华为防火墙配置使用手册(自己写)

更新时间:2024-05-07 11:37:01 阅读量: 综合文库 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

华为防火墙配置使用手册

防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin@123

一、 配置案例

1.1 拓扑图

GE 0/0/1:10.10.10.1/24 GE 0/0/2:220.10.10.16/24 GE 0/0/3:10.10.11.1/24

WWW服务器:10.10.11.2/24(DMZ区域) FTP服务器:10.10.11.3/24(DMZ区域)

1.2 Telnet配置

配置VTY 的优先级为3,基于密码验证。 # 进入系统视图。

system-view # 进入用户界面视图

[USG5300] user-interface vty 0 4

# 设置用户界面能够访问的命令级别为level 3 [USG5300-ui-vty0-4] user privilege level 3 配置Password验证

# 配置验证方式为Password验证

[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian

[USG5300-ui-vty0-4] set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟

[USG5300-ui-vty0-4] idle-timeout 30

[USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。 基于用户名和密码验证 user-interface vty 0 4

authentication-mode aaa aaa

local-user admin password cipher ]MQ;4\\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3

firewall packet-filter default permit interzone untrust local direction inbound

如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。

1.3 地址配置

内网:

进入GigabitEthernet 0/0/1视图

[USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址

[USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit

外网:

进入GigabitEthernet 0/0/2视图

[USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址

[USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit

DMZ:

进入GigabitEthernet 0/0/3视图

[USG5300] interface GigabitEthernet 0/0/3 配置GigabitEthernet 0/0/3的IP地址。

[USG5300-GigabitEthernet0/0/3] ip address 10.10.11.1 255.255.255.0 [USG5300] firewall zone dmz

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit

1.4 防火墙策略

本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。 域间安全策略就是指不同的区域之间的安全策略。 域内安全策略就是指同一个安全区域之间的策略,缺省情况下,同一安全区域内的数据流都允许通过,域内安全策略没有Inbound和Outbound方向的区分。

策略内按照policy的顺序进行匹配,如果policy 0匹配了,就不会检测policy 1了,和policy的ID大小没有关系,谁在前就先匹配谁。

缺省情况下开放local域到其他任意安全区域的缺省包过滤,方便设备自身的对外访问。其他接口都没有加安全区域,并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域,并配置域间安全策略或开放缺省包过滤。 安全策略的匹配顺序:

每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。 匹配条件

安全策略可以指定多种匹配条件,报文必须同时满足所有条件才会匹配上策略。 比如如下策略 policy 1

policy service service-set dns

policy destination 221.2.219.123 0 policy source 192.168.10.1

在这里policy service的端口53就是指的是221.2.219.123的53号端口,可以说是目的地址的53号端口。

域间可以应用多条安全策略,按照策略列表的顺序从上到下匹配。只要匹配到一条策略就不再继续匹配剩下的策略。如果安全策略不是以自动排序方式配置的,策略的优先级按照配置顺序进行排列,越先配置的策略,优先级越高,越先匹配报文。但是也可以手工调整策略之间的优先级。缺省情况下,安全策略就不是以自动排序方式。如果安全策略是以自动排序方式配置的,策略的优先级按照策略ID的大小进行排列,策略ID越小,优先级越高,越先匹配报文。此时,策略之间的优先级关系不可调整。policy create-mode auto-sort enable命令用来开启安全策略自动排序功能,默认是关闭的。

如果没有匹配到安全策略,将按缺省包过滤的动作进行处理,所以在配置具体安全策略时要注意与缺省包过滤的关系。例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤,将造成那些没有匹配到安全策略的流量也会通过,就失去配置安全策略的意义了。

