HuaWei Firewall

HuaWei Firewall

1. 防火墙属于网络安全设备，其主要作用是通过各种配置，拒绝非授权的访问，保护网络安全。防火墙作为一个独立的硬件设备，可以通过访问控制、身份验证、数据加密、VPN技术等安全功能，形成一个信息进出的“屏障”。它不仅可以确保内部网络安全地访问互联网，同时还可以保护内部网络的安全。

2. 防火墙的发展历史，防火墙从出现到现在，主要经历了包过滤防火墙、代理防火墙和状态检测防火墙等三代，统一威胁管理和下一代防火墙是最近几年提出的概念。

   1. 包过滤防火墙属于第一代防火墙。这种防火墙通过配置访问控制列表对数据报文进行过滤，并根据策略转发或丢弃数据报文，其设计简单且易于实现。但是包过滤不检查会话状态且不分析数据，攻击者可以使用假冒地址进行欺骗，然后通过防火墙。
   2. 代理防火墙属于第二代防火墙。代理检查来自用户的请求，匹配安全策略后代表外部用户与真正的服务器建立连接，转发外部用户请求。代理防火墙安全性较高，但软件限制处理速度，同时需要为每一种应用开发对应的代理服务，开发周期长且升级困难。
   3. 状态检测防火墙属于第三代防火墙。1994年，网络安全厂商Check Point发布了第一台基于状态检测技术的防火墙。状态检测属于包过滤技术的延伸，对基于连接状态的数据报文进行检查时，它会考虑数据报文前后的关系，这意味着每个数据报文都不是独立存在的，而是前后有状态联系的。基于这样的状态联系，发展出了状态检测技术。状态检测防火墙通过动态分析激活的TCP会话和UDP会话状态采取动作，处理速度快且安全性高。
   4. 统一威胁管理（United Threat Management，UTM）防火墙属于新一代防火墙。除了具备基本防火墙功能外，它还将入侵检测、访问控制、防病毒、URL过滤等功能集成于一身，实现全面的安全防护功能。
   5. 下一代防火墙（Next Generation Firewall，NGFW）概念在2008年由网络安全厂商Palo Alto Networks提出，最初的目的是解决UTM防火墙运行多个功能后性能下降的问题。2009年Gartner对下一代防火墙重新进行了定义，明确了下一代防火墙除了具有UTM防火墙功能外，还可以基于用户、应用、内容进行管控。

3. 华为USG6000系列防火墙于2013年9月正式发布，标志着华为防火墙进入一个新的发展阶段。同年，华为成为国内首家进入Gartner防火墙和UTM魔力象限的厂商。

   1. 精准的访问控制，华为USG6000系列防火墙将安全能力与应用识别进行深度融合，实现安全防护一体化，其应用识别经过10多年的积累，在业界排名第一。安全能力与应用识别深度融合的6维控制，包括应用、内容、时间、用户、威胁和位置6个维度。
   2. 简单的策略管理，华为USG6000系列防火墙优化了策略的管理，即使是一名新的管理人员也可以轻松对策略进行调整，快速完成部署。同时，策略管理可以自动找出重复以及无用的策略，管理人员可以对其进行删除或调整。系统预置安全策略模板以及系统预置应用类别和风险组。
   3. 全面的威胁防护，华为USG6000系列防火墙能够提供全面的威胁防护，主要包括入侵检测、反病毒、识别伪装、文件过滤、URL过滤、内容过滤、Qos优化、SSL加密等。华为USG6000系列防火墙集成了企业所需要的各种防护功能以及FORRESTER最新报告。
   4. 快速的性能体验，华为USG6000系列防火墙通过智能感知引擎（Intelligent Awareness Engine，IAE）能够快速地部署各种策略，提供高性能的全面防护功能。全新的IAE引擎。
   5. 华为USG6000系列防火墙产品线，华为USG防火墙主要包括USG2000系列、USG5000系列、USG6000系列以及高端的USG9000系列。其中USG2000、USG5000系列属于入门级UTM防火墙产品，USG6000系列属于下一代防火墙产品，USG9000系列属于高端防火墙产品。USG6000系列防火墙作为市面主流防火墙，其产品线非常完善，从华为USG6300到USG6600有多个型号。企业可以根据实际情况进行选择，如果华为USG6000系列防火墙无法满足企业需求，可以考虑华为高端的USG9000系列防火墙。华为USG9500系列防火墙作为业界首款T级数据中心防火墙，成功通过美国NSS实验室测试，被评为业界最快防火墙。

4. 华为USG防火墙安全区域及策略介绍，无论是华为USG防火墙还是其他厂商的防火墙，都有安全区域的概念，理解并掌握安全区域的概念非常重要，并且这是配置防火墙必须掌握的知识点之一。

   1. 安全区域（Security Zone），通常称为区域（Zone）。一般来说，同一区域间的数据报文不使用安全策略进行控制，只有当数据报文在不同区域间传送时才会使用安全策略进行控制。华为USG防火墙默认保留4个安全区域。
      1. 本地（Local）区域：该区域代表防火墙本身，默认安全级别为100。
      2. 信任（Trust）区域：该区域一般用于定义内部网络，默认安全级别为85。
      3. 非信任（Untrust）区域：该区域一般用于定义非内部网络或互联网，默认安全级别为5。
      4. 隔离区域（DMZ）：该区域一般用于定义内部服务器所在的网络，默认安全级别为50。
      5. 在生产环境中，可以根据实际情况定义多个区域，如果是较小的生产环境，可以直接使用默认的安全区域。需要注意的是，华为USG防火墙安全区域都有一个级别，该级别是唯一的，用数字1～100进行表示，数字越大，表示该区域的可信度越高。默认的安全级别是固定的，可以根据实际情况定义不同的安全级别。
      6. 其他厂商的防火墙可能不存在本地区域概念，而华为USG防火墙提供本地区域，代表防火墙本身，由防火墙主动发出的数据报文可理解为是从本地区域发出的。华为USG防火墙最多支持32个安全区域。
      7. 确定安全区域后，需要了解数据流入流出的方向。数据在安全区域之间流动一般分为两种情况。入方向，数据报文从低级别安全区域向高级别安全区域流动时为入方向；出方向，数据报文从高级别安全区域向低级别安全区域流动时为出方向。
   2. 安全区域与接口关系，定义好安全区域后，需要将防火墙接口划分到对应的安全区域，接口可以把安全区域与物理网络关联起来，这样才能对不同安全区域的访问进行控制。一个安全区域可以包括一个或多个接口，接口既可以是物理接口，也可以是逻辑接口。特别注意，一个接口只能加入一个安全区域。本地区域不能添加任何接口，但防火墙所有接口依然属于系统预留本地区域。
   3. 安全策略的基本概念，安全策略就是控制规则，在匹配对应规则的情况下，不同安全区域的数据报文就可以交换。如果不匹配规则，数据报文将被丢弃。
      1. 生产环境中比较常见的应用是，Trust区域访问Untrust区域，这时需要一条由Trust区域访问Untrust区域的安全策略（包括源地址、目的地址等多个参数）。当Trust区域数据报文到达防火墙后会匹配安全策略，如果成功匹配该策略，Trust区域就可以访问Untrust区域。
      2. 在两个安全区域转发数据报文时，会遵循从上到下的顺序逐条查找安全策略。如果匹配了一条安全策略，就会执行安全策略的动作（允许或拒绝），执行完成后不再向下查找安全策略。

5. 网络地址转换（Network Address Translation，NAT）技术最早的应用是将私有网络IP地址转换为互联网IP地址，以减少对互联网IP地址的使用。

   1. 源NAT地址转换有多种方式，客户端访问互联网时，防火墙将私有网络IP地址转换为互联网IP地址，当回程数据报文返回防火墙时再将数据报文的目的地址由互联网IP转换为私有网络IP地址。源NAT技术是最常用的技术。比较常用的源NAT地址转换有Easy-IP、NAPT、No-PAT等。

      1. 出接口地址转换（简称Easy-IP）：内部客户端访问互联网时，会转换数据报文的IP地址，但转换后的IP地址只能为出接口IP地址。这种模式适用于多数环境，同时接口支持动态获取，例如ADSL线路。
      2. 网络地址和端口转换（Network Address and Port Translation，NAPT）：内部客户端访问互联网时，会对网络地址以及端口进行转换。NAPT也是在生产环境中使用比较广泛的源NAT技术。
      3. 网络地址转换（No Port Address Translation，No-PAT）：内部客户端访问互联网时，不转换端口只转换IP地址，通常用于一些特殊环境。

   2. NAT Server是NAT技术的一种特殊应用。在生产环境中，内部网络中的服务器可能会提供给外部用户或合作企业访问，而这些服务器使用私有网络IP地址，通过NAT技术可以实现内部服务器地址到互联网IP地址的转换，让外部用户或合作企业可以通过互联网访问内部服务器，这种技术称为NAT Server。

   3. 路由黑洞是指数据报文在防火墙和路由器之间进行循环转发，产生路由环路，同时消耗设备的资源，导致设备无法正常工作。配置路由黑洞是为了避免数据报文的循环转发，使防火墙和路由器之间不产生环路。当NAT地址池和互联网接口地址不在同一网段时，必须配置路由黑洞，避免防火墙和路由器之间产生环路。当NAT地址池和互联网接口地址在同一网段时，建议配置路由黑洞，避免防火墙发送ARP数据报文，降低防火墙资源使用。

6. 虚拟专用网（Virtual Private Network，VPN）是利用互联网建立私有网络通道进行数据传递的网络，比直接使用互联网传递数据具有更高的安全性。

