华为防火墙配置使用手册(自己写)

华为防火墙配置使用手册

防火墙默认的管理接口为g0/0/0，默认的ip地址为192.168.0.1/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin@123

一、 配置案例

1.1 拓扑图

GE 0/0/1：10.10.10.1/24 GE 0/0/2：220.10.10.16/24 GE 0/0/3：10.10.11.1/24

WWW服务器：10.10.11.2/24（DMZ区域） FTP服务器：10.10.11.3/24（DMZ区域）

1.2 Telnet配置

配置VTY 的优先级为3，基于密码验证。 # 进入系统视图。

system-view # 进入用户界面视图

[USG5300] user-interface vty 0 4

# 设置用户界面能够访问的命令级别为level 3 [USG5300-ui-vty0-4] user privilege level 3 配置Password验证

# 配置验证方式为Password验证

[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian

[USG5300-ui-vty0-4] set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟

[USG5300-ui-vty0-4] idle-timeout 30

[USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。 基于用户名和密码验证 user-interface vty 0 4

authentication-mode aaa aaa

local-user admin password cipher ]MQ;4\\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3

firewall packet-filter default permit interzone untrust local direction inbound

如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。

1.3 地址配置

内网：

进入GigabitEthernet 0/0/1视图

[USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址

[USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit

外网：

进入GigabitEthernet 0/0/2视图

[USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址

[USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit

DMZ：

进入GigabitEthernet 0/0/3视图

[USG5300] interface GigabitEthernet 0/0/3 配置GigabitEthernet 0/0/3的IP地址。

[USG5300-GigabitEthernet0/0/3] ip address 10.10.11.1 255.255.255.0 [USG5300] firewall zone dmz

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit

1.4 防火墙策略

本地策略是指与Local安全区域有关的域间安全策略，用于控制外界与设备本身的互访。 域间安全策略就是指不同的区域之间的安全策略。 域内安全策略就是指同一个安全区域之间的策略，缺省情况下，同一安全区域内的数据流都允许通过，域内安全策略没有Inbound和Outbound方向的区分。

策略内按照policy的顺序进行匹配，如果policy 0匹配了，就不会检测policy 1了,和policy的ID大小没有关系，谁在前就先匹配谁。

缺省情况下开放local域到其他任意安全区域的缺省包过滤，方便设备自身的对外访问。其他接口都没有加安全区域，并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域，并配置域间安全策略或开放缺省包过滤。 安全策略的匹配顺序：

每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。 匹配条件

安全策略可以指定多种匹配条件，报文必须同时满足所有条件才会匹配上策略。 比如如下策略 policy 1

policy service service-set dns

policy destination 221.2.219.123 0 policy source 192.168.10.1

在这里policy service的端口53就是指的是221.2.219.123的53号端口，可以说是目的地址的53号端口。

域间可以应用多条安全策略，按照策略列表的顺序从上到下匹配。只要匹配到一条策略就不再继续匹配剩下的策略。如果安全策略不是以自动排序方式配置的，策略的优先级按照配置顺序进行排列，越先配置的策略，优先级越高，越先匹配报文。但是也可以手工调整策略之间的优先级。缺省情况下，安全策略就不是以自动排序方式。如果安全策略是以自动排序方式配置的，策略的优先级按照策略ID的大小进行排列，策略ID越小，优先级越高，越先匹配报文。此时，策略之间的优先级关系不可调整。policy create-mode auto-sort enable命令用来开启安全策略自动排序功能，默认是关闭的。

如果没有匹配到安全策略，将按缺省包过滤的动作进行处理，所以在配置具体安全策略时要注意与缺省包过滤的关系。例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤，将造成那些没有匹配到安全策略的流量也会通过，就失去配置安全策略的意义了。

