一、交代背景
做过一段时间的售后实施,发现防火墙设备上架真的很简单,但是对于没有入门的人来说也会有一定的不理解,初次上线我到底该做什么呢?
这个也是我当初开始做的时候的问题,当然了,初始都是利用web界面去操作,但是界面上面那么多的内容,哪些是我该做的呢?
某年某月的有一天,我信心满满的web界面一顿操作,然后客户来了,说我不喜欢web,你给我看配置,这就尴尬了,配置我不会,只知道点点点,怎么杜绝这种现象呢?这还用想吗——肯定是把命令行看懂了啊!
所以,就有了这篇文章,本文对上面三个问题进行解答。
二、解答——初次上线做哪些操作?
记住这一句心法:接口ip-划区域-策略any-NAT配置(路由指向)
解释下
1、接口IP
上线时候通常不会有太过复杂的配置,这时候的工程师一般只是进行简单操作,接入网络就可以。
接口IP不用说,一般使用路由模式,必须接口配置IP,根据分配的IP来就可以。
2、划区域
华为防火墙有四个区域,local(100),trust(85),untrust(5),DMZ(50),每个区域默认值大小不一样,大的比较安全级别高。(设备内部0-100之间)
// 说明:华为防火墙内部默认区域不能被删除,不能被修改。
firewall zone trust
set priority 85
firewall zone untrust
set priority 5
…
3、策略any
这个什么意义?
是这样的,华为防火墙内部有一条默认拒绝的安全策略,表示区域之间的互访被静止,防火墙上线以后,代表已经接入现有网络,所以需要调整下策略,改为permit,允许所有。(这时候不用考虑太多,初始这样配置必然没有问题,后期再进行优化)
上面说了一通,你是不是想怼——群主,你到是告诉怎么做啊?别急,继续看下面。
三、解答——web界面哪些是你该做的
3.1 怎么登陆web界面
华为防火墙提供两个缺省帐号:
-
系统管理员帐号:帐号/密码为admin/Admin@123,首次登录时可以使用该帐号通过Console或Web界面登录设备;并且可以配置使用该帐号进行Telnet/SSH登录。
-
审计管理员帐号:帐号/密码为audit-admin/Admin@123,该帐号是配置审计策略和查看审计日志的专用帐号。
来个拓扑配合:
(1)
第一步:浏览器登录 https://192.168.0.1:8443 (缺省状态下WEB登录地址)
进入防火墙WEB配置界面。
(2)内外网接口配置
(3)策略放行
(4)NAT:一般是源NAT
(5)路由
在网络-接口下面点击配置,此处省略
(6)检测接口
四、解答——命令行怎么装逼
(1)配置IP
system-view //进入管理视图
[USG6000V1]sysname FW1 //修改防火墙的设备名称
[FW1]info-center disable//关闭信息提示
[FW1]interface GigabitEthernet 1/0/1 //进入接口配置(其余接口省略配置)
[FW1-GigabitEthernet1/0/1]ip address 10.1.1.1 24 //配置IP和掩码
[FW1-GigabitEthernet1/0/1]service-manager ping permit //允许ping
[FW1-GigabitEthernet1/0/1]quit //退出接口配置
(2)划分区域
[FW1]firewall zone trust //进入安全域配置
[FW1-zone-trust]add interface GigabitEthernet1/0/1 //接口加入安全域
[FW1-zone-trust]quit //退出安全域配置
[FW1]firewall zone untrust
[FW1-zone-trust]add interface GigabitEthernet1/0/2
[FW1-zone-trust]quit
[FW1]firewall zone DMZ
…
(3)一条策略默认放行
[FW1]security-policy
[FW1-policy-security]default action permit
(4)NAPT
配置NAT地址池,配置时开启允许端口地址转换,实现公网地址复用
[FW1]nat address-group group1
[FW1-address-group-group1]mode pat
[FW1-address-group-group1]section 0 1.1.1.10 1.1.1.20
[FW1-address-group-group1]route enable
配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
[FW1]nat-policy
[FW1–policy-nat]rule name policy_nat1
[FW1-policy-nat-rule-policy_nat1] source-zone trust
[FW1-policy-nat-rule-policy_nat1] destination-zone untrust
[FW1-policy-nat-rule-policy_nat1] source-address 10.1.1.0 24
[FW1-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[FW1-policy-nat-rule-policy_nat1] quit
[FW1-policy-nat] quit
(5)路由
[FW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.254