   1. VPN技术出现之前，分支机构接入总部网络一般采取租用运营商提供的SDH、MSTP等专线，这类专线费用高、扩展性较差，且不太适合出差用户接入总部网络。VPN技术出现后，企业可以使用低成本方案解决分支机构以及出差用户接入总部网络的问题。

      1. VPN建设方式

         1. 企业自建：自建是最常见的建设方式，企业自行申请互联网线路以及自购设备，通过配置即可完成VPN建设。其优势是企业能够对VPN网络进行完全控制，后期扩容非常方便。
         2. 租用：中国电信、中国联通等运营商均提供VPN租用服务，比较常见的是多协议标签交换（Multi-Protocol Label Switching，MPLS）虚拟专用网络。这种VPN线路主要参数由运营商配置，优势是比企业自建VPN相对稳定；缺点是费用较高，企业不能对VPN网络进行完全控制，后期扩容需要通过运营商完成。

      2. VPN组网方式

         1. 点对点访问：也称为Site-To-Site VPN，一般用于分支机构与总部进行连接。
         2. 远程访问：也称为Access VPN，一般用于出差用户访问总部网络，可以通过拨号方式连接到总部网络。

      3. VPN主要通过在互联网上建立隧道技术来实现。互联网本身的安全性较差，为保证数据传递的安全性，VPN还需要使用其他技术来保证其安全性，主要技术包括隧道、认证、加密、密钥管理等。

         1. VPN的关键就是使用隧道技术。隧道技术是指在隧道两端使用封装和解封装方式在互联网上建立一条私有网络通道，使用这条通道对数据报文进行传输。封装和解封装过程可以为原始数据报文提供安全防护功能。隧道技术由隧道协议组成，可以分为第二层和第三层隧道协议，第二层隧道协议主要有L2TP等，第三层隧道协议主要有IPSec等。
         2. 认证技术主要分为数据认证技术和身份认证技术。数据认证技术用于保证数据在网络传输过程中不被篡改，以保证数据的原始性。数据认证主要采用散列算法；身份认证技术主要用于保证接入用户的合法性，主要采用用户名、密码以及USB Key认证方式。
         3. 加密技术就是把明文变成密文的过程。当数据被封装入隧道后立即进行加密，当数据到达对端后，由隧道对端对数据进行解密。加密技术中比较常用的是对称加密和非对称加密。对称加密指的是加密和解密使用同一个密钥，比较常见的对称加密算法有DES、3DES、AES、IDEA、RC2\RC4\RC5\RC6等；非对称加密指的是加密和解密使用两个不同的密钥，私钥用来保护数据，公钥用来检验发送者的真实性，比较常见的非对称加密算法有MD5、SHA-1等。L2TP协议不支持加密技术，IPSec VPN、SSL VPN支持对数据报文和协议报文加密。
         4. 密钥管理的主要作用是保证在互联网上传递的密钥不被窃取，这是数据加密技术中的重要环节。密钥管理主要包括密钥的产生、分配保存、更换销毁等环节。

   2. GRE VPN技术

      1. 通用路由封装协议（General Routing Encapsulation，GRE）是早期出现的VPN技术，能够实现数据报文在互联网隧道中进行封装和解封装，封装后的数据报文传输隧道称为Tunnel。
      2. GRE VPN封装和解封装过程：在内部网络原始数据报文前添加GRE头，再在GRE头前添加互联网IP地址头，这就是封装的过程；封装后数据报文就可以通过隧道在互联网上进行传递，当数据报文到达隧道对端后，会去掉互联网IP地址头、GRE头信息，恢复原始数据报文。
      3. GRE VPN最大的问题在于数据报文采用明文，无法直接对其进行加密传输，因此，数据安全不能得到保证。

   3. L2TP VPN技术

      1. 第二层隧道协议（Layer Two Tunneling Protocol，L2TP）是为分支机构或者出差用户通过互联网访问总部网络设计的隧道协议。

      2. L2TP VPN主要由接入集中器以及网络服务器组成，L2TP VPN早期应用是由运营商来建立LAC，集中为企业用户提供L2TP VPN服务，同时配套提供认证以及计费等功能。随着互联网环境的变化，依靠运营商建立的方式已经被淘汰，企业可以自建L2TP VPN网络，极大地降低了成本。

         1. L2TP接入集中器（L2TP Access Concentrator，LAC）：LAC是L2TP VPN接入的汇聚点，可以为PPP用户提供接入服务。
         2. L2TP网络服务器（L2TP Network Server，LNS）：LNS是部署在企业总部出口的网络服务器，既可以是PPP端系统，也可以是L2TP服务器端。

      3. L2TP VPN属于第二层VPN协议，其封装和解封装过程如下。

         1. 封装过程：客户端PPP数据报文到达LAC时，封装L2TP头（包含用于标识该消息的隧道ID以及会话ID）、UDP头（用于标识上层应用，LNS收到该数据报文时可以识别是L2TP数据报文）、互联网IP地址头（用于该数据报文在互联网转发）。
         2. 解封装过程：当LNS收到L2TP数据报文后，首先检查互联网IP地址头和UDP头信息，再检查L2TP头信息，如果与已建立成功的L2TP隧道ID以及会话ID相同则解封装；如果不相同则丢弃，继续检查PPP头信息是否正确，对PPP头进行解封装，最后得到原始的数据报文，将数据报文送入上层进行处理。

      4. L2TP VPN比较常见的方式是基于客户端直接拨号和基于LAC拨号。

         1. 客户端直接拨号L2TP VPN（Client-Initialized VPN）：客户端接入互联网，通过Windows系统自带的L2TP VPN拨号软件或者使用华为VPN拨号软件拨号到LNS服务器，LNS为其分配内部网络地址，允许用户接入内部网络。此方案适用于出差用户访问总部网络。
            1. LAC拨号L2TP VPN（NAS- Initialized VPN）：LAC拨号L2TP VPN比客户端直接拨号L2TP VPN略为复杂一些，用户通过L2TP VPN拨号软件向LAC设备发起PPP或PPPoE连接，LAC来判断用户是否是L2TP用户，如果是，则判断用户具体与哪个LNS服务器发起隧道连接，最后由LNS为其分配内部网络地址，允许用户接入内部网络。此方案适用于分支机构连接总部网络。

   4. IPSec VPN技术

      1. 无论是GRE VPN还是L2TP VPN，虽然有一定的安全机制，但建立的隧道传输没有安全加密机制，数据报文在互联网传输过程中可能被窃取。IP安全（IP Security）是IETF制定的安全协议，它为IP数据报文提供了基于密码学的安全保护机制。IPSec VPN就是利用IPSec隧道建立的网络层VPN，与GRE VPN和L2TP VPN相比，IPSec VPN更加安全。

      2. IPSec VPN主要由验证头协议、封装安全载荷、网络密钥交换组成。其中验证头协议、封装安全载荷定义了协议格式以及提供的服务，能够提供数据完整性验证等功能，保障数据在传输过程中的机密性。网络密钥交换可以进行自动协商交换密钥等服务。在生产环境中，验证头协议和封装安全载荷可以单独使用，也可以同时使用。

         1. 验证头协议（Authentication Header，AH）：AH是数据报文验证头协议，能够对数据源进行验证，同时还能够对数据的完整性进行校验以及数据报文重放。AH本身不加密数据，AH协议号为51。
         2. 封装安全载荷（Encapsulate Security Payload，ESP）：ESP是封装安全载荷协议，除了具有AH功能外，还能够对IP报文进行加密，ESP协议号为50。
         3. 网络密钥交换（Internet Key Exchange，IKE）：IKE用于自动协商AH和ESP所使用的加密算法。

      3. IPSec VPN有以下两种模式。

         1. 传输模式（Transport Mode）：IPSec处理模块在IP报文和上层协议报头之间插入IPSec 报头，IP报文中的协议字段会变为IPSec所使用的协议号（AH或ESP协议号），然后重新计算IP报头校验和。传输模式一般用于主机安全网关或主机与主机间的通信。
         2. 隧道模式（Tunnel Mode）：原始IP分组被封装为一个新的IP报文，在内部报头和外部报头之间插入IPSec报头，原IP地址被当作有效载荷的一部分受到IPSec保护。隧道模式一般用于主机安全网关与安全网关之间的通信。

      4. IPSec VPN使用加密算法来保证数据报文在传输过程不被窃取，常用的加密算法分为以下几类。

         1. DES（Data Encryption Standard）：使用56位密钥对明文进行加密，安全级别低。
         2. 3DES（Triple Data Encryption Standard）：使用3个56位密钥（共168位密钥）对明文进行加密，安全级别中等。
         3. AES（Advanced Encryption Standard）：使用128位、192位、256位密钥对明文进行加密，安全级别高。

      5. IPSec VPN使用加密算法对数据报文进行加密，那么相应地需要使用验证算法来验证数据报文在传输过程中是否被篡改。验证算法主要通过杂凑函数实现，杂凑函数可以产生固定签名长度，如果两个签名长度一致，说明数据报文在传输过程中没有被篡改。常用的验证算法分为以下几类。

         1. MD5（Message Digest 5）：签名长度为128位，安全级别低。
         2. SHA-1（Secure Hash Algorithm 1）：签名长度为160位，安全级别中。
         3. SHA-2（Secure Hash Algorithm 2）：签名长度为256位（SHA2-256）、384位（SHA2-384）、512位（SHA2-512），安全级别高。

   5. SSL VPN技术

      1. 安全套接层（Security Socket Layer，SSL）是为应用层提供安全连接的安全协议。SSL介于TCP/IP第四层与第七层之间，可以为HTTP提供安全连接。

      2. SSL协议是Netscape公司提出的基于客户端和服务器之间的Web应用安全通道协议，目前广泛使用的是SSL 2.0和SSL 3.0，最新的版本有TLS 1.0（也称为SSL 3.1）、TLS 1.1和TLS 1.2。SSL协议分为底层SSL记录协议和上层SSL握手协议。

         1. 底层SSL记录协议（SSL Record Protocol）：对上层数据进行处理并进行加密传输。
         2. 上层SSL握手协议（SSL Handshake Protocol）：使用公钥加密算法对密文进行传输。

