华为5500&6000v防火墙配置命令简介

最新推荐文章于 2025-03-23 21:51:20 发布
最新推荐文章于 2025-03-23 21:51:20 发布
阅读量7.3k 收藏 74
点赞数 12
文章标签: 华为 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Red_guest/article/details/129646630
版权

随笔一篇,如有错误欢迎留言指正
ensp版本:1.3.00.100

目录

5500

命令

  1.  [1/0/0] service-manage service permit:接口视图下开启对应服务
  2.  [SRG] firewall zone (name) trust / dmz / untrust / xxxx:系统视图下进入对应安全区域视图

     firewall zone name xxxx:自定义策略名字

  3.  [trust / dmz / untrust / xxxx] add int g1/0/0:区域视图下将接口加入对应安全区域
  4.  [SRG] policy interzone trust untrust outbound:系统视图下选择 源区域目的区域方向 进行配置
  5.  [SRG-policy-interzone-trust-untrust-outbound] policy 1:自定义规则序号(防火墙从上到下按照序号从小到大依次匹配规则)
  6.  [SRG-policy-interzone-trust-untrust-outbound-1] policy source 192.168.1.00.0.0.255(反掩码):添加源地址
  7.  [SRG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.2.00.0.0.255(反掩码):添加目的地址
  8.  [SRG-policy-interzone-trust-untrust-outbound-1] action permit / deny:设置动作允许/拒绝
  9.  [SRG] dis firewall session table (verbose):查看会话表五元组(协议、源地址、源端口、目的地址、目的端口)信息,加上“verbose”即查看详细信息

简例

要求:

  • trust (PC1) ——> untrust (Server1) √
  • trust (PC1) ——> untrust (PC2) ×
    在这里插入图片描述
<SRG>sy
[SRG]undo info-center enable		#关闭消息中心
Info: Information center is disabled

#配置接口IP并加入相应的安全区域
[SRG] int g0/0/1
[SRG-GigabitEthernet0/0/1] ip add 192.168.1.254 24
[SRG-GigabitEthernet0/0/1] service-manage ping permit		#开启ping服务
[SRG-GigabitEthernet0/0/1] interface GigabitEthernet0/0/2
[SRG-GigabitEthernet0/0/2] ip address 192.168.2.254 24
[SRG-GigabitEthernet0/0/2] service-manage ping permit
[SRG-GigabitEthernet0/0/2] interface GigabitEthernet0/0/3
[SRG-GigabitEthernet0/0/3] ip add 192.168.3.254 24
[SRG-GigabitEthernet0/0/2] service-manage ping permit
[SRG-GigabitEthernet0/0/3] q

[SRG] firewall zone trust		#进入trust安全区域
[SRG-zone-trust] add int g0/0/1		#将接口加入安全区域
[SRG-zone-trust] q
[SRG] firewall zone untrust 
[SRG-zone-untrust] add int g0/0/2
[SRG-zone-untrust] q
[SRG] firewall zone untrust 
[SRG-zone-untrust] add int g0/0/3
[SRG-zone-untrust] q

#配置安全策略:允许源地址为192.168.1.0网段的报文通过,拒绝目的地址为192.168.3.0网段的报文通过
[SRG] policy interzone trust untrust outbound					#添加由trust到untrust区域出方向的规则
[SRG-policy-interzone-trust-untrust-outbound] policy 1			#添加规则1(按照规则序号从小到大依次执行)
[SRG-policy-interzone-trust-untrust-outbound-1] policy destination 192.168.3.0 0.0.0.255		#添加目的地址
[SRG-policy-interzone-trust-untrust-outbound-1] action deny		#设置动作拒绝

[SRG-policy-interzone-trust-untrust-outbound] policy 2			#添加规则2(按照规则序号从小到大依次执行)
[SRG-policy-interzone-trust-untrust-outbound-2] policy source 192.168.1.0 0.0.0.255		#添加源地址
[SRG-policy-interzone-trust-untrust-outbound-2] policy destination 192.168.2.0 0.0.0.255		#添加目的地址
[SRG-policy-interzone-trust-untrust-outbound-2] action permit	#设置动作允许
[SRG-policy-interzone-trust-untrust-outbound-2] q