同样,如果安全策略中只配置了需要拒绝的流量,其他流量都是允许通过的,这时需要开放缺省包过滤才能实现需求,否则会造成所有流量都不能通过。

执行命令display this查看当前已有的安全策略,策略显示的顺序就是策略的匹配顺序,越前边的优先级越高

执行命令policy move policy-id1 { before | after } policy-id2,调整策略优先级。

UTM策略

安全策略中除了基本的包过滤功能,还可以引用IPS、AV、应用控制等UTM策略进行进一步的应用层检测。但前提是匹配到控制动作为permit的流量才能进行UTM处理,如果匹配到deny直接丢弃报文。 安全策略的应用方向

域间的Inbound和Outbound方向上都可以应用安全策略,需要根据会话的方向合理应用。因为USG是基于会话的安全策略,只对同一会话的首包检测,后续包直接按照首包的动作进行处理。所以对同一条会话来说只需要在首包的发起方向上,也就是访问发起的方向上应用安全策略。

如上图所示,Trust域的PC访问Untrust域的Server,只需要在Trust到Untrust的Outbound方向

上应用安全策略允许PC访问Server即可,对于Server回应PC的应答报文会命中首包建立的会话而允许通过。

1.4.1 Trust和Untrust域间:允许内网用户访问公网

策略一般都是优先级高的在前,优先级低的在后。

policy 1:允许源地址为10.10.10.0/24的网段的报文通过

配置Trust和Untrust域间出方向的防火墙策略。 //如果不加policy source就是指any,如果不加policy destination目的地址就是指any。

[USG5300] policy interzone trust untrust outbound [USG5300-policy-interzone-trust-untrust-outbound] policy 1

[USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit [USG5300-policy-interzone-trust-untrust-outbound-1] quit 如果是允许所有的内网地址上公网可以用以下命令:

[USG2100]firewall packet-filter default permit interzone trust untrust direction outbound //必须添加这条命令,或者firewall packet-filter default permit all,但是这样不安全。否则内网不能访问公网。

注意:由优先级高访问优先级低的区域用outbound,比如policy interzone trust untrust outbound。这时候policy source ip地址,就是指的优先级高的地址,即trust地址,destination地址就是指的untrust地址。只要是outbound,即使配置成policy interzone untrust trust outbound也会变成policy interzone trust untrust outbound。 由优先级低的区域访问优先级高的区域用inbound,比如是policy interzone untrust trust inbound,为了保持优先级高的区域在前,优先级低的区域在后,命令会自动变成policy interzone trust untrust inbound,这时候policy source ip地址,就是指的优先级低的地址,即untrust地址,destination地址就是指的优先级高的地址,即trust地址。

总结:outbount时,source地址为优先级高的地址,destination地址为优先级低的地址。

inbount时,source地址为优先级低的地址,destination地址为优先级高的地址 配置完成后可以使用display policy interzone trust untrust来查看策略。

1.4.2 DMZ和Untrust域间:从公网访问内部服务器

policy 2:允许目的地址为10.10.11.2,目的端口为21的报文通过 policy 3:允许目的地址为10.10.11.3,目的端口为8080的报文通过

配置Untrust到DMZ域间入方向的防火墙策略,即从公网访问内网服务器 只需要允许访问内网ip地址即可,不需要配置访问公网的ip地址。

address-group 3

2.10 配置策略路由

配置要求:10.10.167.0走218.201.135.177,10.10.168.0走58.57.15.53。 1、创建acl

acl number 3000

rule 1 permit ip source 10.10.167.0 0.0.0.255 acl number 3001

rule 1 permit ip source 10.10.168.0 0.0.0.255

2、创建策略路由

policy-based-route internet permit node 0 if-match acl 3000

apply ip-address next-hop 218.201.135.177 policy-based-route internet permit node 1 if-match acl 3001

apply ip-address next-hop 58.57.15.53

3、将策略路由引用到入接口(内网口) ip policy-based-route internet

4、配置默认路由,配置策略路由的时候不需要配置明细路由。 ip route-static 0.0.0.0 0.0.0.0 218.201.135.177 ip route-static 0.0.0.0 0.0.0.0 58.57.15.53