      3. SSL协议广泛应用于电子商务、网上银行等领域，为互联网上数据的传输提供安全性保证。SSL是一种在两台计算机之间提供安全通道的协议，它具有保护传输数据以及识别通信计算机的功能。到目前为止，SSL协议有3个版本，其中SSL 2.0和SSL 3.0得到广泛的应用，IETF基于SSL 3.0推出了TLS 1.0协议（也被称为SSL 3.1）。随着SSL协议的不断完善，包括微软IE在内的越来越多的浏览器支持SSL，SSL协议成为应用最广泛的安全协议之一。除Web访问、TCP/UDP应用之外，SSL VPN还能够对IP通信进行保护。

      4. SSL VPN以SSL协议为基础，基于B/S架构，不需要使用客户端，只需要使用标准浏览器内置的SSL即可实现，属于新型VPN技术。同时，SSL VPN不需要改变现有网络架构，不涉及NAT穿越等问题，可在企业中快速部署。

7. 华为防火墙双机热备

   1. 对于网络访问要求不是太高的企业来说，通常只部署一台防火墙提供各种服务，企业可以接受短暂的网络中断。但是，对于网络访问要求比较高的企业来说，网络出现中断的情况是不能接受的，这时会使用多个运营商的线路以及两台或多台防火墙来实现冗余备份，当一台设备或者一个运营商线路出现故障时，可以切换到另外一台设备的运营商线路不间断持续提供服务。
   2. 早期网络设计中，对于路由器或者防火墙来说，考虑冗余设计的不多，通常组网的方式是使用一条链路配置一台路由器或者防火墙作为出口，所有业务将通过这个出口，当这台设备或者链路出现故障时就会导致所有业务无法访问。为避免这些问题，可以使用双机热备技术。在生产环境中可以配置两台防火墙（主备模式），防火墙之间使用心跳线连接，主防火墙转发数据，备用防火墙处于不转发状态，当主防火墙发生故障时就切换到备用防火墙提供服务，这是比较常用的主备模式。那么现在有一个问题，如果备用防火墙不转发就非常浪费，此时可以使用负载分担的双机热备模式，两台防火墙都转发数据，互为备份，这样不仅实现了冗余备份，还提高了防火墙的使用率。
   3. 虚拟路由冗余协议（Virtual Router Redundancy Protocol，VRRP）是一种路由容错协议。在生产环境中，可以把两台或多台路由器创建为一个VRRP组，VRRP组生成一个虚拟IP地址，客户端使用虚拟IP作为网关地址。VRRP组中只有一台路由器处于活动（Active）状态，处于Active状态的路由器可以转发下一跳数据报文；其他设备处于备用（Standby）状态，处于Standby状态的路由器不能转发数据报文，Active设备周期性向VRRP组中Standby设备发送Hello数据报文通知其自己的状态以及优先级。Active状态的路由器出现故障的时候，Standby状态的路由器会自动接替下一跳转发工作，从而保证网络不会出现中断的情况。
   4. VRRP组管理协议（VRRP Group Management Protocol，VGMP）是用于管理VRRP组的协议。VGMP通过统一控制来实现对多个VRRP组的管理，确保VRRP状态的一致性。防火墙USG A和防火墙USG B使用VRRP，两台设备状态一致时，防火墙USG A所有接口处于活动转发状态，防火墙USG B所有接口处于备用状态。
      1. 两台防火墙VRRP状态一致的情况下，PC1访问PC2的路径为（1）→（2）→（3）→（4），防火墙USG A转发数据报文，生成会话表项。PC2返回的数据报文经过（4）→（3）→（2）→（1）达到PC1。
      2. 两台防火墙VRRP状态不一致的情况下，就可能存在问题。如果USG B与Trust区域相连的接口为备用状态，但与Untrust区域相连的接口为活动状态，则PC1的数据报文通过USG A设备到达PC2后，在USG A上会动态生成会话表项。PC2返回的数据报文通过路线（4）→（9）返回。此时由于USG B上没有相应数据流的会话表项，在没有其他数据报文过滤规则允许通过的情况下，USG B将丢弃该数据报文，导致会话中断。
      3. 为保证VRRP状态的一致性，华为使用VGMP来解决这个问题，将多个VRRP备份组都加入一个VRRP管理组，由管理组统一管理所有VRRP备份组。VGMP通过统一控制VRRP备份组状态的切换，来保证管理组内的所有VRRP备份组状态保持一致。
      4. 当防火墙VGMP为Active状态时，组内所有VRRP备份组的状态统一为Active状态，所有数据报文都将从该防火墙上通过，该防火墙成为主防火墙。另外一台防火墙VGMP为Standby状态，该防火墙成为备用防火墙。同时，VGMP通过定期发送HELLO报文来检测状态，VGMP HELLO报文发送周期默认为1秒，当Standby状态的防火墙3个HELLO报文周期没有收到对端发送的HELLO报文时，会认为对端出现故障，从而将自己切换到Active状态。

防火墙基本操作

1. Use Console login firewall. default Username and password admin/Admin@123.

   system-view               								# 进入系统视图
   sysname BDNETLAB-HFW1     								# 对防火墙进行重命名
   interface GigabitEthernet 0/0/0          				# 进入接口配置
   ip address 10.1.1.1 24 									# 配置接口IP地址
   display this        									# 查看当前接口配置
   

2. default Adminstrator login, enter address https://10.1.1.1:8443 username admin password Huawei@123 . Use Command New User Login.

   # 启用Web服务端口443
   web-manager security enable port 443
   
   # 配置GigabitEthernet 0/0/0接口，启用https服务。
   interface GigabitEthernet 0/0/0 
   service-manage enable 
   service-manage https permit
   
   # 启用https服务的接口划入trust区域。
   firewall zone trust         							# 配置防火墙安全区域
   add interface GigabitEthernet 0/0/0
   quit
   display zone name trust     							# 查看防火墙安全区域信息
   
   # 创建新的用户登录防火墙。
   aaa                                   					# 进入用户配置
   manager-user webuser              						# 创建新的用户
   password     											# 配置新用户密码
   level 3      											# 配置安全级别
   service-type web  										# 用户启用web
   

3. Use Telnet login firewall.

   telnet server enable     								# 启用telnet服务
   
   # 配置GigabitEthernet 0/0/0接口启用telnet服务，默认管理接口已启用telnet服务。
   interface GigabitEthernet 0/0/0
   service-manage enable 
   service-manage telnet permit
   
   # 将启用telnet服务的接口划入trust区域。
   firewall zone trust          							# 配置防火墙安全区域
   add interface GigabitEthernet 0/0/0
   quit
   display zone name trust      							# 查看防火墙安全区域信息
   
   
   # 创建新的用户登录防火墙。
   aaa                                   					# 进入用户配置
   manager-user telnetuser           						# 创建新的用户
   password      											# 配置新用户密码
   level 3   												# 配置安全级别
   service-type telnet  									# 配置启用telnet
   

4. Use SSH login firewall.

   # 使用命令启用stelnet服务。在华为防火墙中，stelnet代表ssh服务。
   stelnet server enable     								# 启用stelnet服务
   
   # 配置GigabitEthernet 0/0/0接口启用ssh服务。
   interface GigabitEthernet 0/0/0
   service-manage enable 
   service-manage ssh permit
   
   # 将GigabitEthernet 0/0/0接口划入trust区域。
   firewall zone trust          							# 配置防火墙安全区域
   add interface GigabitEthernet 0/0/0
   quit
   display zone name trust     							# 查看防火墙安全区域信息
   
   # 配置线路认证
   user-interface vty 0 4               					# 配置vty线路
   authentication-mode aaa    								# 配置认证模式为aaa
   
   # 创建新的用户登录防火墙。
   aaa                                       				# 进入用户配置
   manager-user sshuser                  					# 创建新的用户
   level 3          										# 配置安全级别
   service-type ssh 										# 配置启用ssh
   ssh authentication-type password 						# 配置认证使用password模式
   password         										# 配置新用户密码
   quit
   
   # 创建认证所需要的本地密钥对。
   rsa local-key-pair create     							# 创建认证所需要的本地密钥对
   
   # 配置SecureCRT客户端使用SSH2协议访问防火墙，连接参数，单击“连接”按钮。
   # SecureCRT客户端会新建主机密钥，单击“接受并保存”按钮。
   # SecureCRT客户端要求输入登录防火墙的用户名和密码，单击“确定”按钮。
   # 成功登录防火墙，其访问类型为SSH。如果配置错误，将无法访问防火墙。
   

5. 恢复防火墙密码，华为USG防火墙密码的保管非常重要，在生产环境中可能由于工作交接或其他原因导致无法使用密码登录防火墙进行管理，这种情况就会使用恢复防火墙密码方式。注意：恢复防火墙密码需要使用Console接口。

   # 第1步，使用Console接口连接到防火墙，打开防火墙电源或重启防火墙，当出现“Press Ctrl+B to enter main menu... ”提示时按Ctrl+B组合键，此时系统会要求输入密码，默认密码为“O&m15213”。
   
   # 第2步，进入防火墙扩展主菜单，该菜单有多个选项，如果不需要保留原防火墙配置，可以选择6恢复出厂状态，本次实验需要保留原防火墙配置，所以选择2。
   
   # 第3步，出现选择菜单，选项1为修改配置，选项2为退出，本次操作选择1进行修改配置。
   
   # 第4步，系统加载原配置文件，保持默认，直接按回车键，然后在选择启动配置文件处按照提示输入“**.**”号，用于从默认值启动。
   
   # 第5步，保存好原配置文件后会返回扩展主菜单，输入1，让防火墙重新启动。
   
   # 第6步，防火墙未加载原配置文件启动，未加载原配置文件用户名为admin，密码恢复为初始状态Admin@123，登录时会强制修改密码。
   
   # 第7步，此时防火墙为初始化状态，可以修改管理接口IP地址后使用浏览器连接防火墙进行操作，单击“取消”按钮退出快速向导配置模式。
   # 第8步，在系统中查看配置文件信息，可以看到下次启动配置文件为NULL，单击“选择”按钮。打开配置文件管理，可以看到保留的配置文件。下载原配置文件后，再删除保留的配置文件。
   # 第10步，用记事本打开原配置文件，找到manager-user admin字段，用当前配置替换。将修改后的配置文件重新上传，单击“导入”按钮。
   # 第12步，修改后的配置文件上传成功，单击“确定”按钮。单击配置下灯泡形状的按钮，将该文件设置为下次启动配置文件，单击“确定”按钮。
   # 第14步，修改后的配置文件状态为下次启动配置文件，说明设置下次启动成功，单击“关闭”按钮。确认下次启动配置文件使用的是修改后的配置文件。
   # 第16步，重启防火墙，单击“保存并重启”按钮。重启防火墙并登录后查看之前创建的信息，原信息正常，说明配置文件恢复成功。
   

6. firewall other configure.