#检查配置
[SRG-policy-interzone-trust-untrust-outbound] dis this

#
policy interzone trust untrust outbound
 policy 1 
  action deny 
  policy destination 192.168.3.0 0.0.0.255

 policy 2 
  action permit 
  policy source 192.168.1.0 0.0.0.255
  policy destination 192.168.2.0 0.0.0.255
#
return

#ping命令验证
<PC1>ping 192.168.2.1

Ping 192.168.2.1: 32 data bytes, Press Ctrl_C to break
From 192.168.2.1: bytes=32 seq=1 ttl=254 time=62 ms
From 192.168.2.1: bytes=32 seq=2 ttl=254 time=32 ms
From 192.168.2.1: bytes=32 seq=3 ttl=254 time=32 ms
From 192.168.2.1: bytes=32 seq=4 ttl=254 time=31 ms
From 192.168.2.1: bytes=32 seq=5 ttl=254 time=15 ms

--- 192.168.2.1 ping statistics ---
  5 packet(s) transmitted
  5 packet(s) received
  0.00% packet loss
  round-trip min/avg/max = 15/34/62 ms

<PC1>ping 192.168.3.1

Ping 192.168.3.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 192.168.3.1 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

注意:华为5500防火墙安全策略的匹配是存在顺序之分的,依照从上到下逐条查找区域间存在的安全策略,如果报文命中了某一条策略,防火墙就会执行该策略的动作,并且不会再继续向下查找重复的部分,否则继续查找。所以配置策略时应遵循“先精细,后粗犷”的原则,先配置匹配范围较小,条件更精确的策略,然后再配置匹配范围大、条件宽泛的策略(和ACL匹配机制同理)。

6000V

命令

  1.  [1/0/0] service-manage service permit:接口视图下开启对应服务
  2.  [USG6000V] firewall zone (name) trust / dmz / untrust / xxxx:系统视图下进入对应安全区域视图

     firewall zone name xxxx:自定义策略名字

  3.  [trust / dmz / untrust / xxxx] add int g1/0/0:区域视图下将接口加入对应安全区域
  4.  [USG6000V] security-policy:进入安全策略视图
  5.  [USG6000V-policy-security] rule name xxxx:创建并命名规则
  6.  [USG6000V-policy-security-rule-xxxx] source-zone trust / dmz / untrust / xxxx:设置源区域
  7.  [USG6000V-policy-security-rule-xxxx] destination-zone trust / dmz / untrust / xxxx:设置目的区域
  8.  [USG6000V-policy-security-rule-xxxx] source-address 192.168.1.00.0.0.255(反掩码):设置源地址
  9.  [USG6000V-policy-security-rule-xxxx] destination-address 192.168.2.00.0.0.255(反掩码):设置目的地址
  10.  [USG6000V-policy-security-rule-xxxx] action permit / deny:设置动作允许 / 拒绝
  11.  [USG6000V-policy-security] dis firewall session table (verbose):查看会话表五元组(协议、源地址、源端口、目的地址、目的端口)信息,加上“verbose”即查看详细信息

简例

要求:

  • trust (PC1) ——> dmz √
  • trust (PC1) ——> untrust √
  • trust (PC2) ——> dmz ×
  • trust (PC2) ——> untrust ×
  • dmz ——> untrust ×
    在这里插入图片描述
<USG6000V1> sy
Enter system view, return user view with Ctrl+Z. 
[USG6000V1] sy FW		#重命名防火墙名字

[FW] undo info-center enable		#关闭消息中心
Info: Saving log files...
Info: Information center is disabled.

