabitEthernet1/0/2]undoshutdown//開啟外網接口
[FW1-GigabitEthernet1/0/2]ipaddress10.10.10.10255.255.255.0//配置IP地址
[FW1-GigabitEthernet1/0/2]gateway10.10.10.20//配置網關
[FW1-GigabitEthernet1/0/2]undoservice-manageenable
[FW1-GigabitEthernet1/0/2]quit

#-------------------------------------------------------
[FW1]firewallzoneuntrust//選擇外網區(qū)域
[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2//將接口加入到此區(qū)域

配置安全策略:

配置防火墻安全策略,放行trust(內網)-->untrust(外網)的數(shù)據(jù)包.

[FW1]security-policy//配置安全策略
[FW1-policy-security]rulenamelyshark//規(guī)則名稱
[FW1-policy-security-rule-lyshark]source-zonetrust//原安全區(qū)域(內部)
[FW1-policy-security-rule-lyshark]destination-zoneuntrust//目標安全區(qū)域(外部)

[FW1-policy-security-rule-lyshark]source-addressany//原地址區(qū)域
[FW1-policy-security-rule-lyshark]destination-addressany//目標地址區(qū)域
[FW1-policy-security-rule-lyshark]serviceany//放行所有服務
[FW1-policy-security-rule-lyshark]actionpermit//放行配置
[FW1-policy-security-rule-lyshark]quit

配置源NAT:

配置原NAT地址轉換,僅配置源地址訪問內網 --> 公網的轉換.

[FW1]nat-policy//配置NAT地址轉換
[FW1-policy-nat]rulenamelyshark//指定策略名稱
[FW1-policy-nat-rule-lyshark]egress-interfaceGigabitEthernet1/0/2//外網接口IP
[FW1-policy-nat-rule-lyshark]actionsource-nateasy-ip//源地址轉換

[FW1-policy-nat-rule-lyshark]displaythis

配置目標NAT：

外網訪問10.10.10.10自動映射到內網的192.168.2.1這臺主機上.

[FW1]firewallzoneuntrust//選擇外網區(qū)域
[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2//將接口加入到此區(qū)域

#NAT規(guī)則
#外網主機訪問10.10.10.10主機自動映射到內部的192.168.2.2
[FW1]firewalldetectftp
[FW1]natserverlysharkglobal10.10.10.10inside192.168.2.2no-reverse

三、NAT地址轉換

配置內網區(qū)域：

分別配置防火墻內網接口GE1/0/0 and GE1/0/1設置IP地址,并加入指定區(qū)域內.

system-view
[FW1]undoinfo-centerenable

#----配置IP地址-----------------------------------------------
[FW1]interfaceGigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0]ipaddress192.168.1.124
[FW1-GigabitEthernet1/0/0]quit
[FW1]interfaceGigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1]ipaddress192.168.2.124
[FW1-GigabitEthernet1/0/1]quit

#----加入到指定區(qū)域--------------------------------------------
[FW1]firewallzonetrust
[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0

[FW1]firewallzonedmz

[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/1

配置外網區(qū)域:

然后配置外網地址,將Gig 1/0/2加入到untrust區(qū)域內.

[FW1]interfaceGigabitEthernet1/0/2
[FW1-GigabitEthernet1/0/2]ipaddress10.10.10.108

[FW1]firewallzoneuntrust

[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/2

配置源NAT:

配置原NAT地址轉換,僅配置源地址訪問內網 --> 公網的轉換.

#----配置源NAT轉換---------------------------------------------
[FW1]nat-policy//配置NAT地址轉換
[FW1-policy-nat]rulenamelyshark//指定策略名稱
[FW1-policy-nat-rule-lyshark]egress-interfaceGigabitEthernet1/0/2//外網接口IP
[FW1-policy-nat-rule-lyshark]actionsource-nateasy-ip//源地址轉換
[FW1-policy-nat-rule-lyshark]displaythis

#----放行相關安全策略------------------------------------------
[FW1]security-policy
[FW1-policy-security]rulenametrust_untrust
[FW1-policy-security-rule]source-zonetrust
[FW1-policy-security-rule]destination-zoneuntrust

[FW1-policy-security-rule]actionpermit

配置目標NAT:

外網訪問10.10.10.10自動映射到內網的192.168.2.2這臺主機上.