检查配置:

dis policy-based-route

2.11双线接入时的路由配置

双线接入时必须选择等价路由,配置到达相同目的地的多条路由,如果指定相同优先级,则可

实现负载分担。此时,多条路由之间称为等价路由。

load-balance flow命令用来配置IP报文逐流负载分担。主要有destination-ip ,destination-port

source-ip |,source-port 对应的截图如下。相当于等价路由。

firewall packet-filter default permit interzone local trust direction inbound //允许ping通trust,允许telnet trust接口,使能够访问trust接口,如果不加这条命令不能在防火墙上ping通trust,也不能telnet trust接口。所有的local与业务无关。

firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound

配置内部服务器

V3版本通过acl指定,v5版本通过域间策略指定。 拓扑:Internet------USG2000------WEB服务器

要求:服务器及其内网通过NAT能访问Internet,服务器80端口对外发布网页 配置: 1.NAT

acl number 2000

rule 10 permit source 192.168.0.0 0.0.0.255 nat address-group 1 218.1.1.1 218.1.1.1 firewall interzone trust untrust packet-filter 2000 outbound

nat outbound 2000 address-group 1 2.外网访问服务器

acl number 3000

rule 10 permit tcp destination 192.168.0.2 0 destination-port eq www nat server protocol tcp global 218.1.1.1 www inside 192.168.0.2 www firewall interzone trust untrust packet-filter 3000 inbound

3.配置telnet

acl number 3002

rule 10 permit ip destination 218.1.1.1 0 user-interface vty 0 4 acl 3002 inbound

当内网部署了一台服务器,其真实IP是私网地址,但是希望公网用户可以通过一个公网地址来访问该服务器,这时可以配置NAT Server,使设备将公网用户访问该公网地址的报文自动转发给内网服务器。

前提条件

已经配置USG5300的工作模式(只能为路由模式,混合模式也是可以的) ? 已经配置接口IP地址

? 已经配置接口加入安全区域

? (可选)如果使用虚拟防火墙功能,需要已经创建VPN实例,并配置接口绑定VPN实例

?

背景信息

在实际应用中,可能需要提供给外部一个访问内部主机的机会,如提供给外部一个WWW的服务器,或是一台FTP服务器。使用NAT Server可以灵活地添加内部服务器,例如,可以将内网一台真实IP为10.1.1.2的Web服务器的80端口映射为公网IP地址1.1.1.1的80端口,将一台真实IP为10.1.1.3的FTP服务器的23端口同样映射为公网IP地址1.1.1.1的23端口。

外部网络的用户访问内部服务器时,NAT Server将请求报文的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言,NAT Server还会自动将回应报文的源地址(私网地址)转换成公网地址。

说明:

当针对同一私网IP地址配置了NAT和内部服务器两个功能时,USG5300将优先根据内部服务器功能的配置进行地址转换。

操作步骤

1. 执行命令system-view,进入系统视图。 2. 选择执行以下命令之一,配置内部服务器。

对所有安全区域发布同一个公网IP,即这些安全区域的用户都可以通过访问同一个公网IP来访问内部服务器。

执行命令nat server [ id ] global global-address inside host-address [ vrrp virtual-router-id ] [ vpn-instance vpn-instance-name ],配置不指定协议类型的内部服务器。

? 执行命令nat server [ id ] protocol protocol-type global

global-address [ global-port ] inside host-address [ host-port ] [ vrrp virtual-router-id ] [ vpn-instance vpn-instance-name ],配置指定协议类型的内部服务器。

?

说明:

配置nat server protocol命令时,global-port和host-port只要有一个定义了any,则另一个要么不定义,要么是any。

? 多个不同内部服务器使用一个公有地址对外发布时,可以多次使用nat server命令对其进行配置,但是global-port不能相同。 对所有安全区域发布多个公网IP,即这些安全区域的用户都可以通过访问任意一个公网IP来访问内部服务器。 ? 执行命令nat server [ id ] global global-address inside host-address [ vrrp virtual-router-id ] no-reverse [ vpn-instance vpn-instance-name ],配置不指定协议类型的内部服务器。 ? 执行命令nat server [ id ] protocol protocol-type global

global-address [ global-port ] inside host-address [ host-port ] [ vrrp virtual-router-id ] no-reverse [ vpn-instance vpn-instance-name ],配置指定协议类型的内部服务器。

?