#对应接口配置网关,并开启接口的ping服务
[FW] int g1/0/1
[FW-GigabitEthernet1/0/1] ip add 192.168.1.254 24	
[FW-GigabitEthernet1/0/1] service-manage ping permit		#开启ping服务
[FW-GigabitEthernet1/0/1] int g1/0/2
[FW-GigabitEthernet1/0/2] ip add 192.168.2.254 24
[FW-GigabitEthernet1/0/2] service-manage p p
[FW-GigabitEthernet1/0/2] int g1/0/3
[FW-GigabitEthernet1/0/3] ip add 192.168.3.254 24
[FW-GigabitEthernet1/0/3] service-manage p p
[FW-GigabitEthernet1/0/3] int g1/0/4
[FW-GigabitEthernet1/0/4] ip add 192.168.4.254 24
[FW-GigabitEthernet1/0/4] service-manage p p
[FW-GigabitEthernet1/0/4] q

#将接口添加进对应区域
[FW] firewall zone trust			#进入trust区域添加接口
[FW-zone-trust] add int  g1/0/1		#将接口添加进区域
[FW-zone-trust] add int  g1/0/2
[FW-zone-trust] q
[FW] firewall zone dmz
[FW-zone-dmz] add int g1/0/3
[FW] firewall zone untrust 
[FW-zone-untrust] add int g1/0/4
[FW-zone-untrust] q

#配置安全策略
[FW] security-policy 		#进入策略试图
[FW-policy-security] rule name T-U		#自定义创建策略名字:Trust_to_Untrust
[FW-policy-security-rule-T-U] source-zone trust 		#设置源区域为trust区域
[FW-policy-security-rule-T-U] destination-zone untrust 		#设置目标区域为untrust区域
[FW-policy-security-rule-T-U] source-address 192.168.1.0 0.0.0.255		#设置源IP地址
[FW-policy-security-rule-T-U] destination-address 192.168.4.0 0.0.0.255		#设置目的IP地址
[FW-policy-security-rule-T-U] action p		#行为允许
[FW-policy-security-rule-T-U] q

[FW-policy-security] rule name T-D
[FW-policy-security-rule-T-D] source-zone trust 
[FW-policy-security-rule-T-D] destination-zone dmz 
[FW-policy-security-rule-T-D] source-address 192.168.1.0 0.0.0.255
[FW-policy-security-rule-T-D] destination-address 192.168.3.0 0.0.0.255
[FW-policy-security-rule-T-D] action p
[FW-policy-security-rule-T-D] q

[FW-policy-security] rule name D-U
[FW-policy-security-rule-D-U] source-zone dmz 
[FW-policy-security-rule-D-U] destination-zone untrust 
[FW-policy-security-rule-D-U] source-address 192.168.3.0 0.0.0.255
[FW-policy-security-rule-D-U] destination-address 192.168.4.0 0.0.0.255
[FW-policy-security-rule-D-U] action deny		#动作不允许
[FW-policy-security-rule-D-U] q

#检查配置
[FW-policy-security] dis this		#安全策略试图下查看当前配置

2023-03-19 00:48:48.270 
#
security-policy
 rule name T-U
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 0.0.0.255
  destination-address 192.168.4.0 0.0.0.255
  action permit
  
 rule name T-D
  source-zone trust
  destination-zone dmz
  source-address 192.168.1.0 0.0.0.255
  destination-address 192.168.3.0 0.0.0.255
  action permit
  
 rule name D-U
  source-zone dmz
  destination-zone untrust
  source-address 192.168.3.0 0.0.0.255
  destination-address 192.168.4.0 0.0.0.255
  action deny
#
return


#ping检查
<PC1> ping 192.168.3.1

Ping 192.168.3.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 192.168.3.1: bytes=32 seq=2 ttl=127 time<1 ms
From 192.168.3.1: bytes=32 seq=3 ttl=127 time=16 ms
From 192.168.3.1: bytes=32 seq=4 ttl=127 time<1 ms