同样，如果安全策略中只配置了需要拒绝的流量，其他流量都是允许通过的，这时需要开放缺省包过滤才能实现需求，否则会造成所有流量都不能通过。

执行命令display this查看当前已有的安全策略，策略显示的顺序就是策略的匹配顺序，越前边的优先级越高

执行命令policy move policy-id1 { before | after } policy-id2，调整策略优先级。

UTM策略

安全策略中除了基本的包过滤功能，还可以引用IPS、AV、应用控制等UTM策略进行进一步的应用层检测。但前提是匹配到控制动作为permit的流量才能进行UTM处理，如果匹配到deny直接丢弃报文。 安全策略的应用方向

域间的Inbound和Outbound方向上都可以应用安全策略，需要根据会话的方向合理应用。因为USG是基于会话的安全策略，只对同一会话的首包检测，后续包直接按照首包的动作进行处理。所以对同一条会话来说只需要在首包的发起方向上，也就是访问发起的方向上应用安全策略。

如上图所示，Trust域的PC访问Untrust域的Server，只需要在Trust到Untrust的Outbound方向

上应用安全策略允许PC访问Server即可，对于Server回应PC的应答报文会命中首包建立的会话而允许通过。

1.4.1 Trust和Untrust域间：允许内网用户访问公网

策略一般都是优先级高的在前，优先级低的在后。

policy 1：允许源地址为10.10.10.0/24的网段的报文通过

配置Trust和Untrust域间出方向的防火墙策略。 //如果不加policy source就是指any，如果不加policy destination目的地址就是指any。

[USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1

[USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令：

[USG2100]firewall packet-filter default permit interzone trust untrust direction outbound //必须添加这条命令，或者firewall packet-filter default permit all，但是这样不安全。否则内网不能访问公网。

注意：由优先级高访问优先级低的区域用outbound，比如policy interzone trust untrust outbound。这时候policy source ip地址，就是指的优先级高的地址，即trust地址，destination地址就是指的untrust地址。只要是outbound，即使配置成policy interzone untrust trust outbound也会变成policy interzone trust untrust outbound。 由优先级低的区域访问优先级高的区域用inbound，比如是policy interzone untrust trust inbound，为了保持优先级高的区域在前，优先级低的区域在后，命令会自动变成policy interzone trust untrust inbound，这时候policy source ip地址，就是指的优先级低的地址，即untrust地址，destination地址就是指的优先级高的地址，即trust地址。

总结：outbount时，source地址为优先级高的地址，destination地址为优先级低的地址。

inbount时，source地址为优先级低的地址，destination地址为优先级高的地址 配置完成后可以使用display policy interzone trust untrust来查看策略。

1.4.2 DMZ和Untrust域间：从公网访问内部服务器

policy 2：允许目的地址为10.10.11.2，目的端口为21的报文通过 policy 3：允许目的地址为10.10.11.3，目的端口为8080的报文通过

配置Untrust到DMZ域间入方向的防火墙策略，即从公网访问内网服务器 只需要允许访问内网ip地址即可，不需要配置访问公网的ip地址。

address-group 3

2.10 配置策略路由

配置要求：10.10.167.0走218.201.135.177，10.10.168.0走58.57.15.53。 1、创建acl

acl number 3000

rule 1 permit ip source 10.10.167.0 0.0.0.255 acl number 3001

rule 1 permit ip source 10.10.168.0 0.0.0.255

2、创建策略路由

policy-based-route internet permit node 0 if-match acl 3000

apply ip-address next-hop 218.201.135.177 policy-based-route internet permit node 1 if-match acl 3001

apply ip-address next-hop 58.57.15.53

3、将策略路由引用到入接口（内网口） ip policy-based-route internet

4、配置默认路由，配置策略路由的时候不需要配置明细路由。 ip route-static 0.0.0.0 0.0.0.0 218.201.135.177 ip route-static 0.0.0.0 0.0.0.0 58.57.15.53

