华为防火墙基础操作

一、交代背景
做过一段时间的售后实施,发现防火墙设备上架真的很简单,但是对于没有入门的人来说也会有一定的不理解,初次上线我到底该做什么呢?

这个也是我当初开始做的时候的问题,当然了,初始都是利用web界面去操作,但是界面上面那么多的内容,哪些是我该做的呢?

某年某月的有一天,我信心满满的web界面一顿操作,然后客户来了,说我不喜欢web,你给我看配置,这就尴尬了,配置我不会,只知道点点点,怎么杜绝这种现象呢?这还用想吗——肯定是把命令行看懂了啊!

所以,就有了这篇文章,本文对上面三个问题进行解答。

二、解答——初次上线做哪些操作?
记住这一句心法:接口ip-划区域-策略any-NAT配置(路由指向)

解释下

1、接口IP

上线时候通常不会有太过复杂的配置,这时候的工程师一般只是进行简单操作,接入网络就可以。

接口IP不用说,一般使用路由模式,必须接口配置IP,根据分配的IP来就可以。

2、划区域

华为防火墙有四个区域,local(100),trust(85),untrust(5),DMZ(50),每个区域默认值大小不一样,大的比较安全级别高。(设备内部0-100之间)

// 说明:华为防火墙内部默认区域不能被删除,不能被修改。

firewall zone trust
set priority 85

firewall zone untrust
set priority 5

3、策略any

这个什么意义?

是这样的,华为防火墙内部有一条默认拒绝的安全策略,表示区域之间的互访被静止,防火墙上线以后,代表已经接入现有网络,所以需要调整下策略,改为permit,允许所有。(这时候不用考虑太多,初始这样配置必然没有问题,后期再进行优化)

上面说了一通,你是不是想怼——群主,你到是告诉怎么做啊?别急,继续看下面。

三、解答——web界面哪些是你该做的

3.1 怎么登陆web界面
华为防火墙提供两个缺省帐号:

  • 系统管理员帐号:帐号/密码为admin/Admin@123,首次登录时可以使用该帐号通过Console或Web界面登录设备;并且可以配置使用该帐号进行Telnet/SSH登录。

  • 审计管理员帐号:帐号/密码为audit-admin/Admin@123,该帐号是配置审计策略和查看审计日志的专用帐号。

来个拓扑配合:
在这里插入图片描述

(1)
第一步:浏览器登录 https://192.168.0.1:8443 (缺省状态下WEB登录地址)

进入防火墙WEB配置界面。
在这里插入图片描述
(2)内外网接口配置
在这里插入图片描述

(3)策略放行

在这里插入图片描述

(4)NAT:一般是源NAT
在这里插入图片描述

(5)路由

在网络-接口下面点击配置,此处省略

(6)检测接口

在这里插入图片描述

四、解答——命令行怎么装逼
在这里插入图片描述

(1)配置IP

system-view //进入管理视图
[USG6000V1]sysname FW1 //修改防火墙的设备名称
[FW1]info-center disable//关闭信息提示
[FW1]interface GigabitEthernet 1/0/1 //进入接口配置(其余接口省略配置)
[FW1-GigabitEthernet1/0/1]ip address 10.1.1.1 24 //配置IP和掩码
[FW1-GigabitEthernet1/0/1]service-manager ping permit //允许ping
[FW1-GigabitEthernet1/0/1]quit //退出接口配置
(2)划分区域
[FW1]firewall zone trust //进入安全域配置
[FW1-zone-trust]add interface GigabitEthernet1/0/1 //接口加入安全域
[FW1-zone-trust]quit //退出安全域配置

[FW1]firewall zone untrust
[FW1-zone-trust]add interface GigabitEthernet1/0/2
[FW1-zone-trust]quit

[FW1]firewall zone DMZ

(3)一条策略默认放行
[FW1]security-policy
[FW1-policy-security]default action permit
(4)NAPT
配置NAT地址池,配置时开启允许端口地址转换,实现公网地址复用
[FW1]nat address-group group1
[FW1-address-group-group1]mode pat
[FW1-address-group-group1]section 0 1.1.1.10 1.1.1.20
[FW1-address-group-group1]route enable
配置源NAT策略,实现私网指定网段访问Internet时自动进行源地址转换。
[FW1]nat-policy
[FW1–policy-nat]rule name policy_nat1
[FW1-policy-nat-rule-policy_nat1] source-zone trust
[FW1-policy-nat-rule-policy_nat1] destination-zone untrust
[FW1-policy-nat-rule-policy_nat1] source-address 10.1.1.0 24
[FW1-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[FW1-policy-nat-rule-policy_nat1] quit
[FW1-policy-nat] quit
(5)路由
[FW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值