--- 192.168.3.1 ping statistics ---
  4 packet(s) transmitted
  3 packet(s) received
  25.00% packet loss
  round-trip min/avg/max = 0/5/16 ms
  
  
<PC2> ping 192.168.3.1 

Ping 192.168.3.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 192.168.3.1 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

<PC3>ping 192.168.4.1

Ping 192.168.4.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 192.168.4.1 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss
PiB
关注
华为eNSP防火墙USG5500基本配置
mxiang5087的博客
12-04 3243
查询防火墙配置文件,使用命令dis cu,找到数据包过滤部分的配置,local到trust区域的数据包允许进也允许出,所以防火墙报文到各自区域都有outbound,报文都能通过。配置防火墙端口地址,并定义DMZ、Trust、Untrust区域,把接口分配到三个不同的区域,需注意Local区域没有定义,但是代表防火墙本身,192.168.0.1是防火墙自带的管理地址,10.1.1.1、10.1.30.1、20.1.1.1都是防火墙Local内的地址。修改防火墙的策略,使得DMZ区域的主机能进行ping测试。
华为防火墙配置笔记
weixin_30375247的博客
07-05 7054
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。 初始化防火墙 初始化防火墙: 默认用户名为admin,默认的密码Admin@12...
配置华为防火墙安全策略
杨奇的博客
06-24 7089
Web配置防火墙安全策略命令配置防火墙安全策略: [FW1]security-policy //配置安全策略 [FW1-policy-security]rule name trust_dmz //安全策略名称 [FW1-policy-security-rule-trust_dmz]source-zone trust //配置源区域为trust [FW1-policy-security-rule-trust_dmz]destination-zone dmz //
eNSP-在USG5500防火墙配置IPsec虚拟专用网
最新发布
2302_76629181的博客
03-23 983
华为eNSP防火墙配置网关之间的IPsec VPN以实现数据安全通信
华为防火墙配置命令手册
02-20
华为 防火墙 配置 命令 手册。正版书籍不得转送. 防火墙配置指南.pdf 系列安全产品 操作手册(V1.06).pdf 系列安全产品 Web配置手册(V1.04).pdf 系列安全产品 命令手册..pdf ....
华为USG5500防火墙配置实验一.pdf
11-18
华为USG5500防火墙配置实验一.pdf
华为防火墙 配置命令总结
彪哥.TOP的博客
11-21 1894
配置NAT-Server策略,将服务器的ftp、http服务通过将内部IP192.168.2.2.转换成10.10.10.3,给外网访问!防火墙配置安全策略(允许untrust(外网)区域访问DMZ(服务器)区域的FTP、HTTP服务)DMZ区域:允许源untrust、trust区域访问目的dmz区域。NAT-Server(仅用于服务器地址转换)配置NAPT地址池(可以设置一个或者多个)无需配置地址池,直接配置NAT策略。进接口,开启相关服务。
华为防火墙 USG6000v 配置详细版.docx
03-19
针对华为ensp模拟软件,为学习者提供USG6000v防火墙详细配置教程以及调试方法供使用者学习,更好的进行模拟实验,帮助了解防火墙配置流程以及技术要领
华为---登录USG6000V防火墙---console、web、telnet、ssh方式登录
m0_74823452的博客
12-12 2400
USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0 //将GigabitEthernet 1/0/0端口添加到信任区域。[USG6000V1-aaa-manager-user-sshuser]service-type ssh web terminal //服务类型为ssh、web、terminal。[USG6000V1-aaa-manager-user-telnetuser]service-type telnet //服务类型为telnet。
(ensp)华为USG6000v防火墙简单配置
RongChun的博客
11-05 1万+
网络拓扑图: 设置pc1地址: 设置pc2地址: 设置防火墙接口地址和开启服务 interface GigabitEthernet1/0/0 ip address 192.168.10.254 255.255.255.0 service-manage ping permit # 开放ping服务 quit interface GigabitEthernet1/0/2 ip address ...
