2020防火墙路由器交换机配置实例.docx

《2020防火墙路由器交换机配置实例.docx》由会员分享，可在线阅读，更多相关《2020防火墙路由器交换机配置实例.docx（320页珍藏版）》请在课桌文档上搜索。

1、huawei防火墙配置手册1命令行界面密码：Admin123web-managerenable开启Web界面管2Web界面：默认adminAdmin123192.168.0.1login.html_CQFCXIl192,168.0.1语言用户名密码3区域默认区域：trustuntrustdmzlocalfirewallzonetrustaddintgi1/0/0将接口加入trust区域Huawethuaw USG60V1Ia 接口 |口接口对安全区域Gl 交 DNSgDHCP胭势罟口鼻跆由 MlPSeCQ w L2TPYg L2TP over IPSec M GRE接口对IPv4 连接类空 沪

2、地址IPv6静态IPDHCPPPPoE192.168.1.1/255.255.255.0行条记录输入格会为 -1 1-1-1/255.255.255.0-或者 ”1111/24”。默认网美首选DNS期务器备用DNS朋务器允许接口被wintgi1/0/0service-managepingpermit配置安全策略：IOCaLanysecurity-policyrulenameIocaLanysource-zonelocaldestination-zoneanyactionpermitHuaweiUSG6000V1IS昌7据要当前用户：MUAWCI对象安湖翻旅目安全第瞄IJ安全策略I廓NATSgf

3、fi武的芳罟负裁均衡号带克管理。安全防护卷ASPFBffi名称defaultIoCaLany记录都命中日志启用4向导配置1逅基本信息dSW23配鼠系刷向邮接入互联网方式请配置局域网接口的网络信,建议您使用私网地址（例如:M。10.0.01192.168.01）。如没有特殊需求，可直接使用以下默认参数。4配留接入互联藩数LAN接口GE1(V0y*IPttJlt192.168.11*配S局墉醴口子网报码255.255.255.0*配额蜗DHCP筋7核对配盘信息7X1配S基本信息Kg网财DHCP月映2辐系统时间启用局域网DHCP朋务3选择接入互联网方式请输入为局域网网络设备分囹的IP地址段。4配入互

4、联5起始IP结束IP卜配级炯DHCP厨核对配覆信息OutsldeInternet上网接口： GE1/0/2IP地址:202.1.1.1子网推码.255.255.255.0默认网关202.1 1 2首送 DNS 服务器 114 114.114114蓊用DNS服务器8 8 8.81配S基本信息2配置系则间3邺接5联4配S接A5联晦数5礴口6度匿局飒DHCP服务向导配置的参数：区域规划接口ip地址指向运营商的缺省路由基于源地址转换的NAT将默认的安全策略改为放行缺省路由器配置：iproute-s0.0.0.00202.1.1.2.HuaweiUSG60V1l三67盘要HUAWCI监控Ifij 接口C

5、l接口对与安全区域口黑）DNS国DHCP服分器q路由智能选路自虚拟路由器H神路由I筵RIP及 OSPF甚BGPF动态路由监控表4*路由表 IPSec w L2TP L2TP over IPSec ESaGREIPv4默认优先级IPv6默认优先级静态路由歹族V public60应用60寺新建删除,源成楸路由器nat配置nat-policyrulenametrustJSPsource-zonetrustegress-interfaceGigabitEthernetl/0/2actionnateasy-ip Huaweimuawci USG6000V1自 B-对象禺M当前用户：adm同安全策BS同安

6、全雌而IFAT策略 nat 品-务或对超服务器负载均衡曜常克管理o 9安全昉护卷 ASPFwS源NATNAT地址也源NATa谶油修改源NAEe略名港txusISPdefault名称我逑海安全区域目的类组工转段前转换后转搅方式将默认的安全策略改为放行security-policy HuaweiMUAWe USG6000V1defaultactionpermitIi曰自;品要礴的有礴陋礴年安全策略I庙安全策as |际NAT策略 密删AT 厩服务器限射W国服务器负载均衡 早带宽管理安潮翻俅+ ,出名称 安全防护修帔锄源安全区域 目的安全区域 源地址/地区 目的地址/地区服务应用启用启用策略如果曲温应

7、用，会自幼开启SA识别功能。功能开启后，会导致设备性能降隹。时间段动作记录策暄命中日志记录会话日志5防火墙转发原理路由器：开启telnetuser-interfacevtyO4authentication-modepassworduserprivilegelevel3setauthenticationpasswordsimple123disusersUser-IntfDelayTypeNetworkAddressAuthenStatus0CON000:04:21Username:Unspecified+34VTY000:00:00TEL192.168.1.2passUsername:Unspe

8、cified基于会话（状态）session的转发。首包：建立会话的过程去包回包：基于会话回包会话表项Server命中会话表该报文通过源F也址源端口目的/P地址目的端口协议2000023TCPServerClient源/R地址源端口目的/R地址目的端口协议232OOOOTCPSession:TCP1,1:2.00002.1.1.1:23disfirewallsessiontable查看防火墙会话表disfirewallsessiontableCurrentTotalSessions:4telnet VPN: public public netbios-name VPN: default 192.