说明:

与发布一个公网IP地址相比,发布多个公网IP地址时多了个参数

no-reverse。配置不带no-reverse参数的nat server后,当公网用户访问服务器时,设备能将服务器的公网地址转换成私网地址;同时,当服务器主动访问公网时,设备也能将服务器的私网地址转换成公网地址。 ? 参数no-reverse表示设备只将公网地址转换成私网地址,不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行nat outbound命令,nat outbound命令引用的地址池里必需是nat server配置的公网IP地址,否则反向NAT地址与正向访问的公网IP地址不一致,会导致网络连接失败。

?

?

多次执行带参数no-reverse的nat server命令,可以为该内部服务器配置多个公网地址;未配置参数no-reverse则表示只能为该内部服务器配置一个公网地址。

当统一安全网关同时应用于双机热备组网时,如果转换后的NAT服务器地址与VRRP备份组虚拟IP地址不在同一网段,则不必配置携带vrrp关键字的nat server命令;如果转换后的NAT服务器地址与VRRP备份组的虚拟IP地址在同一网段,则需要配置相关命令,且virtual-router-ID为统一安全网关NAT服务器出接口对应的VRRP备份组的ID。

3. 执行命令firewall interzone [ vpn-instance vpn-instance-name ] zone-name1 zone-name2,进入域间视图。

4. (可选)执行命令detect protocol,配置NAT ALG功能。

在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、SQL.NET、NETBIOS、MMS等协议的会话时,需要在域间启动ALG功能。

配置举例

当一个内部服务器需要对不同网段的外部用户提供服务时,多次执行带

no-reverse参数的nat server命令,可以为一个内部服务器配置多个公网IP地址。此时,外部的不同网段用户可以通过访问不同的公网IP地址来访问此内部服务器。

如图1所示,例如服务器内部IP地址为1.1.1.1,其公网IP地址分别为2.2.2.2和3.3.3.3。

图1 配置NAT Server示意图

[USG5300] nat server protocol tcp global 2.2.2.2 ftp inside 1.1.1.1 ftp no-reverse

[USG5300] nat server protocol tcp global 3.3.3.3 ftp inside 1.1.1.1 ftp no-reverse

说明:

两次使用带no-reverse参数的nat server命令,为该内部服务器配置两个外部IP地址。

[USG5300] nat address-group 0 2.2.2.2 2.2.2.2 [USG5300] nat address-group 1 3.3.3.3 3.3.3.3

注意:

需要为不同的公网IP地址配置各自所属的不同的地址池。

[USG5300] nat-policy interzone dmz untrust outbound

[USG5300-nat-policy-interzone-dmz-untrust-outbound] policy 0

[USG5300-nat-policy-interzone-dmz-untrust-outbound-0] policy source 1.1.1.1 0

[USG5300-nat-policy-interzone-dmz-untrust-outbound-0] policy destination 2.0.0.0 mask 8

[USG5300-nat-policy-interzone-dmz-untrust-outbound-0] action source-nat

[USG5300-nat-policy-interzone-dmz-untrust-outbound-0] address-group 0 [USG5300-nat-policy-interzone-dmz-untrust-outbound-0] quit [USG5300-nat-policy-interzone-dmz-untrust-outbound] policy 1

[USG5300-nat-policy-interzone-dmz-untrust-outbound-1] policy source 1.1.1.1 0

[USG5300-nat-policy-interzone-dmz-untrust-outbound-1] policy destination 3.0.0.0 mask 8

[USG5300-nat-policy-interzone-dmz-untrust-outbound-1] action source-nat

[USG5300-nat-policy-interzone-dmz-untrust-outbound-1] address-group 1 允许内部服务器访问外部不同网段的用户群或不同的安全区域时,需要配置不同的目的地址,使该内部服务器通过不同的公网IP地址访问。