   # 配置防火墙SNMP服务器。
   system-view 
   snmp-agent trap enable         							# 启用snmp trap功能
   snmp-agent sys-info version v3       					# 配置snmp版本为v3
   snmp-agent community read Huawei@123     				# 配置snmp只读团体名
   snmp-agent community write Huawei@123 					# 配置snmp读写团体名
   snmp-agent target-host trap address udp-domain 10.92.10.41 params securityname Huawei@123 v3                    
   														# 配置snmp trap服务器
   display snmp-agent statistics  							# 查看snmp状态
   display snmp-agent sys-info    							# 查看snmp系统信息
   display snmp-agent target-host 							# 查看snmp trap服务器
   
   # 配置防火墙日志服务器。
   info-center enable                 						# 启用日志服务功能
   info-center loghost 10.92.10.41    						# 配置日志服务器地址
   info-center loghost source GigabitEthernet 0/0/0 		# 配置源接口
   display info-center                						# 查看日志服务器信息
   
   # 配置防火墙时间
   quit                									# 退出全局配置
   clock datetime 24:04:00    								# 配置防火墙时间，注意格式
   display clock       									# 查看防火墙时间
   
   display license      									# 查看防火墙license信息
   

配置防火墙转发策略

1. 配置基本转发策略，对华为USG防火墙来说，最基本的配置是让防火墙自身可以访问互联网或者外部网络。

   # 配置HFW1防火墙GigabitEthernet 0/0/6接口IP地址和网关。
   system-view 
   interface GigabitEthernet 0/0/6         				# 选择配置的接口
   ip address 118.122.120.83 24 							# 配置IP地址
   gateway 118.122.120.1    								# 配置网关
   quit
   
   # 将GigabitEthernet 0/0/6接口添加到untrust区域。
   firewall zone untrust        							# 进入防火墙untrust区域配置
   add interface GigabitEthernet 0/0/6  					# 将接口添加到区域
   display this   											# 查看当前配置
   
   # 配置基本的安全转发策略。
   security-policy                        					# 安全策略配置
   rule name to_internet  									# 对安全策略进行命名
   source-zone trust 										# 定义源区域
   destination-zone untrust								# 定义目标区域
   source-address 10.1.1.0 24								# 定义源地址
   destination-address any									# 定义目标地址
   action permit   										# 执行动作为permit
   display this
   quit
   ping 118.122.120.1   									# ping互联网网关
   
   # 打开虚拟机HW-Inside_WIN7控制台，使用ping命令检测互联网连通性，此时状态为请求超时。其原因是NAT处于禁止状态。使用浏览器打开网页，此时无法访问网页。其原因是NAT处于禁止状态。
   # 配置基本的NAT策略，NAT策略其他配置后续章节会进行介绍。
   nat-policy                          					# NAT策略配置
   rule name to_internet    								# 对NAT策略进行命名
   destination-zone untrust  								# 定义目标区域
   action nat easy-ip   									# 执行动作为easy-ip
   display this
   
   display firewall session table 							# 看到通过防火墙访问互联网的会话列表
   

2. 配置基于IP地址的转发策略，在生产环境中，可能需要限制某些IP地址不能访问互联网，也就是配置IP地址转发策略。

   # 确认虚拟机HW-Inside_WIN7和虚拟机HW-Trust_WIN7均可访问互联网。
   # 配置拒绝访问的IP地址。
   ip address-set deny_ip type object         				# 进入对象配置
   address 10.1.2.10 0 									# 配置单个IP地址
   quit
   
   # 配置拒绝访问互联网的安全策略。
   security-policy 
   rule name deny_internet
   source-address address-set deny_ip 						# 调用拒绝访问的IP地址
   action deny 											# 执行动作为deny
   display this
   
   # 配置允许访问互联网的安全策略。
   security-policy 
   rule name permit_internet
   source-address 10.1.1.10 24
   action permit 
   display this 
   
   # 验证安全策略是否生效，虚拟机HW-Inside_WIN7可以访问互联网。
   # 虚拟机HW-Trust_WIN7无法访问互联网，说明IP地址转发策略生效。
   # 使用命令查看拒绝访问互联网的安全策略，收集到233条匹配的信息。
   display security-policy rule deny_internet
   

配置使用NAT

1. 配置出接口地址源NAT转换，出接口地址源NAT转换，配置模式为Easy-IP，利用出接口互联网IP地址作为NAT转换后的地址，可以同时转换地址以及端口。出接口地址源NAT转换方式适用于互联网IP地址较少的生产环境，比如生产环境仅有1个互联网IP地址，那么所有客户端共享这个IP地址访问互联网。

   # 配置HFW1防火墙源NAT策略。
   nat-policy  											# 进入防火墙NAT策略配置
   rule name to_internet  									# 对NAT策略进行命名
   destination-address any  								# 定义目标地址
   source-address address-set permit_ip 					# 定义源地址，调用3.1章节配置的permit_ip地址
   source-zone trust  										# 定义源区域为trunst
   destination-zone untrust  								# 定义目标区域为untrust
   action nat easy-ip  									# 配置出接口地址源NAT转换
   display this 
   
   # 在虚拟机HW-Inside_WIN7上使用ping命令查看解析对应的互联网IP地址。
   
   # 使用命令查看防火墙会话表，可以看到虚拟机HW-Inside_WIN7所配置的IP地址10.1.1.10已经转换为互联网IP地址，端口也进行了转换，转换后的互联网IP地址为118.122.120.83。
   display firewall session table
   

2. 配置NAPT源NAT转换，NAPT技术同时对网络地址以及端口进行转换，NAPT也是在生产环境中使用比较广泛的NAT技术，同时NAPT技术适用于互联网IP地址较多的生产环境。

   # 配置HFW1防火墙源NAT地址池，其重点在于nat-mode的选择，使用pat参数进行端口转换，使用no-pat参数不进行端口转换。
   nat address-group isp_ip
   section 118.122.120.115 118.122.120.116  				# 配置互联网固定IP地址
   nat-mode pat  											# 配置NAT模式为pat
   display this
   
   # 配置HFW1防火墙源NAT策略。
   nat-policy 
   rule name to_internet
   destination-address any
   source-address address-set permit_ip  
   source-zone trust 
   destination-zone untrust
   action nat address-group isp_ip
   display this 
   
   # 使用命令查看防火墙会话表，可以看到虚拟机HW-Inside_WIN7以及虚拟机HW-Trust_WIN7所配置的IP地址（10.1.1.10以及10.1.2.10）已经转换为使用NAT地址池中的互联网IP地址（118.122.120.115和118.122.120.116），并可访问互联网，同时端口也进行了转换。
   display firewall session table
   

3. 配置No-PAT源NAT转换，No-PAT源NAT转换其本质是不进行端口转换，只转换IP地址，也可以理解为一对一进行地址转换，这种方式一般用于比较特殊或者是互联网IP地址较多的环境。

   # 配置HFW1防火墙源NAT地址池，使用no-pat参数不进行端口转换。
   nat address-group isp_ip 
   section 118.122.120.115 118.122.120.116
   nat-mode no-pat  										# NAT模式为no-pat
   display this
   
   # 配置HFW1防火墙源NAT策略。
   nat-policy 
   rule name to_internet
   destination-address any
   source-address address-set permit_ip  
   source-zone trust 
   destination-zone untrust
   action nat address-group isp_ip
   display this 
   
   # 使用命令查看防火墙会话表，可以看到虚拟机HW-Inside_WIN7以及虚拟机HW-Trust_WIN7所配置的IP地址（10.1.1.10以及10.1.2.10）已经转换为使用NAT地址池中的互联网IP地址（118.122.120.115和118.122.120.116），并可访问互联网，注意端口未进行转换。
   display firewall session table
   

4. 配置NAT服务器映射，在生产环境中，可能需要对外提供一些服务功能，如果这些服务器部署在公司内部并且没有使用云服务器，则需要通过防火墙将内部服务器映射出去，这样互联网用户才能够正常访问，这样的配置操作称为NAT Server，也就是NAT服务器映射。

   # 配置HFW1防火墙GigabitEthernet 0/0/0.3接口IP地址，同时将其配置为dmz区域。
   interface GigabitEthernet 0/0/0.3
   vlan-type dot1q 30
   ip address 172.16.3.1 24
   quit
   firewall zone dmz 
   add interface GigabitEthernet 0/0/0.3 					# 将接口添加到区域
   display this
   
   # 配置安全策略，允许untrust区域访问dmz区域http服务。
   security-policy               
   rule name untrust_to_dmz
   source-zone untrust
   destination-zone dmz
   destination-address 172.16.3.10 32
   service http
   action permit 
   display this
   
   # 使用命令配置NAT服务器映射。
   nat server win08 protocol tcp global 118.122.120.83 5055 inside 172.16.3.10 80    
   														# 将172.16.3.10服务器的80端口映射到互联网IP地址118.122.120.83的5055端口
   display nat server 
   