9、168.1.2:54778 172.16.1.2:23default 192.168.0.66:137 192.168.0.tcp tcp VPN: default - defaultVPN: default default192.168.0.66:54571 192.168.0.1:8443192.168.0.66:54581 192.168.0.1:8443放行由trust到dmz的流量security-policyrulenametrustedmzsource-zonetrustdestination-zonedmzactionpermit更加精细化控制：security-policyr

10、ulenametrustedmzsource-zonetrustdestination-zonedmzsource-address192.168.1.024destination-address172.16.1.232servicetelnetserviceicmpactionpermit二HuaweiUSG6000V1IS自B-昌要当前用/二昼安全策略 一安全策略I 廓NAT策略肥服劳2S负戮均衡 早带宽管理 Q安全防护海 ASPFftJS名称trusl-dm2源安全区域trustI【多迭目的安全区域dmz-B多送源地址/地区192.168.1.0/24目的地址/地区172.16.1.2/3

11、2蜃务telnet.cmp多迭应用any修送】策略如果配置应用，会自勖开启SA识另助能。功能开启 后，会导致没备性能跟低。时间段允许C）禁止6常见安全策略Huaweiu4wt,USG60V1G回自；曷,宴当前用户畴融诋骸拗B安全涟的IB安全策略叼NAT殖略安诩S列表须建,删馀因复制，移动IB植入心导出吗清除全部命中次数】启用口禁用M列定制要留务SS负岐均衡刷新语轿久第脂名点E学带宽言理口。安全鲂沪彘ASPFKS名称率安全目ri安.*目的卷址/卷区服夯应用时间用动作txAnAttrust.dsInJStdmz192.168.1.041TZ16.12/32;藐到any9trust.untrustI

12、fUStUrrtrUStanYanyanyanyanyuntxust.dzuntrustdrvayay需anyanygdefaultanyanyanyanyanyanyany禁止7源NAT转换 HuaweiMUAWeJ USG6000V1I彳区百;昌要面板监挂策略对象网络系统目安全策略IB安全箫略 NAT策略职 SNAT厩廉芬器映射超服务器负载均衡中带宽管理日GJ安全防护国 ASPF02S修改源NA磔功能介绍名称描述源安全区域目的类型叵转换前转换后转换方式,多诩8 端口映射(nat server)0.66将内网地址172.16.1.2的23端口映射成公网地202.1.1.1的23端口。Huaw

13、eiUSG00V1三gbSA(三三taa三j三(B安全策暗导安全策略的NAT策略跖遁MT明照芳涔映射国服芬器负教端帚宽管理白安全防护埠ASPFB港服祷蝴歹球新建JC删除营复刎注意：如果想检测由防火墙到服务器的连通性,需放行IoCa倒dmz的流量。ISFSl当M用户：adin提文保存期助美干修改空码注消圆板监控球略对筮网络系妩服务擦蝴多情新建Xtw济.邙复制独刷新语输入要宣同的名检或地址a宜调若除宜询名称公网地址板网柜址协议公网端口板网喘口当豺状态？aa20Z1.1.1172.16.12TCP2323e:二诊徵】口202.1.1.1telnetTrying202.1.1.1PressCTRL+K

14、toabortConnectedto202.1.1.11.oginauthenticationPassword:Info:ThemaxnumberofVTYusersis10,ancofcurrentVTYusersonlineis1.Thecurrentlogintimeis2017-12-161命令行：natserveraa0zoneuntrustprotocoltcpglobal202.1.1.123inside172.16.1.223no-reverse9SSH远程管理防火墙FWrsalocal-key-paircreate产生用于加密的密钥对intgi1/0/0service-man

15、agesshpermituser-interfacevty04authentication-modeaaaprotocolinboundsshaaamanager-userxiaogepasswordcipherXiaogel23service-typesshlevel15防火墙需开启ssh服务并指定用户名和密码Stelnetserverenablesshuserxiaogesshuserxiaogeauthentication-typepasswordsshuserxiaogeservice-typeStelnet客户端路由器：Stelnet192.168.1.1首次登录必须重新更改密码，且