检查配置：

dis policy-based-route

2.11双线接入时的路由配置

双线接入时必须选择等价路由，配置到达相同目的地的多条路由，如果指定相同优先级，则可

实现负载分担。此时，多条路由之间称为等价路由。

load-balance flow命令用来配置IP报文逐流负载分担。主要有destination-ip ，destination-port

source-ip |，source-port 对应的截图如下。相当于等价路由。

firewall packet-filter default permit interzone local trust direction inbound //允许ping通trust，允许telnet trust接口，使能够访问trust接口，如果不加这条命令不能在防火墙上ping通trust，也不能telnet trust接口。所有的local与业务无关。

firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound

配置内部服务器

V3版本通过acl指定，v5版本通过域间策略指定。 拓扑：Internet------USG2000------WEB服务器

要求：服务器及其内网通过NAT能访问Internet,服务器80端口对外发布网页 配置： １.NAT

acl number 2000

rule 10 permit source 192.168.0.0 0.0.0.255 nat address-group 1 218.1.1.1 218.1.1.1 firewall interzone trust untrust packet-filter 2000 outbound

nat outbound 2000 address-group 1 2.外网访问服务器

acl number 3000

rule 10 permit tcp destination 192.168.0.2 0 destination-port eq www nat server protocol tcp global 218.1.1.1 www inside 192.168.0.2 www firewall interzone trust untrust packet-filter 3000 inbound

3.配置telnet

acl number 3002

rule 10 permit ip destination 218.1.1.1 0 user-interface vty 0 4 acl 3002 inbound

当内网部署了一台服务器，其真实IP是私网地址，但是希望公网用户可以通过一个公网地址来访问该服务器，这时可以配置NAT Server，使设备将公网用户访问该公网地址的报文自动转发给内网服务器。

前提条件

已经配置USG5300的工作模式（只能为路由模式，混合模式也是可以的） ? 已经配置接口IP地址

? 已经配置接口加入安全区域

? （可选）如果使用虚拟防火墙功能，需要已经创建VPN实例，并配置接口绑定VPN实例

?

背景信息

在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部一个WWW的服务器，或是一台FTP服务器。使用NAT Server可以灵活地添加内部服务器，例如，可以将内网一台真实IP为10.1.1.2的Web服务器的80端口映射为公网IP地址1.1.1.1的80端口，将一台真实IP为10.1.1.3的FTP服务器的23端口同样映射为公网IP地址1.1.1.1的23端口。

外部网络的用户访问内部服务器时，NAT Server将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言，NAT Server还会自动将回应报文的源地址（私网地址）转换成公网地址。

说明：

当针对同一私网IP地址配置了NAT和内部服务器两个功能时，USG5300将优先根据内部服务器功能的配置进行地址转换。

操作步骤

1. 执行命令system-view，进入系统视图。 2. 选择执行以下命令之一，配置内部服务器。

对所有安全区域发布同一个公网IP，即这些安全区域的用户都可以通过访问同一个公网IP来访问内部服务器。

执行命令nat server [ id ] global global-address inside host-address [ vrrp virtual-router-id ] [ vpn-instance vpn-instance-name ]，配置不指定协议类型的内部服务器。

? 执行命令nat server [ id ] protocol protocol-type global

global-address [ global-port ] inside host-address [ host-port ] [ vrrp virtual-router-id ] [ vpn-instance vpn-instance-name ]，配置指定协议类型的内部服务器。

?

说明：

配置nat server protocol命令时，global-port和host-port只要有一个定义了any，则另一个要么不定义，要么是any。

? 多个不同内部服务器使用一个公有地址对外发布时，可以多次使用nat server命令对其进行配置，但是global-port不能相同。 对所有安全区域发布多个公网IP，即这些安全区域的用户都可以通过访问任意一个公网IP来访问内部服务器。 ? 执行命令nat server [ id ] global global-address inside host-address [ vrrp virtual-router-id ] no-reverse [ vpn-instance vpn-instance-name ]，配置不指定协议类型的内部服务器。 ? 执行命令nat server [ id ] protocol protocol-type global

global-address [ global-port ] inside host-address [ host-port ] [ vrrp virtual-router-id ] no-reverse [ vpn-instance vpn-instance-name ]，配置指定协议类型的内部服务器。

?

