转载来源 :华为网络工程师 | ensp中的华为防火墙设备如何能实现web登录做配置 :https://mp.weixin.qq.com/s/vpnO8bCbLjLXbiCFsBrJjQ
防火墙技术
防火墙技术,最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使Internet与Internet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。
防火墙有网络防火墙和计算机防火墙的提法。网络防火墙是指在外部网络和内部网络之间设置网络防火墙。这种防火墙又称筛选路由器。网络防火墙检测进入信息的协议、目的地址、端口(网络层)及被传输的信息形式(应用层)等,滤除不符合规定的外来信息。
华为防火墙设备
USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分,分别适合于不同环境的网络需求,其中,USG2000和USG5000系列定位于UTM(统一威胁管理)产品,USG6000系列属于下一代防火墙产品,USG9500系列属于高端防火墙产品。
1、USG2110
USG2110为华为针对中小企业及连锁机构,SOHO企业等发布的防火墙设备,其功能涵盖防火墙,UTM、Virtual Private Network(请自行看首字母,我写简写的话就被和谐了)、路由、无线等。USG2110其具有性能高、可靠性高、配置方便等特性,且价格相对较低,支持多种Virtual Private Network组网方式,为用户提供安全、灵活、便捷的一体化组网解决方案。
2、USG6600
USG6600是华为面向下一代网络环境防火墙产品,适用于大中型企业及数据中心等网络环境,具有访问控制精准、防护范围全面、安全管理简单、防护性能高等特点,可进行企业内网边界防护、互联网出口防护、云数据中心边界防护、Virtual Private Network远程互联等组网应用。
3、USG9500
USG9500系列包含USG9520、USG9560、USG9580三种系列,适用于云服务提供商、大型数据中心、大型企业园区网络等。它拥有最精准的访问控制、最实用的NGFW特性、最领先的“NP+多核+分布式”架构及最丰富的虚拟化,被称为最稳定可靠的安全网关产品,可用于大型 数据中心边界防护、广电和二级运营商网络出口安全防护、教育网出口安全防护等网络场景。
4、NGFW
NGFW,全称Next Generation Firewall,即下一代防火墙,最早由Gartner提出。NGFW更适用于新的网络环境。NGFW在功能方面不仅要具备标准的防火墙功能,如网络地址转换、状态检测、Virtual Private Network和大企业需要的功能,而且要实现IPS和防火墙真正的一体化,而不是简单地基于模块。另外,NGFW还需要具备强大的应用程序感知和应用可视化能力,基于应用策略、日志统计、安全能力与应用识别深度融合,使用更多的外部信息协助改进安全策略,如用户身份识别等。
以上就是简单的对于防火墙的一个介绍,后期会出一个技术连载来深入介绍防火墙技术,那么下面就来分享一下怎么通过web进行登录防火墙设备(ENSP模拟器)。
组网需求
如下图所示,企业购买了FW作为企业出口网关。管理员在登录FW后,首先需要对FW进行网络基础配置,包括时钟、接口IP地址、安全区域、缺省路由及缺省包过滤的配置。
配置完成后,FW能够成功接入Internet。
配置思路
- 配置FW的时钟。
- 配置FW各业务接口的IP地址。IP地址需要在配置前进行统一规划。
- 将各个业务接口加入安全区域。一般情况下,连接外网的接口加入安全级别低的安全区域(例如untrust区域),连接内网的接口加入安全级别高的安全区域(例如trust区域),服务器可以加入DMZ区域。
- 配置缺省路由,下一跳为ISP提供的接入点。
- 打开缺省包过滤,保证FW能够接入Internet。缺省情况下,缺省包过滤关闭。
说明: 一般情况下建议保持缺省包过滤关闭,然后配置具体允许哪些数据流通过的安全策略。
操作步骤
1.配置时钟,包括当前时间和时区。
- 选择“系统 > 配置 > 时钟配置”。
- 在“配置方式”中选择“手动配置时间”。
- 配置“时区”。
- 配置“日期”。
- 配置“系统时间”。
- 单击“应用”。
配置设备名称
<USG6000V1>system-view
[USG6000V1]sysname FW_A
[FW_A]quit
配置时钟,包括当前时间和时区。
<FW_A>clock datetime 20:48:00 2018-09-12
<FW_A>clock timezone BJ add 08:00:00
2、配置接口0的IP地址和安全区域。
- 选择“网络 > 接口”。
- 单击“GE1/0/0”。
- 配置接口GE1/0/0,ip为192.198.1.1/24,安全区域为trust。
- 单击“确定”。
依次配置ge/0/1的接口地址为10.1.1.1/24,trust区域,g1/0/2的接口地址为1.1.1.1/24,untrust区域
<FW_A> system-view
[FW_A] interface GigabitEthernet 1/0/0
[FW_A-GigabitEthernet1/0/0] ip address 192.168.1.1 24
[FW_A-GigabitEthernet1/0/0] quit
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] ip address 10.1.1.1 24
[FW_A-GigabitEthernet1/0/1] quit
[FW_A] interface GigabitEthernet 1/0/2
[FW_A-GigabitEthernet1/0/2] ip address 1.1.1.1 24
[FW_A-GigabitEthernet1/0/2] quit
将各个业务接口加入安全区域。
[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/0
[FW_A-zone-trust] quit
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 1/0/1
[FW_A-zone-dmz] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/2
[FW_A-zone-untrust] quit
3.配置缺省路由
[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
4.打开缺省包过滤,保证FW能够接入Internet。
说明: 一般情况下建议保持缺省包过滤关闭,然后配置具体允许哪些数据流通
过的安全策略。
- 选择“策略 > 安全策略”。
- 修改default安全策略的动作为允许。
- 单击“确定”。
[FW_A] security-policy
[FW_A-policy-security] default action permit
注意事项:使用火狐浏览器打开https://192.168.0.1:8443,输入用户名admin密码Admin@123登录,登录之后,修改密码。