防火墙的初始化以及基础配置介绍

前言

 博主这次用的真机是USG6307E（在模拟器不支持的功能下使用），尽量还是用模拟器给搭建讲解与演示，方便大家跟着一起学习。（在学习防火墙的内容建议大家有一定的路由交换基础，更容易理解）本次课程还是以命令行为主，WEB为辅，结合工作中常见的组网案例以及会遇到的问题进行讲解，让大家在学习完后对华为防火墙的应用有一个很大的提升。

 防火墙第一次登录

全新的设备登录方式两种

（1）直接把电脑的网线接MGMT或者0号口（有MGMT的为管理口，没有写的0号口就是管理口），用192.168.0.1登录，默认账号admin 密码 Admin@123（记得把电脑设置成192.168.0.X）

（2）console线登录，默认账号密码跟WEB一样

（3）不管是WEB还是console第一次登录都要求修改密码，

（4）模拟器是必须进入命令行开启管理功能才能进WEB，所以console改了后就不需要修改了。

WEB方式登录

1、电脑设置成192.168.0.X接在MGMT或者0号口，浏览器输入192.168.0.1或者https://192.168.0.1:8443

2、输入账号admin

3、密码Admin@123

1、输入老密码Admin@123

2、输入新密码

3、再次确认新密码

熟悉防火墙的6个操作选项对应的功能

1、面板：主要查看防火墙的状态、日志、接口流量信息等，一个整体防火墙的状态显示

2、监控：排错与维护专用，里面包含了各种日志信息、终端会话信息等。

3、策略：常见的安全策略、NAT策略、QOS策略都是在这里配置

4、对象：主要针对地址、域名、应用、认证用户等信息的配置

5、网络：接口IP地址配置，路由、选路、DHCP、DNS等

6、系统：升级、备份、高可用性等配置

防火墙的常见基础配置

 学过路由交换的朋友对于防火墙的基础配置其实没什么太多难度，跟华为路由器交换机配置没什么两样，这里介绍下常见的配置，以便于后续学习更加方便。

1、接口IP相关配置

查看接口编号，防火墙的型号不一样，编号也会不太一样，可以通过display ip interface brief确认下接口编号，方便进入。

[USG6000V1]interface  GigabitEthernet 1/0/0

[USG6000V1-GigabitEthernet1/0/0]ipaddress 172.16.100.254 24

接口地址配置

2、切换成二层口

防火墙接口是可以切换层二层口做交换机口用的，下面可以在对接二层交换机配置成Trunk，也可以配置成Access直接接。

[USG6000V1]interface  g1/0/1

[USG6000V1-GigabitEthernet1/0/1]portswitch

[USG6000V1-GigabitEthernet1/0/1]portlink-type ?

  access Access port

  hybrid Hybrid port

  trunk  Trunk port

trunk方式

[USG6000V1-GigabitEthernet1/0/1]portlink-type trunk

[USG6000V1-GigabitEthernet1/0/1]porttrunk allow-pass vlan 2 to 10

access方式

[USG6000V1-GigabitEthernet1/0/1]portlink-type access

[USG6000V1-GigabitEthernet1/0/1]portdefault vlan 2

hybrid方式

[USG6000V1-GigabitEthernet1/0/1]portlink-type hybrid

[USG6000V1-GigabitEthernet1/0/1]porthybrid tagged vlan 2 to 3

博主经验分享：只有初始化端口可以直接切换，已经有配置了的，是没办法直接切换，需要把新家的配置undo掉还原到初始化状态才可以切换。

3、配置VLANIF接口

[USG6000V1]vlan batch 2to 3

[USG6000V1]interface  vlan 2

[USG6000V1-Vlanif2]ipaddress 192.168.2.254 24

[USG6000V1]interface  vlan 3

[USG6000V1-Vlanif3]ipaddress 192.168.3.254 24

4、开启DHCP

[USG6000V1]dhcp enable

[USG6000V1]interface  vlan 2

[USG6000V1-Vlanif2] ipaddress 192.168.2.254 255.255.255.0

[USG6000V1-Vlanif2]dhcpselect  interface

[USG6000V1-Vlanif2]dhcpserver ip-range 192.168.2.1 192.168.2.100

[USG6000V1-Vlanif2]dhcpserver gateway-list 192.168.2.254

对比路由器交换机来说，DHCP这边稍微一点点不太一样，在接口下启用需要定义网关，然后地址分配的范围，其余的常见配置其实没有多大的区别。

5、保存与恢复出厂

<USG6000V1>save

The currentconfiguration will be written to hda1:/vrpcfg.cfg.