#----NAT規(guī)則---------------------------------------------------
#外網主機訪問10.10.10.10主機自動映射到內部的192.168.2.2
[FW1]firewalldetectftp
[FW1]natserverlysharkglobal10.10.10.10inside192.168.2.2no-reverse

#----放行規(guī)則---------------------------------------------------
[FW1]security-policy//配置安全策略
[FW1-policy-security]rulenameuntrs-DMZ//規(guī)則名稱
[FW1-policy-security-rule-untrs-DMZ]source-zoneuntrust//原安全區(qū)域(外部)
[FW1-policy-security-rule-untrs-DMZ]destination-zonetrust//目標安全區(qū)域(內部)
[FW1-policy-security-rule-untrs-DMZ]destination-address192.168.2.224
[FW1-policy-security-rule-untrs-DMZ]serviceany
[FW1-policy-security-rule-untrs-DMZ]actionpermit//放行配置

[FW1-policy-security-rule-untrs-DMZ]quit

四、配置交換機、防火墻

配置兩臺交換機:

分別配置兩臺交換機,并劃分到相應的VLAN區(qū)域內.

#----配置LSW1交換機
system-view
[LSW1]vlan10//創(chuàng)建VLAN10
[LSW1]quit
[LSW1]interfaceEthernet0/0/1//將該接口配置為trunk
[LSW1-Ethernet0/0/1]portlink-typetrunk
[LSW1-Ethernet0/0/1]porttrunkallow-passvlan10//加入到vlan10
[LSW1-Ethernet0/0/1]quit

[LSW1]port-groupgroup-memberEth0/0/2toEth0/0/3
[LSW1-port-group]portlink-typeaccess
[LSW1-port-group]portdefaultvlan10
[LSW1-port-group]quit

#----配置LSW2交換機
system-view
[LSW2]vlan20
[LSW1]quit

[LSW2]interfaceEthernet0/0/1
[LSW2-Ethernet0/0/1]portlink-typetrunk
[LSW2-Ethernet0/0/1]porttrunkallow-passvlan20
[LSW2-Ethernet0/0/1]quit

[LSW2]port-groupgroup-memberEth0/0/2toEth0/0/3
[LSW2-port-group]portlink-typeaccess
[LSW2-port-group]portdefaultvlan20

[LSW2-port-group]quit

配置防火墻:

配置Gig1/0/0和Gig1/0/1接口為trunk模式,并分別配置好網關地址.

[FW1]vlan10
[FW1-vlan10]quit
[FW1]vlan20
[FW1-vlan20]quit

#----配置防火墻接口地址
[FW1]interfaceGigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0]portswitch
[FW1-GigabitEthernet1/0/0]portlink-typetrunk
[FW1-GigabitEthernet1/0/0]porttrunkallow-passvlan10

[FW1]interfaceGigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1]portswitch
[FW1-GigabitEthernet1/0/1]portlink-typetrunk
[FW1-GigabitEthernet1/0/1]porttrunkallow-passvlan20

#----分別給VLAN配置IP地址
[FW1]interfaceVlanif10
[FW1-Vlanif10]
[FW1-Vlanif10]ipaddress192.168.10.1255.255.255.0
[FW1-Vlanif10]aliasvlan10
[FW1-Vlanif10]service-managepingpermit

[FW1]interfaceVlanif20
[FW1-Vlanif20]
[FW1-Vlanif20]ipaddress192.168.20.1255.255.255.0
[FW1-Vlanif20]aliasvlan20

[FW1-Vlanif20]service-managepingpermit

添加防火墻區(qū)域:

將vlan10和vlan20添加到trust區(qū)域內.

[FW1]firewallzonetrust
[FW1-zone-trust]addinterfaceVlanif10

[FW1-zone-trust]addinterfaceVlanif20