   # 选择一台可以访问互联网的PC，在浏览器中输入http://118.122.120.83:5055，配置正确则可以访问Windows 2008服务器提供的IIS服务。如果配置不正确将无法访问。
   

配置防火墙双机热备

1. 配置主备备份模式的双机热备，主备备份模式的双机热备，其中一台防火墙处于Active（活动）状态用于转发数据，另一台防火墙处于Standby（备份）状态不转发数据，两台防火墙通过心跳线同步信息。当处于Active状态的防火墙发生故障时，处于Standby状态的防火墙切换为Active状态，继续提供服务，以避免网络访问出现中断的情况。

   # 配置HFW1防火墙GigabitEthernet 0/0/2接口IP地址。
   system-view 
   interface GigabitEthernet 0/0/2
   ip address 10.1.1.1 24
   service-manage ping permit  
   service-manage https permit
   
   # 配置HFW1防火墙GigabitEthernet 0/0/6接口IP地址。
   interface GigabitEthernet 0/0/6
   ip add 118.122.120.83 24 
   gateway 118.122.120.1
   
   # 配置HFW1防火墙GigabitEthernet 0/0/5接口IP地址，该接口为心跳接口。
   interface GigabitEthernet 0/0/5  
   ip address 192.168.1.1 24
   service-manage ping permit
   
   # 将接口添加到HFW1防火墙对应的区域。
   firewall zone trust 
   add interface GigabitEthernet 0/0/2
   display this 
   
   firewall zone untrust 
   add interface GigabitEthernet 0/0/6
   display this
   
   firewall zone dmz 
   add interface GigabitEthernet 0/0/5  					# 该接口作为心跳接口
   display this 
   
   # 配置HFW1防火墙安全策略。特别注意，本实验心跳线路添加到DMZ区域，同时需要配置安全策略，否则可能出现心跳访问报错提示。
   security-policy 
   rule name to_internet
   source-zone local 
   source-zone trust 
   source-zone dmz 
   destination-zone any 
   action permit
   display this
   
   # 配置HFW1防火墙源NAT策略。
   nat-policy 
   rule name to_internet_nat
   destination-zone untrust 
   action nat easy-ip 
   display this 
   
   # 为接口配置虚拟IP地址，HFW1为Active设备，注意客户端将使用10.1.1.100虚拟地址作为网关地址。
   interface GigabitEthernet 0/0/2
   vrrp vrid 1 virtual-ip 10.1.1.100 24 active
   
   # 配置心跳线路，remote地址为另一台防火墙心跳线路地址。
   hrp interface GigabitEthernet 0/0/5 remote 192.168.1.2
   
   # 配置HFW1防火墙为Active设备并主动抢占。
   hrp active-device
   
   # 配置HFW1防火墙启用hrp并查看其状态。
   hrp enable  											# 启用hrp
   
   display vrrp  											# 查看vrrp状态，注意防火墙名的变化
   display hrp state  										# 查看hrp状态，
   
   # 配置HFW3防火墙GigabitEthernet0/0/2接口IP地址以及vrrp组为standby状态。
   interface GigabitEthernet 0/0/2
   ip add 10.1.1.2 24 
   vrrp vrid 1 virtual-ip 10.1.1.100 24 standby 
   service-manage ping permit 
   service-manage https permit
   
   # 配置HFW3防火墙GigabitEthernet 0/0/6接口IP地址。
   interface GigabitEthernet 0/0/6
   ip add 118.122.120.84 24
   gateway 118.122.120.1
   
   # 配置HFW3防火墙GigabitEthernet 0/0/5接口IP地址，该接口为心跳接口。
   interface GigabitEthernet 0/0/5
   ip add 192.168.1.2 24
   service-manage ping permit
   
   # 将接口添加到HFW3防火墙对应的区域。
   firewall zone trust 
   add  interface GigabitEthernet 0/0/2
   firewall zone untrust 
   add interface GigabitEthernet 0/0/6
   firewall zone dmz 
   add interface GigabitEthernet 0/0/5
   display zone 
   
   # 配置HFW3防火墙安全策略，建议与HFW1防火墙安全策略配置一致。
   security-policy 
   rule name to_internet
   source-zone local 
   source-zone trust 
   source-zone dmz  
   destination-zone any
   action permit
   
   # 配置HFW3防火墙源NAT策略。
   nat-policy 
   rule name to_internet_nat
   destination-zone untrust 
   action nat easy-ip
   
   # 配置心跳线路，remote地址为另一台防火墙心跳线路地址。
   hrp interface GigabitEthernet 0/0/5 remote 192.168.1.1
   
   # 配置HFW3防火墙为standby设备。
   hrp standby-device
   
   # 配置HFW3防火墙启用hrp并查看其状态。
   hrp enable
   display vrrp 
   
   # 如果HFW1以及HFW3防火墙配置正常，则HFW3防火墙能够同步HFW1防火墙会话列表，如果HFW3未同步会话列表，请检查配置。
   display firewall session table 
   display firewall session table
   
   # 打开虚拟机控制台，查看虚拟机IP地址信息以及网络访问情况，虚拟机网关地址为10.1.1.100，访问互联网正常。
   # 目前处于Active状态的是HFW1防火墙，手动将GigabitEthernet 0/0/2接口关闭，可以看到系统开始切换状态角色。
   interface GigabitEthernet 0/0/2
   shutdown
   
   # 查看HFW1防火墙vrrp状态，VRRP Group处于Active状态，State处于Initialize初始化状态。
   HRP_S[BDNETLAB-HFW1]display vrrp 
   
   # 查看HFW3防火墙vrrp状态，VRRP Group处于Standby状态，State处于Active状态，说明HFW3防火墙接替故障的HFW1防火墙进行数据转发。
   display vrrp
   
   # 查看虚拟机网络连接状态，虚拟机能够连接10.1.1.100虚拟网关以及访问互联网，如图5-1-3所示。这说明防火墙双机热备状态正常，没有出现由于内网接口故障导致的网络中断。
   # 恢复FHW1防火墙GigabitEthernet 0/0/2接口，测试主动抢占是否正常。
   interface GigabitEthernet 0/0/2
   undo shutdown 
   
   # 查看HFW1防火墙vrrp状态，VRRP Group处于Active状态，State处于Active状态，说明HFW1防火墙恢复接口后主动抢占成功。
   display vrrp 
   
   # 将HFW1防火墙GigabitEthernet0/0/6接口关闭，测试互联网接口故障是否正常切换。
   interface GigabitEthernet 0/0/6
   shutdown 
   
   # 查看HFW1防火墙vrrp状态，VRRP Group处于Active状态，State处于Active状态，说明系统并没有进行状态角色切换。
   display vrrp
   
   # 查看虚拟机网络连接状态，虚拟机能够连接10.1.1.100虚拟网关，但无法访问互联网。
   # 出现该情况的原因是没有配置HFW1防火墙关联接口监控，在HFW1防火墙互联网接口出现故障时无法切换到HFW3防火墙，此时应在HFW1防火墙以及HFW3防火墙GigabitEthernet 0/0/6接口配置关联监控。
   interface GigabitEthernet 0/0/6
   hrp track active  										# 配置关联监控
   
   interface GigabitEthernet 0/0/6
   hrp track standby  										# 配置关联监控
   
   # 重新查看HFW1以及HFW3防火墙vrrp状态，HFW1防火墙VRRP Group处于Active状态，State处于Standby状态；HFW3防火墙VRRP Group处于Standby状态，State处于Active状态，说明互联网访问流量是通过HFW3防火墙，并且系统已进行状态角色切换。
   display vrrp
   
   # 查看虚拟机网络连接状态，虚拟机能够连接10.1.1.100虚拟网关，互联网访问恢复正常。
   

2. 配置负载分担模式的双机热备，主备备份双机热备是比较常用的模式，在这种模式下处于Standby状态的防火墙，无论是设备还是互联网线路始终处于未使用状态，当Active设备发生故障后才能切换使用，这样不仅浪费设备，更浪费线路资源。华为USG防火墙除了提供主备备份模式外，还提供负载分担模式的双机热备，这样解决了资源浪费问题。

   # 调整HFW1防火墙备份模式，从主备备份模式调整为负载分担模式，调整前先使用undo hrp active-device命令，否则会报错。
   undo hrp active-device 
   hrp loadbalance-device  								# 配置负载分担模式
   
   # 调整HFW3防火墙备份模式，从主备备份模式调整为负载分担模式。
   undo hrp standby-device 
   hrp loadbalance-device  								# 配置负载分担模式
   
   # 打开虚拟机HW-Inside_WIN7控制台，访问互联网，产生访问流量。
   # 打开虚拟机HW-Trust_WIN08控制台，访问互联网，产生访问流量。
   
   # 查看HFW1防火墙会话列表，可以看到HFW1防火墙收到来自两台虚拟机的互联网访问，说明虚拟机通过HFW1互联网接口访问互联网。
   display firewall session table 
   
   # 查看HFW3防火墙会话列表，可以看到HFW3防火墙也收到来自两台虚拟机的互联网访问，但是只有部分访问使用HFW3互联网接口访问互联网，说明负载分担生效。
   display firewall session table
   

配置使用VPN

1. 企业分支机构的互联可以使用SDH、MSTP、MPLS VPN等运营商提供线路，这样的线路安全性高，但成本也相对较高。对于成本预算有限的企业来说，可以依托互联网使用VPN技术来实现分支机构之间的互联。目前各种VPN技术在企业生产环境中大量使用。

2. 配置使用GRE VPN，GRE VPN是早期出现的VPN技术，通过使用三层隧道协议GRE实现互联，其配置维护相对简单，对于安全性要求不是太高的企业可以选择使用。

   # 配置HFW1防火墙GigabitEthernet 0/0/1接口，该接口用于连接内部网络，允许ping以及https访问。
   interface GigabitEthernet 0/0/1
   ip address 10.1.1.1 24
   service-manage ping permit 
   service-manage https permit
   
