华为防火墙usg6000配置透明模式

实验八 防火墙透明模式配置

适用于河南中医学院信息技术学院网络安全实验室

一、实验目的

1、了解什么是透明模式；

2、了解如何配置防火墙的透明模式； 二、应用环境

透明模式相当于防火墙工作于透明网桥模式。防火墙进行防范的各个区域均位于同 一网段。在实际应用网络中，这是对网络变动最少的介入方法，广泛用于大量原有网络的 安全升级中。

三、实验设备

(1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条 (4) PC机3台

四、实验拓扑

五、实验步骤

第一步：搭建WebUI配置环境

除使用 CLI 进行配置以外，神州数码安全网关还提供WebUI 界面，使用户能够更简便与直观地对设备进行管理与配置。安全网关的 ethernet0/0 接口配有默认IP 地址192.168.1.1/24，并且该接口的各种管理功能均为开启状态。初次使用安全网关时，用户可以通过该接口访问安全网关的WebUI 页面。请按照以下步骤搭建WebUI 配置环境：

1. 将管理 PC 的IP 地址设置为与192.168.1.1/24 同网段的IP 地址，并且用网线将管理PC与安全网关的ethernet0/0 接口进行连接。

2. 在管理 PC 的Web 浏览器中访问

华为USG2100 防火墙配置文档

Secoway USG2100

配置指南 系统管理分册 目 录

目 录

1 配置基础.......................................................................................................................................1-1

1.1 搭建配置环境..............................................................................................................................................1-2

1.1.1 简介....................................................................................................................................................1-2

1.1.2 通过Console口搭建

实验 V3防火墙透明模式（二层模式）

一、 实验目的

了解并熟悉H3C Secpath V3防火墙的两种二层模式配置

二、 场景描述

用户在内网有两个网段，在交换机上划分了两个VLAN，在路由器上设置单臂路由，内网用户DHCP获取IP地址，DHCP服务器为MSR路由器。为了安全，用户现在在内网交换机和路由器之间增加了一个F1000-S防火墙，为了不改变网络架构，用户要求将防火墙配置成二层模式。

三、拓扑图

四、配置步骤

基本配置

1. 基本配置：设备命名，先不将防火墙加入网络，保证内网运行正常 2. 将防火墙加入到网络中，进行防火墙的基本配置 3. 将防火墙转换成二层模式，保证内网运行正常

防火墙的配置： 一、基本配置：

1、设备命名，防火墙数据放通，接口加入区域 system sys F1000-S

firewall packet-filter enable //开通防火墙的包过滤功能 firewall packet-filter default permit //包过滤的默认规则为permit firewall zone trust //内网口加入trust

华为USG防火墙运维命令大全

1查会话

使用场合

针对可以建会话的报文，可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍（命令类）

display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法（工具类）

首先确定该五元组是否建会话，对于TCP/

.. . . ..

学习参考华为USG防火墙运维命令大全

1查会话

使用场合

针对可以建会话的报文，可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。

命令介绍（命令类）

display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ]

使用方法（工具类）

首先确定该五元组是否建会话，

<USG> system-view
[USG] interface GigabitEthernet 0/0/0
[USG-Ethernet1/0/0] portswitch
[USG-Ethernet1/0/0] port access vlan 200
[USG-Ethernet1/0/0] quit
[USG] interface Vlanif 200
[USG-Vlanif200] ip address 10.1.1.1 24
[USG-Vlanif200] quit
[USG] firewall zone trust
[USG-zone-trust] add interface Vlanif 200


[USG] policy interzone trust local inbound
[USG-policy-interzone-local-trust-inbound] policy 1
[USG-policy-interzone-local-trust-inbound-1] policy source 10.1.1.2 0
[USG-policy-interzone-local-trust-inbound-1] action permit
[USG-

文档名称 文档密级

防火墙透明模式下做双向NAT典型配置

一、组网需求

如下图所示：某市银行通过外联路由器连接国税，地税等外联单位，通过骨干路由器连 接银行骨干网。为了保证内网的安全，在外联单位和内网之间部署了一台USG防火墙，通过严格的规则限制内网和外联单位之间的互相访问。

