华为设备防火墙配置实验（一）----无安全策略配置

阿鹏别摆烂

已于 2024-10-17 14:36:33 修改

阅读量1.9k

点赞数 14

文章标签：网络

于 2024-01-24 15:12:20 首次发布

本文链接：https://blog.csdn.net/m0_64402992/article/details/135800756

版权

本文详细介绍了如何在华为模拟器中配置防火墙，包括初始账户密码修改、接口IP规划、子接口的创建与配置，以及通过Web界面和命令行进行安全设置的过程。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、实验拓扑图如下

二、实验分析

1、小知识

华为模拟器的防火墙

初始账户为：admin

初始密码为：Admin@123

第一次登录需要我们修改密码

其次：华为模拟器防火墙g0/0/0默认的初始IP为

192.168.0.1

2.配置规划

由图可知我们只需要将防火墙的三个接口充当网关，其中GE1/0/0接口需要用到子接口划分技术，现将个接口IP规划如下：

GE0/0/0接口：172.172.0.1 /24

GE1/0/1接口：10.0.3.1 /24

GE1/0/0.2接口：10.0.2.1 /24

GE1/0/0.1接口：10.0.1.1 /24

三、实验配置

1、在Cloud1上配置

1、配置流程截图及解析

2、防火墙g0/0/0接口配置

Username:admin //用户名admin
Password: Admin@123       //输入初始密码Admin@123  
The password needs to be changed. Change now? [Y/N]: y  //选择修改密码
Please enter old password:  Admin@123   //输入初始密码Admin@123 
Please enter new password: Admin@1234  //输入新密码Admin@1234 ，新密码根据自己需求设定
Please confirm new password: Admin@1234  //确认新密码Admin@1234
<USG6000V1>sys  //进入特权模式
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g0/0/0 //进入g0/0/0接口
[USG6000V1-GigabitEthernet0/0/0]ip address 172.172.0.1 24 //将该端口IP设置为172.172.0.1
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit  //设置允许所有协议方便Web界面进行配置

2、在防火墙上Web界面使用

1.在浏览器输入你给防火墙设置的IP进行登录，端口为8443

因为我给g0/0/0接口配置IP为172.172.0.1所以我在浏览器输入

https://172.172.0.1:8443进行登录，自己可根据实际情况修改

防火墙暂时停留在这个页面我们按顺时针方向完成剩余区域设备配置

3、在DMZ区域配置

1、在server1上配置

2、在server2上配置

3、在防火墙上g1/0/1接口配置

由实验拓扑图可知防火墙与DMZ区域相连的接口为GigabitEthernet1/0/0接口

我们只需要将将防火墙该接口配置设置为DMZ区域网关并开通ping的权限即可实现DMZ区域ping通网关。

配置防火墙接口配置IP的两种方式

方法一：登录Web界面进行配置--接上述防火墙配置

4、在生产区配置

方法二：根据给定的网段和要求配置IP地址即可

[USG6000V1]int g1/0/1 //进入g1/0/1接口
[USG6000V1-GigabitEthernet1/0/1]ip address 10.0.3.1 24 //配置接口IP
[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit  //下放ping权限

1.PC1上配置

2.Client1上配置

3.LSW5上G0/0/2接口配置

<Huawei>sys //进入特权模式
[Huawei]vlan 10  //创建vlan 10
[Huawei-vlan10]qu //退出
[Huawei]int g0/0/2 //进入go/0/2接口
[Huawei-GigabitEthernet0/0/2]port link-type access //设置该接口模式为access模式
[Huawei-GigabitEthernet0/0/2]port default vlan 10 //将该接口划分给vlan 10

5、在办公区上面配置

1.PC2上配置

2.Client2上配置

3.LSW5上G0/0/3接口配置

<Huawei>sys //进入特权模式
[Huawei]vlan 20  //创建vlan 20
[Huawei-vlan10]qu //退出
[Huawei]int g0/0/3 //进入go/0/3接口
[Huawei-GigabitEthernet0/0/2]port link-type access  //设置该接口模式为access模式
[Huawei-GigabitEthernet0/0/3]port default vlan 20 //将该接口划分给vlan 20

4.LSW5上G0/0/1接口配置

<Huawei>sys //进入特权模式
[Huawei]int g0/0/1 //进入go/0/1接口
[Huawei-GigabitEthernet0/0/1]port link-type trunk //设置该接口模式为trunk模式
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 10 //设置该接口允许vlan 10数据通过
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 20 //设置该接口允许vlan 20数据通过

有人会认为既然设置了trunk模式为什么不直接敲下面这个命令允许所有vlan通过，还少敲一条命令，你要知道我们是配置防火墙是为了安全一切都是以安全为前提。设置成all就会导致任何一个vlan的数据都可以通过增大了安全隐患。
[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan all  //设置该接口允许所有vlan数据通过

6、防火墙子接口配置两种方式以及区域的创建

1.防火墙区域的创建

同样的方式创建办公区

2.通过Web界面配置防火墙子接口

（1）创建子接口GE1/0/0.1

（2）创建子接口GE1/0/0.2

3.通过命令行配置防火墙子接口

（1）创建子接口GE1/0/0.1

<USG6000V1>sys  //进入特权模式
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g1/0/0.1 //创建子接口g1/0/0.1
[USG6000V1-GigabitEthernet1/0/0.1]ip address 10.0.1.1 255.255.255.0 //配置子接口IP地址
[USG6000V1-GigabitEthernet1/0/0.1]vlan-type dot1q  10  //接口绑定vlan设置允许vlan 10数据通过
[USG6000V1-GigabitEthernet1/0/0.1] service-manage ping permit //给予ping权限

（2）创建子接口GE1/0/0.2

<USG6000V1>sys  //进入特权模式
Enter system view, return user view with Ctrl+Z.
[USG6000V1]int g1/0/0.2 //创建子接口g1/0/0.2
[USG6000V1-GigabitEthernet1/0/0.2]ip address 10.0.2.1 255.255.255.0 //配置子接口IP地址
[USG6000V1-GigabitEthernet1/0/0.2]vlan-type dot1q  20  //接口绑定vlan设置允许vlan 20数据通过
[USG6000V1-GigabitEthernet1/0/0.2] service-manage ping permit //给予ping权限