   # 配置HFW1防火墙GigabitEthernet 0/0/6接口，该接口用于连接互联网。
   interface GigabitEthernet 0/0/6
   ip address 118.122.120.83 24
   gateway 118.122.120.1
   dns server bind interface GigabitEthernet 0/0/6 preferred 61.139.2.69 
   														# dns地址为可选配置
   
   # 将配置好的接口添加到相应的区域。
   firewall zone trust 
   add interface GigabitEthernet 0/0/1
   display this
   firewall zone untrust 
   add interface GigabitEthernet 0/0/6
   display this 
   
   # 配置HFW1防火墙安全策略，配置的是站点之间的GRE VPN，源区域和目标区域都添加local、trust、untrust区域，也可以配置多条细化安全策略。
   security-policy 
   rule name gre_vpn
   source-zone local trust untrust
   destination-zone local trust untrust 
   action permit 
   display this
   
   # 配置HFW1防火墙源NAT策略，如果防火墙内部网络不需要访问互联网，可以不配置。
   nat-policy 
   rule name gre_nat
   destination-zone untrust 
   action nat easy-ip 
   display this
   
   # HFW1防火墙访问互联网测试，可以看到HFW1防火墙访问互联网正常。
   ping www.baidu.com
   ping qq.com
   # 配置HFW2防火墙GigabitEthernet 0/0/1接口，该接口用于连接内部网络，允许ping以及https访问。
   interface GigabitEthernet 0/0/1
   ip address 10.2.1.1 24
   service-manage ping permit 
   service-manage https permit
   
   # 配置HFW2防火墙GigabitEthernet 0/0/6接口，该接口用于连接互联网。
   interface GigabitEthernet 0/0/6
   ip address 101.207.142.18 24
   gateway 101.207.142.1
   dns server bind interface GigabitEthernet 0/0/6 preferred 119.6.6.6
   
   # 将配置好的接口添加到相应的区域。
   firewall zone trust 
   add interface GE0/0/1
   display this
   
   firewall zone untrust 
   add interface GigabitEthernet 0/0/6
   display this
   
   # 配置HFW2防火墙安全策略，与HFW1防火墙相同，配置的是站点之间的GRE VPN，源区域和目标区域都添加local、trust、untrust区域，也可以配置多条细化安全策略。
   security-policy 
   source-zone local trust untrust
   destination-zone local trust untrust 
   action permit 
   display this
   
   # 配置HFW2防火墙源NAT策略，如果防火墙内部网络不需要访问互联网，可以不配置。
   nat-policy 
   rule name gre_nat
   destination-zone untrust 
   action nat easy-ip 
   display this
   
   # HFW2防火墙访问互联网测试，可以看到HFW2防火墙访问互联网正常。
   ping www.baidu.com
   ping www.aliyun.com
   
   # 配置HFW1防火墙Tunnel接口作为GRE VPN隧道接口。
   interface Tunnel 0      								# 使用Tunnel 0作为GRE VPN隧道接口
   tunnel-protocol gre         							# 启用gre协议
   ip address 192.168.1.1 24   							# 配置隧道IP地址
   source 118.122.120.83      								# 配置本地地址作为源地址
   destination 101.207.142.18  							# 配置对端地址作为目标地址
   display this
   
   # 将创建的Tunnel接口添加到untrust区域。
   firewall zone untrust 
   add interface Tunnel 0
   display this 
   
   # 配置GRE VPN访问对端网络的静态路由，下一跳地址指向Tunnel 0。
   ip route-static 10.2.1.0 24 Tunnel 0  					# 配置访问对端网络的静态路由
   display ip routing-table ?     							# 查看静态路由表  
   
   # 配置HFW2防火墙Tunnel接口作为GRE VPN隧道接口。
   interface Tunnel 0
   tunnel-protocol gre
   ip address 192.168.1.2 24
   source 101.207.142.18
   destination 118.122.120.83
   display this 
   
   # 将创建的Tunnel接口添加到untrust区域。
   firewall zone untrust 
   add interface Tunnel 0
   display this
   
   # 配置GRE VPN访问对端网络的静态路由。
   ip route-static 10.1.1.0 24 Tunnel 0
   display ip routing-table 
   
   # 两端配置完成后，查看两台防火墙的GRE VPN隧道是否建立，状态是否为UP。
   display interface Tunnel 0
   
   # 查看两台防火墙会话列表是否建立GRE VPN会话。
   display firewall session table
   
   # 打开虚拟机HW-Inside_WIN7控制台，虚拟机HW-Inside_WIN7使用10.1.1.0/24网络，访问对端10.2.1.0/24网络，访问正常，说明GRE VPN正常工作。
   # 打开虚拟机HW-Untrust_WIN7控制台，虚拟机HW-Untrust_WIN7使用10.2.1.0/24网络，访问对端10.1.1.0/24网络，访问正常，说明GRE VPN正常工作。
   # 至此，使用命令行模式配置GRE VPN完成。GRE VPN配置相对简单，注意GRE VPN隧道参数的配置即可。
   

3. 配置使用L2TP VPN，GRE VPN技术解决了分支机构之间互联的问题，L2TP VPN技术的出现则解决了出差用户以及其他移动用户通过互联网访问内部服务器的问题。

   # 公司内部虚拟机HW-Untrust_WIN08提供IIS服务。
   # 虚拟机HW-Inside_WIN7为LZTP VPN客户端，虚拟机可以访问互联网，但无法访问公司内部IIS服务器。
   # 配置HFW2防火墙GigabitEthernet 0/0/1接口，该接口用于连接内部网络，允许ping以及https访问。
   interface GigabitEthernet 0/0/1
   ip address 10.2.1.1 24
   service-manage ping permit 
   service-manage https permit
   display this 
   
   # 配置HFW2防火墙GigabitEthernet 0/0/6接口，该接口用于连接互联网。
   interface GigabitEthernet 0/0/6
   ip add 101.207.142.18 24
   gateway 101.207.142.1
   display this
   
   # 将配置好的接口添加到相应的区域。
   firewall zone trust 
   add interface GigabitEthernet 0/0/1
   disp this
   
   firewall zone untrust 
   add interface GigabitEthernet 0/0/6
   display this
   
   # L2TP VPN需要使用虚拟模板配置参数，所以需要创建虚拟模板。
   interface Virtual-Template 10               			# 创建虚拟模板
   ip address 192.168.1.1 24 								# 配置IP地址
   ppp authentication-mode chap  							# 配置身份验证模式
   display this
   
   # 启用l2tp服务以及配置其他参数。
   l2tp enable  											# 启用l2tp
   
   l2tp-group 10  											# 创建l2tp组
   tunnel name l2tp 										# 配置l2tp隧道名
   allow l2tp virtual-template 10 remote l2tp  			# 调用l2tp虚拟模板
   tunnel authentication  									# 配置隧道认证
   tunnel password cipher Huawei@123 						# 配置认证使用的密码
   display this
   
   # 创建拨入用户。
   user-manage user l2tpvpn
   password Huawei@123
   parent-group /default 
   display this
   
   
   # 配置客户端使用地址池。
   aaa
   domain default
   ip pool 10 192.168.1.10 192.168.1.20
   display this
   
   # 配置在虚拟模板中调用分配的客户端地址。
   interface Virtual-Template 10
   remote address pool 10
   display this
   
   # 配置HFW2防火墙安全策略，源区域和目标区域都添加local、trust、untrust区域，也可以对安全策略进行细化。
   security-policy 
   rule name trust_any
   source-zone trust untrust
   destination-zone untrust trust 
   action permit
   display this
   
   rule name local_any
   source-zone local untrust
   destination-zone untrust local 
   action permit 
   display this 
   
   # 安装运行SecoClient客户端（华为官方网站提供下载），单击“新建”按钮。
   # 新建L2TP VPN连接，单击“确定”按钮。输入分配的服务器地址、用户名以及密码，单击“登录”按钮。
   # 如果配置正确，客户端可以正常连接。查看客户端信息，客户端获取服务器分配的IP地址，访问公司内部IIS服务器正常。
   # 使用命令查看隧道建立情况，可以看到客户端使用的IP地址。
   display l2tp tunnel 
   
   # 使用命令查看会话，目前客户端为1。
   display l2tp session 
   # 使用命令查看防火墙会话列表，可以看到两端的会话情况。
   display firewall session table 
   

4. 配置使用IPSec VPN，GRE VPN解决了分支机构互联的问题，但是GRE VPN采用明文传输，无法对数据进行加密，因此安全性无法得到保障。IPSec VPN通过在对等体间建立双向安全联盟，形成一个安全互通的IPSec隧道，实现互联网上数据的安全传输。

   # 配置HFW1防火墙GigabitEthernet 0/0/1接口，该接口用于连接内部网络，允许ping以及https访问。
   interface GigabitEthernet 0/0/1
   ip address 10.1.1.1 24
   service-manage ping permit 
   service-manage https permit
   
   # 配置HFW1防火墙GigabitEthernet 0/0/6接口，该接口用于连接互联网。
   interface GigabitEthernet 0/0/6
   ip address 118.122.120.83 24
   gateway 118.122.120.1
   service-manage ping permit
   
   # 将配置好的接口添加到相应的区域。
   firewall zone trust 
   add interface GigabitEthernet 0/0/1
   display this
   firewall zone untrust 
   add interface GigabitEthernet 0/0/6
   display this 
   
   # 配置HFW1防火墙安全策略，需要放通trust、untrust区域相互访问，同时还需要放通local、untrust区域相互访问。
   security-policy 
   rule name site1_site2_network
   source-zone trust untrust 
   destination-zone trust untrust 
   action permit 
   
   rule name local_site2
   source-zone local untrust
   destination-zone local untrust 
   action permit 
   
   display this
   
   # 配置HFW1防火墙acl列表，定义源网络以及目标网络。
   acl 3000  												# 定义acl
   rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.2.1.0 0.0.0.255  
   														# 定义源网络以及目标网络
   display this
   