华为ENSP实验之防火墙基础配置与安全区域配置(保姆级教程)
热门推荐
2301_77508242的博客
08-08 1万+
内容是使用华为USG6000V防火墙和Cloud以及AR2220路由器、交换机、客户机、PC机来搭建起网络安全拓扑图并对防火墙基础配置与安全区域配置进行具体分析配置
常用华为防火墙命令
12-12
常用华为防火墙命令
华为USG防火墙配置实例
03-24
USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,有效阻止Internet上的黑客入侵、DDoS攻击,阻止内网用户访问非法网站,限制带宽,为内部网络提供一个安全可靠的网络环境。
华为防火墙命令及实例
04-19
华为防火墙命令介绍,包括命令功能、参数以及具体实例,是学习华为防火墙的不错资料。
华为防火墙配置文本
10-11
防火墙配置日常配置文本,来自于实际工作总结,内容非常珍贵
华为USG5300防火墙简要命令配置手册
04-13
华为USG5300防火墙简要命令配置使用手册(含实例) 防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin@123(4分下载)
华为防火墙的基本命令
不定期分享一些自己的学习笔记
10-16 2563
安全设备:防毒墙、VPN设备、IPS、IDS、漏洞扫描、WAF(web应用防火墙)、上网行为管理等等;用web 界面访问防火墙:默认的管理地址为:192.168.0.1。tips :旧版本的防火墙需要开启web 的管理界面;显示路由表:dis ip routing-table。tips :下一代防火墙特点:应用层的包过滤;功能:包过滤防火墙(老ACL)、状态防火墙。、华为防火墙的WEb配置界面介绍。形态:软件防火墙、硬件防火墙。二层模式:透明网桥模式。
华为防火墙配置命令-trust-dmz-untrust
weixin_45986422的博客
05-12 1万+
R1配置命令 &lt;Huawei&gt;sys Enter system view, return user view with Ctrl+Z. [Huawei]undo inf enable Info: Information center is disabled. [Huawei]sys R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip add 192.168.9.195 24 [R1-GigabitEthernet0/0/0]undo sh Inf..
华为防火墙配置命令大全
Hello
05-05 7088
防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之间的屏障,它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线,其作用是防止非法用户的进入。Tips:本章内容为学习而整理,顺便分享给有需要的人,有不足的地方欢迎大家来补充!初始化防火墙默认用户名为admin,默认的密码Admin@123,这里修改密码为along@163。
华为ensp5500v防火墙配置
09-14
华为 ENSP5500V 防火墙配置可以分为以下几个步骤: 1. 登录设备:使用 SSH 或者控制台连接到 ENSP5500V 防火墙设备。 2. 进入系统视图:输入 &quot;system-view&quot; 命令,进入系统视图。 3. 配置 IP 地址:使用 &quot;interface GigabitEthernet 0/0/0&quot; 进入防火墙的接口视图,然后配置接口的 IP 地址和掩码,例如 &quot;ip address 192.168.1.1 255.255.255.0&quot;。 4. 配置安全区域:使用 &quot;security-zone trust&quot; 命令创建一个信任的安全区域,并将接口添加到该安全区域中,例如 &quot;add interface GigabitEthernet 0/0/0&quot;。 5. 配置策略:使用 &quot;firewall policy 1&quot; 命令创建一个防火墙策略,然后配置策略的源地址、目的地址、服务等信息,例如 &quot;source zone trust&quot;、&quot;destination zone untrust&quot;、&quot;service tcp source-port eq 80 destination-port eq 80&quot;。 6. 启用防火墙:使用 &quot;firewall enable&quot; 命令启用防火墙功能。 7. 保存配置:使用 &quot;save&quot; 命令保存配置,并使用 &quot;commit&quot; 命令使配置生效。 请注意,上述只是一个简单的示例配置,实际操作中可能需要根据具体需求进行更详细的配置。为了确保配置正确性和安全性,建议在进行配置之前参考设备的用户手册或者咨询华为技术支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

PiB

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值