一,防火墙介绍:
1、USG2110:USG2110是华为针对中⼩企业及连锁机构、SOHO企业等发布的
防⽕墙设备,其功能涵盖防⽕墙、UTM、VPN、路由、⽆线等。USG2110其具有
性能⾼、可靠性⾼、配置⽅便等特性,⽽且价格相⽐较低,⽀持多种VPN组⽹⽅
式。
2、USG6600:是华为⾯向下⼀代⽹络环境防⽕墙产品适⽤于⼤中型企业及数据
中⼼等⽹络环境,具有访问控制精准、防护范围全⾯、安全管理简单、防护性能
⾼等特点,可进⾏企业⽹边界防护、互联⽹出⼝防护、云数据中⼼边界防护、
VPN远程互联等组⽹应⽤。
3、USG9500:适⽤于云服务提供商、⼤型数据中⼼、⼤型企业园区⽹络等。它
拥有最精准的访问控制、最实⽤的NGFW特性,最领先的“NP+多核+分布式”构架
及最丰富的虚拟化,被称为最稳定可靠的安全⽹关产品,可⽤于⼤型数据中⼼边
界防护、⼴电和⼆级运营商⽹络出⼝安全防护、教育⽹出⼝安全防护等⽹络场
景。
NGFW:全称就是下⼀代防⽕墙,NGFW更适⽤于新的⽹络环境。NGFW在功能
⽅⾯不仅要具备标准的防⽕墙功能,如⽹络地址转换、状态检测、VPN和⼤企业
需要的功能,⽽且要实现IPS(Invasion 防御系统)和防⽕墙真正的⼀体化,⽽不
是简单的基于模块。另外,NGFW还需要具备强⼤的应⽤程序感知和应⽤可视化
能⼒,基于应⽤策略、⽇志统计、安全能⼒与应⽤深度融合,使⽤更多的外部信
息协助改进安全策略,如身份识别等。
传统防⽕墙与NGFW防⽕墙的区别:传统的防⽕墙只能基于时间、IP和端⼝进⾏
感知,⽽NGFW防⽕墙基于六个维度进⾏管控和防护,分别是应⽤、⽤户、内
容、时间、威胁、位置。其中:
基于应⽤:运⽤多种⼿段精确识别web应⽤内超过6000以上的应⽤层协议及其附
属功能,从⽽进⾏精准的访问控制和业务加速。其中也包含移动应⽤,如可以通
过防⽕墙区分微信流量中的语⾳和⽂字,进⽽实现不同的控制策略。
基于⽤户:借助于AD活动⽬录、⽬录服务器或AAA服务器等,基于⽤户进⾏访问
控制、QoS管理和深度防护。
基于位置:结合全球位置信息,智能识别流量的发起位置,从⽽获取应⽤和***的
发起位置。其根据位置信息实现对不同区域访问流量的差异化控制,同时⽀持根
据IP信息⾃定义位置。在实际应⽤中,应⽤可能使⽤任意端⼝,⽽传统防⽕墙⽆
法根据端⼝识别和控制应⽤。NGFW的进步在于更精细的访问控制。其最佳使⽤
原则为基于应⽤+⽩名单控制+最⼩授权。
二,登录防火墙
- 拉防火墙
2.开启防⽕墙时会提示导⼊设备包,点击【浏览】
3.选择环境中的【vfw_usg.vdi】,点击【打开】
4.点击【导⼊】
5.然后开启防⽕墙,双击进⼊,等待输⼊密码。
6.输⼊两次相同的密码(我这⾥使⽤的是admin@123),然后会进⼊防⽕墙界⾯
7.查看接⼝的IP地址,G0/0/0⼝默认带⼀个管理IP,⽤来进⾏Web界⾯的登录管理
8.将VMware的虚拟⽹络编辑器的VMnet1的⽹段设置成与防⽕墙管理地址相同⽹
段,便于登录管理。
10.配置⽹云,连接防⽕墙和VMnet1
11.查看连接VMnet1的Kali机的IP地址是否与防⽕墙同⽹段,然后测试是否能够ping
通。
12.打开⽕狐浏览器
13.在地址栏输⼊【https://192.168.0.18443】,然后点击【advanced】,
【Accept the Risk and Continue】
14.进⼊到防⽕墙登录界⾯,输⼊默认⽤户名【admin】和密码【Admin@123】
15.提示修改密码,我们这⾥把默认密码【Admin@123】修改为【admin@123】
16.然后在登录界⾯输⼊刚才设置的密码,点击【登录】
17.成功进⼊防⽕墙的Web的管理界⾯