   # 配置HFW1防火墙ike安全提议。
   ike proposal 1
   integrity-algorithm aes-xcbc-96  						# ike安全提议类型
   display this 
   
   # 配置HFW1防火墙ike对等体。
   ike peer site2
   exchange-mode auto  									# ike对等体信息交换模式
   pre-shared-key Huawei@123  								# ike对等体共享key
   ike-proposal 1
   remote-address 101.207.142.18  							# ike对端IP地址
   remote-id-type ip 101.207.142.18
   display this 
   
   # 配置HFW1防火墙ipsec安全提议。
   ipsec proposal 1
   encapsulation-mode auto									# 使用auto模式
   display this
   
   # 配置HFW1防火墙ipsec安全策略。
   ipsec policy site1 1 isakmp 
   security acl 3000
   ike-peer site2
   proposal 1
   local-address 118.122.120.83
   display this
   
   # 将安全策略应用到出接口。
   interface GigabitEthernet 0/0/6
   ipsec policy site1 auto-neg  							# 应用配置好的策略
   display this
   
   # 配置HFW2防火墙GigabitEthernet 0/0/1接口，该接口用于连接内部网络，允许ping以及https访问。
   interface GigabitEthernet 0/0/1
   ip address 10.2.1.1 24
   service-manage ping permit 
   service-manage https permit
   
   # 配置HFW2防火墙GigabitEthernet 0/0/6接口，该接口用于连接互联网。
   interface GigabitEthernet 0/0/6
   ip address 101.207.142.18 24
   gateway 101.207.142.1
   dns server bind interface GigabitEthernet 0/0/6 preferred 119.6.6.6  
   														# 配置联通DNS服务器地址
   
   # 将配置好的接口添加到相应的区域。
   firewall zone trust 
   add interface GE0/0/1
   display this
   
   firewall zone untrust 
   add interface GigabitEthernet 0/0/6
   display this
   
   # 配置HFW2防火墙安全策略，需要放通trust、untrust区域相互访问，同时还需要放通local、untrust区域相互访问。
   security-policy 
   rule name site2_site1_network
   source-zone trust untrust 
   destination-zone trust untrust 
   action permit
   rule name local_site1
   source-zone local untrust
   destination-zone local untrust 
   action permit
   display this
   
   # 配置HFW2防火墙acl列表，定义源网络以及目标网络。
   acl 3000
   rule permit ip source 10.2.1.0 0.0.0.255 destination 10.1.1.0 
   display this
   
   # 配置HFW2防火墙ike安全提议。
   ike proposal 1
   integrity-algorithm aes-xcbc-96 
   display this
   
   # 配置HFW2防火墙ike对等体。
   ike peer site1
   exchange-mode auto 
   pre-shared-key Huawei@123
   ike-proposal 1
   remote-address 118.122.120.83
   remote-id-type ip 118.122.120.83
   display this
   
   # 配置HFW2防火墙ipsec安全提议。
   ipsec proposal 1
   encapsulation-mode auto 
   display this
   
   # 配置HFW2防火墙ipsec安全策略。
   ipsec policy site2 1 isakmp 
   security acl 3000
   ike-peer site1
   proposal 1
   local-address 101.207.142.18
   display this
   
   # 将安全策略应用到出接口。
   interface GigabitEthernet 0/0/6
   ipsec policy site2 auto-neg
   display this
   
   # 查看HFW1防火墙会话列表，可以看到HFW1防火墙已经有VPN会话信息。
   display firewall session table 
   display ipsec statistics 
   
   # 查看HFW2防火墙会话列表，可以看到HFW2防火墙已经有VPN会话信息。
   display firewall session table 
   display ipsec statistics 
   
   # 在虚拟机HW-Inside_WIN7上访问site2内部IIS服务器，访问正常，说明IPSec VPN隧道建立成功。
   # 在虚拟机HW-Untrust_WIN7上访问对端网络，访问正常，说明IPSec VPN隧道建立成功。
   # 至此，使用命令行配置IPSec VPN完成，其重点在于IKE以及IPSec VPN相关参数配置。需要注意的是，为保证隧道协商成功，一定要确保两端防火墙参数相同。
   

5. 配置使用SSL VPN，L2TP VPN技术可以让出差用户和其他移动用户访问内部服务器，但其安全性无法得到保障。SSL VPN的安全性、便捷性和易用性为企业的移动办公带来了便利，使出差用户的工作效率最大化。重要的是SSL VPN使用SSL协议进行了数据加密，能够很好地保证数据安全。目前常见的应用一般都支持SSL，如IE、Netscape浏览器、Outlook邮件应用等。

   1. 公司内部虚拟机HW-Untrust_WIN08提供IIS服务。虚拟机HW-Inside_WIN7为SSL VPN客户端，虚拟机可以访问互联网，但无法访问公司内部网络。登录HFW2防火墙图形界面，选择网络，可以看到GE0/0/6接口未进行配置。
   2. 配置HFW2防火墙GigabitEthernet0/0/6接口IP地址并将其添加到相应区域，单击“确定”按钮。确认HFW2防火墙接口IP地址以及区域配置是否正确。配置SSL VPN网关，单击“新建”按钮。
   3. 配置SSL VPN网关信息，特别注意默认端口为443，如果互联网IP地址未备案，运营商会屏蔽该端口，这里修改端口为4430，单击“下一步”按钮。配置SSL VPN加密相关信息，单击“下一步”按钮。
   4. 配置SSL VPN需要开启的业务，在生产环境中根据实际需求进行勾选，单击“下一步”按钮。对Web代理资源进行配置，单击“新建”按钮。新建Web资源，提供内部IIS服务器相关信息，单击“确定”按钮。
   5. 完成Web代理资源的配置，单击“下一步”按钮。配置网络扩展资源，网络扩展资源用于客户端对内部网络的访问，单击“下一步”按钮。配置文件共享资源，单击“下一步”按钮。
   6. 可根据需要配置端口转发资源，这里未配置，单击“下一步”按钮。创建SSL VPN用户，同时对SSL VPN的用户进行授权，单击“新建”按钮。对创建好的用户sslvpn-user01进行授权，单击“完成”按钮。
   7. 完成SSL VPN网关的配置。查看SSL VPN监控，因为客户端未拨入，所以SSL连接数为0。配置安全策略允许访问SSL VPN网关。使用浏览器访问SSL VPN网关地址，出现华为SSL VPN相关信息，说明SSL VPN网关配置正确。如果不能访问网关地址请检查配置，然后再输入创建的SSL VPN用户以及密码，单击“登录”按钮。
   8. 登录SSL VPN成功，在主页中可以看到客户端能够访问内部网络的Web代理资源以及文件共享资源。通过浏览器访问内部网络的Web代理资源正常。通过浏览器访问内部网络的文件共享资源正常。
   9. 查看SSL VPN监控，SSL VPN客户端成功拨入，SSL连接数为4。通过浏览器可以拨入SSL VPN，也可以通过客户端进行拨入，下载网络扩展客户端软件即可。安装运行HUAWEI SSL VPN客户端软件，配置SSL VPN相关参数，单击“登录”按钮。
   10. 在客户端中使用ping命令测试访问内部网络IIS服务器是否正常。使用浏览器访问内部网络Web代理资源正常。访问内部网络的文件共享资源正常。
   11. 至此，配置SSL VPN完成。与L2TP VPN对比，SSL VPN能够保证数据安全，通过浏览器即可实现内部资源的访问。另外，L2TP VPN对内部资源访问控制较弱，SSL VPN对可以访问的内部资源能够更好地进行控制，在一定程度上保证内部网络安全。同时，SSL VPN支持浏览器以及客户端两种访问模式，为用户提供更好的选择。

6. 配置使用GRE over IPSec VPN，GRE VPN无法直接实现数据的加密，而IPSec只能对单播数据进行加密保护。因此，对于路由协议、语音、视频等组播数据需要在IPSec隧道中传输的情况，可以通过建立GRE隧道，并对组播数据进行GRE封装，然后对封装后的数据报文进行IPSec的加密处理，就可以实现组播数据在IPSec隧道中的加密传输。GRE over IPSec就是结合GRE和IPSec两种技术的优点，使网络既可以支持多种上层协议和组播报文，又可以支持数据报文加密、身份认证机制和数据完整性校验。

   1. 对HFW1防火墙GE0/0/1以及GE0/0/6接口进行配置。配置HFW1防火墙GRE接口参数，注意GRE使用的隧道IP地址配置，单击“确定”按钮。配置HFW1防火墙IPSec安全策略基本参数。配置HFW1防火墙IPSec加密的报文，单击“确定”按钮。
   2. 配置HFW1防火墙IPSec安全提议参数。配置HFW1防火墙到达HFW2防火墙的静态路由，单击“确定”按钮。配置HFW1安全策略。注意在生产环境中需要对策略进行细化配置。
   3. 对HFW2防火墙GE0/0/1以及GE0/0/6接口进行配置。配置HFW2防火墙GRE接口参数，注意GRE使用的隧道IP地址配置，单击“确定”按钮。配置HFW2防火墙IPSec安全策略基本参数。
   4. 配置HFW1防火墙IPSec加密的报文，单击“确定”按钮。配置HFW2防火墙IPSec安全提议参数。配置HFW2防火墙到达HFW1防火墙的静态路由，单击“确定”按钮。
   5. 配置HFW2安全策略。注意在生产环境中需要对策略进行细化配置。查看HFW2防火墙IPSec策略列表，协商状态成功为1。查看HFW2防火墙GRE监控列表，GRE获取数据报文。
   6. 在虚拟机HW-Untrust_WIN7上使用ping命令测试对端网络连通性，网络正常。查看HFW1防火墙IPSec监控列表，IPSec VPN协商成功。查看HFW1防火墙GRE监控列表，GRE获取数据报文。
   7. 在虚拟机HW-Inside_WIN7上访问对端IIS服务器，同时使用ping命令测试对端网络连通性，IIS服务器访问正常，ping网络正常，说明GRE over IPSec VPN配置正确。
   8. 至此，GRE over IPSec VPN配置完成，两种VPN技术的同时使用，能够更好地加密数据，确保通信的安全，在生产环境中可以结合实际情况使用。