具体需求如下：

? 防火墙采用透明模式接入，不影响原有的网络结构和地址规划。G0/0/0连接内网核心交

换，TRUST区域，G0/0/1连接外联路由器，UNTRUST区域。 ? 业务访问需求：外联单位只能够访问内网的业务前置机的特定端口。内网的业务前置机

和某些终端可以访问外联单位的业务主机。 ? 对外联单位发布一个业务前置机的虚地址，对内网用户发布一个外联单位业务主机的虚

地址。

? 外联单位业务主机只允许固定的某个地址可以访问。

? 为了保证内网安全，不能在内网的核心三层交换机上配置到到外联单位的路由。 ? 为了保证路由器性能，外联路由器只做路由转发，通过防火墙做NAT策略。

二、IP地址，NAT地址规划：

2013-4-11

华赛机密，未经许可不得扩散

第1页, 共6页

文档名称 文档密级

项目 数据 接口编号：G/0/0/0 接口编号：G

华为防火墙配置用户手册

防火墙默认的管理接口为g0/0/0，默认的ip地址为192.168.0.1/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin@123

一、 配置案例

1.1 拓扑图

GE 0/0/1：10.10.10.1/24 GE 0/0/2：220.10.10.16/24 GE 0/0/3：10.10.11.1/24

WWW服务器：10.10.11.2/24（DMZ区域） FTP服务器：10.10.11.3/24（DMZ区域）

1.2 Telnet配置

配置VTY 的优先级为3，基于密码验证。 # 进入系统视图。

system-view # 进入用户界面视图

[USG5300] user-interface vty 0 4

# 设置用户界面能够访问的命令级别为level 3 [USG5300-ui-vty0-4] user privilege level 3 配置Password验证

# 配置验证方式为Password验证

[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian

[USG5300-ui

华为USG2000防火墙恢复出厂设置密码

通过console口联接设备到台式电脑或笔记本电脑上具体设置如下：

通过Console口进行本地登录简介

通过交换机Console口进行本地登录是登录交换机的最基本的方式，也是配置通过其他方式登录交换机的基础。缺省情况下，S2000-MI系列以太网交换机只能通过Console口进行本地登录。 交换机Console口的缺省配置如下。

表2-1 交换机Console口缺省配置 属性 传输速率 流控方式 校验方式 停止位 数据位 9600bit/s 不进行流控 不进行校验 1 8 缺省配置

用户终端的通信参数配置要和交换机Console口的配置保持一致，才能通过Console口登录到以太网交换机上。

用户登录到交换机上后，可以对AUX用户界面进行相关的配置，请参见2.3 配置Console口登录方式的属性。

通过Console口登录交换机

第一步：如图2-1所示，建立本地配置环境，只需将PC机（或终端）的串口通过配置电缆与以太网交换机的Console口连接。

图2-1 通过Console口搭建本地配置环境

第二步：在PC机上运行终端仿真程序（如Windows 3.X的Terminal或Wind

防火墙双机热备配置及组网指导 内部公开

防火墙双机热备配置及组网指导

防火墙双机热备，主要是提供冗余备份的功能，在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式，分路由模式下的双机热备组网和透明模式下的双机热备组网，下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。

1 1：防火墙双机热备命令行说明

防火墙的双机热备的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置，防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整，下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。

1.1 1.1 HRP命令行配置说明

HRP是华为的冗余备份协议， Eudemon 防火墙使用此协议进行备份组网，达到链路状态备份的目的，从而保证在设备发生故障的时候业务正常。

HRP协议是华为自己开发的协议，主要是在VGMP协议的基础上进行扩展得到的；VGMP是华为的私有协议，主要是用来管理VRRP的，VGMP也是华为的私有协议，是在VRRP的基础上进行扩展得到的。不管是VGMP的报文，还是HRP的报文，都是VRRP的报文，只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文，