说明：

与发布一个公网IP地址相比，发布多个公网IP地址时多了个参数

no-reverse。配置不带no-reverse参数的nat server后，当公网用户访问服务器时，设备能将服务器的公网地址转换成私网地址；同时，当服务器主动访问公网时，设备也能将服务器的私网地址转换成公网地址。 ? 参数no-reverse表示设备只将公网地址转换成私网地址，不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行nat outbound命令，nat outbound命令引用的地址池里必需是nat server配置的公网IP地址，否则反向NAT地址与正向访问的公网IP地址不一致，会导致网络连接失败。

?

?

多次执行带参数no-reverse的nat server命令，可以为该内部服务器配置多个公网地址；未配置参数no-reverse则表示只能为该内部服务器配置一个公网地址。

当统一安全网关同时应用于双机热备组网时，如果转换后的NAT服务器地址与VRRP备份组虚拟IP地址不在同一网段，则不必配置携带vrrp关键字的nat server命令；如果转换后的NAT服务器地址与VRRP备份组的虚拟IP地址在同一网段，则需要配置相关命令，且virtual-router-ID为统一安全网关NAT服务器出接口对应的VRRP备份组的ID。

3. 执行命令firewall interzone [ vpn-instance vpn-instance-name ] zone-name1 zone-name2，进入域间视图。

4. （可选）执行命令detect protocol，配置NAT ALG功能。

在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、SQL.NET、NETBIOS、MMS等协议的会话时，需要在域间启动ALG功能。

配置举例

当一个内部服务器需要对不同网段的外部用户提供服务时，多次执行带

no-reverse参数的nat server命令，可以为一个内部服务器配置多个公网IP地址。此时，外部的不同网段用户可以通过访问不同的公网IP地址来访问此内部服务器。

如图1所示，例如服务器内部IP地址为1.1.1.1，其公网IP地址分别为2.2.2.2和3.3.3.3。

图1 配置NAT Server示意图

[USG5300] nat server protocol tcp global 2.2.2.2 ftp inside 1.1.1.1 ftp no-reverse

[USG5300] nat server protocol tcp global 3.3.3.3 ftp inside 1.1.1.1 ftp no-reverse

说明：

两次使用带no-reverse参数的nat server命令，为该内部服务器配置两个外部IP地址。

[USG5300] nat address-group 0 2.2.2.2 2.2.2.2 [USG5300] nat address-group 1 3.3.3.3 3.3.3.3

注意：

需要为不同的公网IP地址配置各自所属的不同的地址池。

[USG5300] nat-policy interzone dmz untrust outbound

[USG5300-nat-policy-interzone-dmz-untrust-outbound] policy 0

[USG5300-nat-policy-interzone-dmz-untrust-outbound-0] policy source 1.1.1.1 0

[USG5300-nat-policy-interzone-dmz-untrust-outbound-0] policy destination 2.0.0.0 mask 8

[USG5300-nat-policy-interzone-dmz-untrust-outbound-0] action source-nat

[USG5300-nat-policy-interzone-dmz-untrust-outbound-0] address-group 0 [USG5300-nat-policy-interzone-dmz-untrust-outbound-0] quit [USG5300-nat-policy-interzone-dmz-untrust-outbound] policy 1

[USG5300-nat-policy-interzone-dmz-untrust-outbound-1] policy source 1.1.1.1 0

[USG5300-nat-policy-interzone-dmz-untrust-outbound-1] policy destination 3.0.0.0 mask 8

[USG5300-nat-policy-interzone-dmz-untrust-outbound-1] action source-nat

[USG5300-nat-policy-interzone-dmz-untrust-outbound-1] address-group 1 允许内部服务器访问外部不同网段的用户群或不同的安全区域时，需要配置不同的目的地址，使该内部服务器通过不同的公网IP地址访问。