Are you sure tocontinue?[Y/N]y

保存，选择Y

<USG6000V1>reset  saved-configuration

Warning: The actionwill delete the saved configuration in the device.

The configuration willbe erased to reconfigure. Continue? [Y/N]:y

清空配置，提示是否进行操作，选择Y

<USG6300E>reboot  fast

Info: If want to rebootwith saving diagnostic information, input 'N' and then execute 'reboot savediagnostic-information'.

System will reboot!Continue?[Y/N]:y

快速重启，提示是否重启，选择Y（模拟器不支持这个命令）

竟然防火墙的常见配置跟路由器交换机一样，是不是按路由器的思路配置就通了？

像上面这样的拓扑在网络中是不是很常见，出口一台路由器，下面接一台二层或者多台傻瓜交换机，如果像这样的环境，我们只需要在路由器上面创建VLAN 2与3的VLANIF，创建网关、DHCP，对接下面交换机的口划入对应的VLAN即可。

vlan batch 2 to 3

dhcp enable

#

interface Vlanif2

 ip address 192.168.11.254 255.255.255.0

 dhcp select interface

 dhcp server dns-list 223.5.5.5 114.114.114.114

#

interface Vlanif3

 ip address 192.168.12.254 255.255.255.0

 dhcp select interface

 dhcp server dns-list 223.5.5.5 114.114.114.114

#

interface Ethernet0/0/0

 port link-type access

 port default vlan 2

#

interface Ethernet0/0/1

 port link-type access

 port default vlan 3 

#

acl number 3000 

 rule 5 permit ip

#

interfaceGigabitEthernet0/0/0

 nat outbound 3000

 ip address dhcp-alloc

#

可以看到配置下来不管上外网，内网都可以互通， 路由器基本就接口地址配置、NAT、DHCP就完事了，那么问题来了，假设我们把出口设备换成防火墙，是不是用同样的思路流程就能够实现上网呢？我们来尝试性的试下！！

跟路由器一样的，对接外网的口配置成DHCP，G1/1/1配置成192.168.11.254/24，G1/0/2配置成192.168.11.254，开启DHCP，我们看看最基本的能不能实现。

dhcp enable

#

interfaceGigabitEthernet1/0/0

 undo shutdown

 ip address dhcp-alloc

#

interfaceGigabitEthernet1/0/1

 undo shutdown

 ip address 192.168.11.254 255.255.255.0

 dhcp select interface

 dhcp server ip-range 192.168.11.1192.168.11.250

 dhcp server gateway-list 192.168.11.254

 dhcp server dns-list 223.5.5.5 114.114.114.114

#

interfaceGigabitEthernet1/0/2

 undo shutdown

 ip address 192.168.12.254 255.255.255.0 

 dhcp select interface

 dhcp server ip-range 192.168.12.1192.168.12.250

 dhcp server gateway-list 192.168.12.254

 dhcp server dns-list 223.5.5.5 114.114.114.114

外网是获取到地址了的，我们在看看内网PC

获取到了，但是到网关都不通！！在来看看防火墙上面

可以看到防火墙ping 客户端以及外网的网关都不通，似乎跟路由器还是有些不一样的，虽然防火墙获取到了外网分配过来的地址了，客户端也分配到了地址了，按照上面路由器的处理就应该都通了，但是防火墙没有，这也是刚接触防火墙的朋友容易犯的一个困惑，明明一切都看似正常，确哪都不通！接下来的几篇内容都是围绕这这个不通来开始进行的，从防火墙的区域、安全策略来了解处理数据包的工作方式，以便于我们在工作中不管是配置还是遇到问题来拍错都有一个很好的基础功底跟思路在这。（博主以这个简单的案例引入防火墙的一些特性，方便大家更好的理解跟学习）。

“承上启下”

在介绍初始化的时候，博主讲过，华为的防火墙有管理口MGMT或者0口，默认地址是192.168.0.1，大家可以尝试下，能否ping通？这个又是为什么呢？可以先想想哦~答案下一篇认真学，可以解决这个疑问！~