16、要符合复杂度要求例如CCNPal234,且不能使用历史密码。更改密码后会被踢出然后重新登录。注意1:ssh只能使用用户名和密码的方式登录。注意2:配置用户名和密码时千万不要加空格再回车。10允许防火墙对tracert路径探测回显tracer!X.X.X.X用于探测去往某目标经过的三层设备的个数。tracert原理：发送探测报文ttl=l（第一跳）ttl=2（第二跳）。依次类推，当中间的三层设备收到ttl值等于1的报文时认为发生环路，报文无法继续转发。并回馈一个icmp的报文通知源端。探测报文OOooO192.168.1.38.8.8.8UDP SoUrCe port: 30005 Dl5600

17、0192.168.1.38.8.8.8UDPSoUrCeport:30005D(ytesOnwire(480bits),60bytesCaPtUreaaEthernetII,Src:HuaweiTe_c7:27:84(54:89:98:c7:27:84),Dst:HuaweiTe_b8:3d:01(00:eInternetProtocol,Src:192.168.1.3(192.168.1.3),Dst:8.8,8.8(8.8.8.8)Version:4Headerlength:20bytesjDifferentiatedServicesField:0x00(DSCP0x00:Default;

18、ECN:0x00)TotalLength:40Identification:0x7535(30005)Flags:000FragmpnTCffqPleOI?!Timetolive:1Protocol:UDP(.1/；siHeaderchecksum:Ox72d5correctSource:192,168.1.3(192.168.1.3)Destination:8.8,8.8(8.8.8.8)UserDatagramProtocol,SrcPort:30005(30005),DstPort:traceroute(33434)*Data(12bytes)Frame6:60bytesonwire(4

19、80bits),60bytescaptured(480bits)EthernetII,Src:HuaweiTe_c7:27:84(54:89:98:c7:27:84),Dst:HuaweiTe_b8:3d:01(00:e0:f(InternetProtocol,Src:192.168.1.3(192.168.1.3),Dst:8.8.8.8(8.8.8.8)Version:4Headerlength:20bytesaDifferentiatedServicesField:0x00(DSCP0x00:Default;ECN:0x00)TotalLength:40Identification:0x

20、7539(30009)三Flags:0x00Fraaaentoffset:.0tTimetolive:2Protocol:UDPQl/)aHeaderchecksum:0x71dlcorrectSource:192.168.1.3(192.168.1.3)Destination:8.8.8.8(8.8.8.8)UserDatagramProtocol,SrcPort:30005(30005),DstPort:33438(33438)Data(12bytes)ProtocolInfo路由器回显报文： SourceDestinationFrame 5: 70 bytes on wire (560

21、bits), 70 bytes captured (560 bits)Internet Protocol, Src: 202.1.1.2 (202.1.1.2), Dst: 192.168.1.3 (192.168.1kbEthernetII,Src:HUaWeiTe_b8:3d:01(00:e0:fc:b8:3d:01),Dst:HUaWeiTe_c7:27:84(54:89:9WInternetControlMessageProtocol注意：防火墙为了安全起见（不暴露自己的ip地址），默认情况下不处理於1二1的探测报文，收到该报文后直接丢弃，且不会回应。因此tracert时，会有*出现是

22、多数是防火墙。配置防火墙允许tracer1回显：icmpttl-exceededsend11将防火墙配置成透明交换机192.168.1.2/24PClEthernet 0/0/0PC2emet 0/0/1192.168.1.5/24FW:intgi1/0/0portswitch将防火墙接口配置为交换机接口portlink-typeaccess路由器telnet不认证登陆:user-interfacevty04authentication-modenoneuserprivilegelevel3HuaweiMUAwe,USG6000V1I 接口 I口接口对安全区域 G DNS区DHCP慌务詈G路由

23、 c IPSec0 3L2TP L2TP over IPSec 口 JGRE接口歹旅修改 GigabitEthernet接口名称瞬安全区域模式连接类型Access VLAN ID接口带宽Kbps2 Kbps、 接口对入方向带宽出方向带宽Lr题12在防火墙上面配置Vlanvlan10intgi1/0/0portswitch将防火墙接口配置为交换机接口portlink-typeaccessportdefaultvlan10FWPortdis port vlanLink TypePVIDaccess10access1GigabitEthernetl/0/0GigabitEthernetl/0/1FW

