一、配置安全策略
配置网络(保证网络连通性)
第一步、系统视图下配置
<USG6500>dis ver
2018-05-26 12:34:56.580
Huawei Versatile Routing Platform Software
VRP (R) Software, Version 5.170 (USG6500 V500R001C60SPC300)
Copyright (C) 2014-2017 Huawei Technologies Co., Ltd.
USG6530 uptime is 0 week, 0 day, 0 hour, 10 minutes
license active 激活指定的license文件
display license 查看license的信息
system-view
info-center enable #开启日志中心
info-center loghost 192.168.1.10 #配置日志服务器IP地址和发送日志信息的源接口
info-center loghost source GE0/0/1
第二步、配置接口地址
interface g0/0/1 #进入G0/0/1接口
ip add 192.168.10.1 24 #配置接口地址
service-manage enable #开启管理功能
service-manage https permit #允许https管理功能(控制管理协议的策略优先)
undo shutdown #激活该接口
portswitch #切换至二层以太网接口模式
quit #退出接口视图
web-manager security enable port 2000 #启动web管理功能(有security支持https,没有支持http)
aaa
manager-user admin #配置web用户
password cipher admin@123
service-type web
level 3
manager-user ftptest
service-type ftp
password cipher ftp@1234
level 3
ftp-directory hda1:/
用户(192.168.40.1:(none)): ftptest
331 Password required for ftptest.
密码:ftp@1234
230 User logged in.
ftp> get vrpcfg.zip
200 Port command okay.
150 Opening ASCII mode data connection for directory list.
226 Transfer complete.
ftp: 收到 5966 字节,用时 0.05秒 112.57千字节/秒。
ftp> lcd
目前的本地目录 C:\Users\Administrator。
第三步、将接口加入区域
firewall zone office #创建安全区域
set priority 80 #设置安全级别
add interface g0/0/1 #将接口添加至安全区域
display zone 查看区域
display firewall packet-filter default all 查看默认区域之间的转发策略
第四步、修改默认策略
ip route-static 0.0.0.0 0.0.0.0 123.121.1.1
第五步、使用策略,精确控制
firewall packet-filter default permit interzone trust dmz direction outbound 放行trust到DMZ区域的所有流量
位置越靠前的安全策略规则,优先级越高
firewall interzone trust dmz
detect ftp 针对多通道的服务要开启应用层检测,将该服务的流量放行
policy interzone trust dmz outbound 制定从trust触发到dmz的精确流量策略,默认是拒绝所有
security-policy #进入安全视图
rule name 1 #创建安全规则名称
source-zone office #配置源安全区域
destination-zone local #目的安全区域
source-address 192.168.1.0 mask 255.255.255.0 #配置安全策略规则的源地址
action permit 动作
0.255.0.255 反掩码 #表示A和C段进行掩码匹配,B和D段忽略
rule move 3 before rule 1 #调整策略
quit
time-range week
absolute-range 8:00:00 2018/05/07 to 8:00:00 2019/05/07 设置绝对时间段
period-range 8:00:00 to 17:30:00 daily 设置周期时间段
hh:mm:ss #from某时间to某时间
YYYY/MM/DD #from某日期to某日期
Daily #一星期中的每天
off-day #休息日(周六、日)
working-day #工作日(星期一至星期五)
display policy interzone trust dmz outbound
firewall defend syn-flood enable 开启syn-flood***防范功能
firewall defend tcp-illegal-session enable
firewall defend port-scan-flood enable
firewall defend udp-flood enable
firewall defend icmp-flood enable
firewall defend arp-flood enable
firewall defend syn-flood enable
snmp-agent sys-info version v2c #设置SNMP版本号V2C
snmp-agent community read cipher public #设置SNMP只读团体字public
snmp-agent community write cipher admin #设置SNMP读写团体字admin
snmp-agent trap enable #开启SNMP trap功能
snmp-agent target-host trap address udp-domain 192.168.1.1 params securityname cipher hello@123 v2c #设置SNMP trap服务器
配置管理设备主动向网管服务器发送告警,如果不配置SNMP trap,SNMP网管服务将只是周期性向被管理设备发送各种查询报文,设备返回查询数据
user-interface console 0
ide-outtime 0 10 超时
user-interface vty 0 4
set authentication password cipher admin@123 #密码验证,仅仅使用密码验证
authentication-mode aaa #AAA验证,使用用户名密码验证
protocol inbound all #允许所有协议连接
默认策略任何流量全部阻止(包括抵达local和local发起的),但是接口下的控制管理协议的策略优先
Console口登录是最安全的方法,也是当设备无法启动(无法连接网络时唯一——一种登录设备进行故障修复的方法)
一键升级系统软件
1、查看系统设备的存储空间是否满足
2、系统软件必须以“.bin”为后缀,不支持中文
3、设置为下次启动系统软件,并重启系统
display firewall esn #唯一标识设备的数字序列号,申请license文件时需要提供设备esn信息
display firewall session table 查看会话表信息
display firewall session table verbose 查看会话表详细信息
display firewall statistic system discard
reset firewall session table #清除系统当前会话表项
配置文件类型
current-configuration:配置当前生效,存储在内存中,重启丢失
saved-configuration:下次上电启动时所用的配置文件,存储在Flash或者CF卡,重启不丢失
清除配置文件
1、命令模式:reset saved-configuration #重启
2、Web模式:系统——>配置文件管理——>恢复出厂配置——>点击
3、硬件reset按钮:先按住reset按钮——>设备上电打开电源开关——>指示灯以2次/秒的频率闪烁——>松开reset
4、设备已经正常启动:按住reset超过10s,松开
转载于:https://blog.51cto.com/maguangjie/1768176