内部服务器访问2.0.0.0/24网段时,内部服务器私网的IP地址转换为地址池0中的公网IP地址2.2.2.2。内部服务器访问3.0.0.0/24网段时,内部服务器私网的地址转换成地址池1中的公网IP地址3.3.3.3。由此可以配置内部服务器与用户群之间能相互访问。

说明:

注意根据企业向运营商租用的总带宽、上网人数规划数据。

例如企业总带宽为150M,规划办公区上网的总带宽不能超过100M。上网人数为20人,此时每个人可获得的平均带宽为5M,规划每个人的最大带宽可以高于平均带宽,保证带宽则要低于平均带宽,否则无法保证最低带宽。

限制上传、下载两个方向的流量需要配置两条限流策略,上传是Trust到Untrust区域的策略,下载是Untrust到Trust区域的策略。

配置每IP限流策略时,除了可以指定每个IP的最大带宽还可以指定最低保证带宽。为使保证带宽达到效果,需要将每IP限流策略和整体限流结合使用,当某个IP获取到保证带宽后发现网络总带宽还有剩余,还可以获得剩余的带宽。 1、命令行配置方式:

配置整体限流策略,限制上网的总体最大上传/下载带宽均为100Mbps 整体上传限流:

traffic-policy enable //启用限流功能 #

car-class upload_class type shared //配置整体限流Class,名称为upload_class

connection-number 2000 //限制连接数上限为2000,一般上传不限制连接数。 car 10000 //限制最大带宽为100Mbps,单位为kbps,1Mbps=1000kbps #

//创建上传的限流策略,上传的方向是从Trust到Untrust traffic-policy interzone trust untrust outbound shared policy 0

action car //动作为限流

policy source 192.168.20.0 mask 24 //上传要指定源地址,目的地址是所有。 policy car-class upload_class //引用创建的限流class。

#

整体下载限流:

traffic-policy enable //启用限流功能 #

car-class download_class type shared car 10000 #

//创建下载的限流策略,上传的方向是从Untrust到Trust traffic-policy interzone trust untrust inbound shared policy 0

action car //动作为限流

policy destination 192.168.5.0 mask 24 //下载要指定目的地址,源地址是所有。 policy car-class download_class //引用创建的限流class。

#

配置每IP限流策略,限制每个员工的上传流量。 每个员工的最大上传/下载带宽:8Mbps/10Mbps 每个员工的上传/下载保证带宽:4Mbps #

car-class per_upload_class type per-ip

car max 8000 guaranteed 4000 //上传最大带宽8M,保证带宽4M。 car-class per_download_class type per-ip

car max 10000 guaranteed 4000 //下载最大带宽10M,保证带宽4M。

connection-number 10 //也可以设置最大连接数,一般不设置,把这条命令去掉即可。 #

traffic-policy interzone trust untrust outbound per-ip policy 0 action car

policy source 192.168.100.0 mask 24 // 因为需要限制上网员工的上传流量,所以限流对象选择“源地址”。

policy car-type source-ip policy car-class per_upload_class

traffic-policy interzone trust untrust inbound per-ip policy 0 action car

policy destination 192.168.100.0 mask 24 //为需要限制上网员工的下载流量,所以限流对象选择“目的地址”。 policy car-type destination-ip policy car-class per_download_class

car-class ip线速 type per-ip connection-number 10 car max 20 guaranteed 10 #

配置限制外网用户访问内网服务器连接数的整体限流策略。 car-class connection_class type shared

connection-number 20 //限制外网用户访问内网FTP服务器的最大连接数不能超过20个 traffic-policy interzone dmz untrust inbound shared policy 0 action car

policy destination 10.1.1.0 mask 24 //ftp服务器的ip地址 policy car-class connection_class

图形解决操作方法: 1、 启用限流功能

上传的整体限流策略:

2、

本文来源:https://www.bwwdw.com/article/anxg.html

Top