24、1接口夕旅新建,删除0刷新接口名称接口名称安全区域IP址连接妞VLAN犊式(0/0/0(GEOZMQfT)trustddefault)19216801冷态IP(IPv静态IP(IPv1路由由/0/0trustpublic;一I交换GE1/0/1trust(Spublic)_IIACCeSS10I交换由/0/2-N0NE-号public)殍态IP(IPVl路由GE1/0/3-NoNE-(E2public)静态IP(IPV，冷态IP(IPVl路由GE1/0/4-NONE-(i雪public)静态IP(IPv静态IP(IpVI路由GFl/0/fi目zl1%乃态IPlPv殁由将接口划分到不同的安全区域

25、以实现精细化的管控：囱禁止例如：只允许trustltrust2telnet流量修改安1第名称描述源安全区域目的安全区域源地址/地区G)目的地址/地区服务应用时间段动作13将防火墙配置成三层核心交换机HuaweiHUAWaUSG6000V1三gb3AQKt监控由.对缭隧系统当的用户admm提:Iai口接口对e安全区域0%DNS11而DHCP服务m0Q路由IPSecCJJL2TPWL2TPOYerIPSecQo-BGRE接口歹旅+三M接口名若GEOOO(GEGE1/0/0GE1/0/1GE1/0/2GE1/0/3GE1/0/4GE1/0/5GE1/0/6修改GigabitEthernet接口名称|

26、I别名安全区域301豳植式路由交横C旁路检别接口对建榭型TrunkVLANIDDefaiAVLANID按口帚宽入方向常灵出方向帚克KbPSyKbPSYvlanIHuaweiUSG6000V1IS自品要当前用户：adrKas?aeM接口口搔口对安全区域fDNS廊DHCPBgSElQ路由DIPSecOyLTTPHL2TPoverIPSecES=GRE接口列旅新建删除“刷新接口名称ZBC按口名称安全区域IPifttt连接型BVLAN锲式GEOOO(GEOHa11)GE1/0/0GE1/0/1trust(edefault)trust1Spublic)trust2趣public)1921680.1乃态I

27、P(IPv冷态Ip(IWAccessAccess1010路由交换交摄GE1/0/2GE1/0/3trust3(第public)trust!public;TrunkTrunk15,2510交掾交扬GE1/0/4-NONE-回public)修芯曲IP苻态IP(IPvIarrwn.路由HuaweiHUAWelUSG6000V1IS面板E6；昌要蜴策略对象穆系统国接口Q接口对安全区域歹旅新建I:安全颜I删除名称localtrustuntrustdmztrust1trust2trust3trust4优先级接口数100085250500111121141151Q3MINO.2m)DHCP服务器0Q路由口磷

28、IPSecta3L2TP腕L2TPoverIPSecC.904)GRESVil161svi2I。】* HuaweiMUAWI USG6000V1IS 6S9血接口口接口对安全区域 gdns电DHeP围势罟口 一路由口国 IPSeC wL2TP轴 L2TP over IPSec ElJGRE接口歹悚新建,删除刷新接口名称接口名誉安全区域IP地址连接衣型VLANGEOOO(GEOMamtrustdefault)192 168 01铮态 IP(IPv 畤态 IP(IPVlGE1/O/Omstlpublic)Access10GE1/O/1WUStM 回public)Access10GE1/0/2tru

29、st3(圜public)Trunk15,25GE1/0/3trust4(!public)Trunk10GE1O4-NO法-后 public)得态IP(IpV 得态 IP(IpVtGE1O5-NON-( public)一得态 IP(IPv 铮态 IP(IPVIGE1O6-NONE-! public)一容怒P(IPv 静态IHIPVfVirtual-ifO-N(K- public.vlanlsvxl (i public)192 1681 1 I昌态 IP(IPVm狰态IP。 IUVlanI5trust(国 public)192 168 15.1称态 IP(IPV： W 移态 IP(IPvmaste

30、r）测试3:RlteInetR2查看两个FW的会话状态是否都有注意：处于standby状态的设备不允许配置安全策略（可以其他的），只允许在主设备配置安全策略，且安全策略会自动同步到备设备上面。主设备配置由trustOjJntnJSt放行策略+B表示配置已经同步到备设备上面。FWl:security-policyrulenametrustOJJntrUStsource-zonetrustdestination-zoneuntrustactionpermit测试1:RlpingR2通信！可以做冗余性测试！测试2:去掉HRP看看配置安全策略是否还同步（HRP切换需要1分钟时间有standbymast