内部服务器访问2.0.0.0/24网段时，内部服务器私网的IP地址转换为地址池0中的公网IP地址2.2.2.2。内部服务器访问3.0.0.0/24网段时，内部服务器私网的地址转换成地址池1中的公网IP地址3.3.3.3。由此可以配置内部服务器与用户群之间能相互访问。

说明：

注意根据企业向运营商租用的总带宽、上网人数规划数据。

例如企业总带宽为150M，规划办公区上网的总带宽不能超过100M。上网人数为20人，此时每个人可获得的平均带宽为5M，规划每个人的最大带宽可以高于平均带宽，保证带宽则要低于平均带宽，否则无法保证最低带宽。

限制上传、下载两个方向的流量需要配置两条限流策略，上传是Trust到Untrust区域的策略，下载是Untrust到Trust区域的策略。

配置每IP限流策略时，除了可以指定每个IP的最大带宽还可以指定最低保证带宽。为使保证带宽达到效果，需要将每IP限流策略和整体限流结合使用，当某个IP获取到保证带宽后发现网络总带宽还有剩余，还可以获得剩余的带宽。 1、命令行配置方式：

配置整体限流策略，限制上网的总体最大上传/下载带宽均为100Mbps 整体上传限流：

traffic-policy enable //启用限流功能 #

car-class upload_class type shared //配置整体限流Class，名称为upload_class

connection-number 2000 //限制连接数上限为2000，一般上传不限制连接数。 car 10000 //限制最大带宽为100Mbps，单位为kbps，1Mbps＝1000kbps #

//创建上传的限流策略，上传的方向是从Trust到Untrust traffic-policy interzone trust untrust outbound shared policy 0

action car //动作为限流

policy source 192.168.20.0 mask 24 //上传要指定源地址，目的地址是所有。 policy car-class upload_class //引用创建的限流class。

#

整体下载限流：

traffic-policy enable //启用限流功能 #

car-class download_class type shared car 10000 #

//创建下载的限流策略，上传的方向是从Untrust到Trust traffic-policy interzone trust untrust inbound shared policy 0

action car //动作为限流

policy destination 192.168.5.0 mask 24 //下载要指定目的地址，源地址是所有。 policy car-class download_class //引用创建的限流class。

#

配置每IP限流策略，限制每个员工的上传流量。 每个员工的最大上传/下载带宽：8Mbps/10Mbps 每个员工的上传/下载保证带宽：4Mbps #

car-class per_upload_class type per-ip

car max 8000 guaranteed 4000 //上传最大带宽8M，保证带宽4M。 car-class per_download_class type per-ip

car max 10000 guaranteed 4000 //下载最大带宽10M，保证带宽4M。

connection-number 10 //也可以设置最大连接数，一般不设置，把这条命令去掉即可。 #

traffic-policy interzone trust untrust outbound per-ip policy 0 action car

policy source 192.168.100.0 mask 24 // 因为需要限制上网员工的上传流量，所以限流对象选择“源地址”。

policy car-type source-ip policy car-class per_upload_class

traffic-policy interzone trust untrust inbound per-ip policy 0 action car

policy destination 192.168.100.0 mask 24 //为需要限制上网员工的下载流量，所以限流对象选择“目的地址”。 policy car-type destination-ip policy car-class per_download_class

car-class ip线速 type per-ip connection-number 10 car max 20 guaranteed 10 #

配置限制外网用户访问内网服务器连接数的整体限流策略。 car-class connection_class type shared

connection-number 20 //限制外网用户访问内网FTP服务器的最大连接数不能超过20个 traffic-policy interzone dmz untrust inbound shared policy 0 action car

policy destination 10.1.1.0 mask 24 //ftp服务器的ip地址 policy car-class connection_class

图形解决操作方法： 1、 启用限流功能

上传的整体限流策略：

2、

本文来源：https://www.bwwdw.com/article/anxg.html