31、er）测试3:RlteInetR2查看两个FW的会话状态是否都有15双机热备Web配置图形化配置:huawei路由器交换机培训资料HCNA:huawei huaweiHCIE : huawei3系统准备:关闭防火墙certifiednetworkassociate助理HCNP:certifiednetworkprofessional工程师certifiedinternetexport专家SH!6S允咨程序则能通过Windows 防火堵 打开或关闭Windows防火战5还原默认tS置&P高级设对网商街jS5MS普使用Windows防火堵来帮助保护您的计算机Windows防火富有助于防止黑客或本8

32、欧性通过Internet或同珞访问J邺计算机.防火塔如何MSD保护计直机，什么是网珞位置？I史新防火塔设置Windows防火JI未使用制的设酬码计算I%使用推存或,tfl宸琴的设JS有3绘，I卷家庭或工作(专用)网络(O)已连接(线!道良三任的用户卬设者所在的Jt侬江作网络Windows防火燃状去关闭传入连盘咀止所有与未在允许程序列表中的程序的连撞活动的家庙虹作(专用)网珞：QHaE通知状态：Windows的火燃坦止新程序旺B对我关闭windowsupdatea1控制OnS韶腕安全,WindoWSUPdate更改皿-*SSlS喷(E)查看(V)IMCDSBS（三）翊Windows安装更新的方法

33、计算机联机时,Windows可以使用这些设置自动检三重要的更新并对它们迸行安装.当有乔的更新时,可以在关闭计算机之前对它们进行安装.目动更新如何需助我？里要更凭瑜从不核查更新(不推荐)安1静际更新(N):串天g（八）;3KX)二,推荐更期以接收堂要更新的柘同方式为我援供推荐的更新(R)速可更新回允许所有用户在此计尊机上安装更新(U)注gt:WindowsUpdate在检登其唯更新之前,可能会苔先自动进行自我更新.一房读联机隐初声照.用户帐户控制rh三(V)JJt(T)ft1（三）*操作中心险音计三性的会击翔双夫目妾方更改用户幡户g8a常见计食和可笈展携Ie誓i安全4有道云笔记5截图软件安装：g

34、reenshort抓图I抵图后的动作I打印机：插件专家设置取鼠标甯头屏时修放快门声示通知示放大造1：在抓图前等待时间（毫秒）抓取窗口E采用交互颊图抓取窗口模式I自动Hl抓取InternetExplorer网页P抓取InternetExplorer网页编揖器J匹配抓取尺寸定I聊肖I常织I抓图I的出I抓图后的动作i打印机I插件I专家设置I抓图后的动作动态选择保存fefiE另存到显于汉:活桂）。窗用图片编辑罂打开一打印图片7一复制图片至迪贴板口W;R-Ma；1米设置的输出路径）MicrosoftOutlookMicrosoftPowerpointMicrosoftlordHicroxoftExcel

35、确定一6vmware:虚拟化公司虚拟化公司：vmwarevmwareworkstation微软hyper-v思杰CitriX:家用个人vmwareesxi6.5:企业级作用：方便学习做实验研发7系统的两种格式：.is。.GHOVMWAREWORKSTATION欢迎使用新建虚拟机向导I I 取消 8在VmWare里面安装虚机您希望使用什么类型的配置？典盘(推茬XT)通过几个苞华的步骤创建Workstation11.0虚拟机。自定义eKC)创建带有SCSI控制翳类型、制加幅类至以及与旧版VMware产品兼容性等高级选项的虚拟机。I湾助I新建式拟机向导处理者配式为此虚拟机指定处理器数里。姆里器处理器

36、数里(P):|1,每个处理署的核心数置(C):2T总处理器核心嗷里：2都助IIImemory内存disk磁盘harddisk硬盘cd/DVD廊处理器CpuSSD固态硬盘9虚机联网a设置虚拟网络编辑器(编辑)Windows10x64-VMwareWorkstationmI辐目查看虚拟机(M)选项卡部里切(T)Ctrl+X-复制(C)Ctri+C粘贴(P)CtrkV慢一拉网洛的器(N)n.首话项(R)Ctri+PwrS无线wlan无线802.11无线及虚拟网络编辑器直名称类型外部连接主机连接DHCP子网地址IVMnetl析接模式Intd(R)82579LMGgabltNe.VMnet5仅主机.已连接192.168.48.0VMnet8植式InteI(R)Centrkw(R)Advanc.-加向给二1移除网络9)VMnet信息Mt*4:拓TZ夕4N4ne2rZlLXP