7. 配置使用L2TP over IPSec VPN，L2TP over IPSec是IPSec应用中一种常见的扩展方式，它可以综合两种VPN的优势，通过L2TP实现用户验证和地址分配，并利用IPSec保障安全性。

   1. 对HFW2防火墙GE0/0/1以及GE0/0/6接口进行配置。配置L2TP over IPSec隧道参数。配置拨号用户访问内部网络的地址池。配置IPSec加密的报文，单击“确定”按钮。
   2. 创建L2TP隧道，单击“确定”按钮。创建拨号使用的用户，单击“确定”按钮。配置安全策略。注意在生产环境中需要对策略进行细化配置。拨号客户端需要安装Secoway VPN Client软件后进行配置，单击“保存”按钮。
   3. 输入服务器地址、用户名、密码，单击“登录”按钮。查看IPSec策略监控列表，L2TP over IPSec协商成功。查看L2TP通道监控列表，客户端拨入成功。在L2TP over IPSec客户端使用浏览器访问内部IIS服务器，访问正常。
   4. 在客户端使用ping命令检查网络连通性，再使用命令查看获取IP地址情况。这说明L2TP over IPSec VPN配置正确。
   5. 至此，L2TP over IPSec VPN配置完成。L2TP over IPSec VPN解决了传统L2TP安全性相对较差的问题，两者的结合可以让用户有更多的选择。

8. 配置使用DSVPN，动态智能VPN（Dynamic Smart IPSec VPN，DSVPN）通过下一跳地址解析协议（Next Hop Resolution Protocol，NHRP）动态收集、维护和发布分支节点的互联网地址信息，解决了分支节点使用动态互联网IP地址的问题。同时，为了在VPN隧道中能够传送如动态路由协议的组播报文，DSVPN在网络节点之间采用MGRE协议建立VPN隧道。分支之间建立VPN隧道以后，分支之间的业务流量将不再经过总部中转，从而减轻了总部的负担，也避免了网络延时。DSVPN网络只支持静态路由和OSPF路由协议。

   1. 对总部-Hub防火墙HFW3的GE0/0/1以及GE0/0/6接口进行配置。新建DSVPN，防火墙HFW3定义为总部-Hub，设备身份选择总部，其他参数配置，单击“确定”按钮。完成总部-Hub防火墙HFW3的配置。对分支机构1-Spoke防火墙HFW1的GE0/0/1以及GE0/0/6接口进行配置。

   2. 新建DSVPN，防火墙HFW1定义为分支机构1-Spoke，设备身份选择分支机构，其他参数配置，单击“确定”按钮。完成分支机构1-Spoke防火墙HFW1的配置。对分支机构2-Spoke防火墙HFW2的GE0/0/1以及GE0/0/6接口进行配置。新建DSVPN，防火墙HFW1定义为分支机构2-Spoke，设备身份选择分支机构，其他参数配置，单击“确定”按钮。

   3. 完成分支机构2-Spoke防火墙HFW2的配置。在总部-Hub防火墙HFW3查看DSVPN监控列表，两个分支机构成功连接。在分支机构1-Spoke防火墙HFW1查看DSVPN监控列表，分支机构1-Spoke分别与总部-Hub、分支机构2-Spoke成功连接。在分支机构2-Spoke防火墙HFW2查看DSVPN监控列表，分支机构2-Spoke分别与总部-Hub、分支机构1-Spoke成功连接。

   4. 在总部虚拟机上访问分支机构2内部IIS服务器，访问正常。在分支机构1虚拟机上访问分支机构2内部IIS服务器，访问正常。

      # 查看总部-Hub防火墙HFW3会话列表，可以看到HFW3与HFW1、HFW2建立了两条gre隧道。
      display firewall session table 
      
      # 查看总部-Hub防火墙HFW3映射表，可以看到HFW3与HFW1，HFW3与HFW2分别建立了隧道。
      display nhrp entry brief 
      
      # 查看分支机构1-Spoke防火墙HFW1会话列表，可以看到HFW1与HFW2、HFW3建立了两条gre隧道。
      display firewall session table 
      
      # 查看分支机构1-Spoke防火墙HFW1映射表，可以看到HFW1与HFW2，HFW1与HFW3分别建立了隧道。
      display nhrp entry brief 
      
      # 查看分支机构2-Spoke防火墙HFW2会话列表，可以看到HFW2与HFW1、HFW3建立了两条gre隧道。
      display firewall session table
      
      # 查看分支机构2-Spoke防火墙HFW2映射表，可以看到HFW2与HFW3，HFW2与HFW1分别建立了隧道。
      display nhrp entry brief
      

   5. 至此，DSVPN配置完成。DSVPN的出现优化了分支机构VPN网络的访问，避免了分支机构之间网络访问必须经过总部可能造成的延时等问题。DSVPN支持对数据流进行加密，启用IPSec选项即可。

配置使用UTM

1. 华为USG系列防火墙融合了网关防病毒、入侵防御、URL过滤等多种功能特性，能够很好地解决内外部网络的安全问题，为内部网络提供良好的保障。
2. 升级UTM库，UTM由多种内置的信息库组成，包括入侵防御特征库、反病毒特征库、应用识别特征库、地区识别特征库。配置UTM，需要检查UTM库的版本是否是最新版本以升级服务有效期，这样才能保证UTM能够为内部网络提供安全保障。
   1. 使用浏览器登录防火墙图形界面，选择系统中的升级中心列表，可以看到UTM库相关信息，注意入侵防御特征库、反病毒特征库两个库的版本没有信息。其原因是未授权。
   2. 对应用识别特征库进行升级，升级完成后版本发布日期发生变化。查看License管理，其中内容安全组合、国密功能、入侵防御、反病毒、URL过滤未得到授权，单击“激活”按钮。
   3. 如果未购买授权，可以选择License试用，单击“激活”按钮。在线激活入侵防御、反病毒、URL过滤功能。激活后可以对入侵防御特征库、反病毒特征库进行升级。在生产环境中推荐配置定时升级时间，保证UTM库为最新版本，单击“确定”按钮。
   4. 至此，UTM库升级配置完成。在生产环境中一定要注意是否购买UTM相关授权以及授权的有效期，否则UTM库将无法进行升级。
3. 配置UTM防病毒，UTM防病毒也称为网关防病毒技术，网关防病毒是将所有经过网关的文件全部缓存，送入病毒检测引擎进行病毒检测。UTM防病毒需要License授权以及升级，如果未授权，该功能将无法使用。
   1. 使用浏览器登录防火墙图形界面，选择对象中的安全配置文件下的反病毒，可以看到默认反病毒配置文件。新建反病毒配置文件，可以根据生产环境的需求定义反病毒使用的协议，单击“确定”按钮。
   2. 新建安全策略，在内容安全中调用创建的反病毒配置文件，单击“确定”按钮。确认安全策略调用内容安全，否则反病毒配置无效。在威胁日志信息中可以查看反病毒记录。如果通过网关传输的文件有反病毒特征库中收录的病毒信息，那么威胁日志中会记录相关信息。
4. 配置UTM入侵防御，入侵是指未经过授权访问或者篡改内部系统中的数据，比较常见的入侵包括破解系统密码、查看篡改敏感数据、访问未经允许的服务等。UTM入侵防御属于智能化的入侵检测和防御产品，不但能够检测入侵的发生，还能够通过一定的响应中止入侵行为的发生，保护内部系统不受攻击。
   1. 使用浏览器登录防火墙图形界面，选择对象中的安全配置文件下的入侵防御，可以看到默认入侵防御配置文件。新建入侵防御配置文件，重新定义签名过滤器，单击“新建”按钮。
   2. 新建签名过滤器，在生产环境中可以根据实际情况进行定义，对Windows操作系统客户端HTTP进行了定义，单击“预览签名过滤结果”按钮。
   3. 在预览签名过滤结果中可以对签名过滤器内容进行预览，包括多种木马、攻击等入侵信息。需要注意，生产环境设备需要及时更新入侵防御特征库版本以保证防火墙能够识别新型的木马以及新的攻击方式。
   4. 确认签名过滤器配置完成，单击“确定”按钮。完成自定义入侵防御配置文件的配置。特别注意入侵防御配置文件需要提交后才能生效。
   5. 新建安全策略，在内容安全中调用创建的入侵防御配置文件，特别注意源安全区域与目的安全区域的配置，配置的是防御外部网络到local、dmz、trust区域的入侵和攻击，单击“确定”按钮。
   6. 确认安全策略调用内容安全，否则入侵防御配置无效。在威胁日志信息中可以查看相关记录。如果存在入侵防御特征库中收录的木马以及攻击信息，那么威胁日志会记录相关信息。

配置用户认证

1. 默认情况下，华为USG防火墙用户访问网络为免认证方式，但在生产环境中，可能会限制部分用户访问网络，那么可以配置用户认证保障网络安全。
2. 配置密码认证
   1. 配置HFW1防火墙，虚拟机HW-Inside_WIN7、HW-Trust_WIN7无须认证就可以访问互联网。新建用户用于认证，单击“确定”按钮。
   2. 新建地址用于认证调用，单击“确定”按钮。默认情况认证策略的认证动作为不认证，单击“新建”按钮。新建认证策略，源地址选择新建的guest，代表guest地址访问网络需要认证，单击“确定”按钮。
   3. 新建安全策略，客户端可以访问认证地址端口8887。在受限制访问虚拟机的情况下打开网页，系统提示“您必须先登录此网络才能访问互联网”，说明密码认证生效，输入用户名以及密码，单击“登录”按钮。
   4. 密码认证成功后，客户端成功访问互联网。
   5. 至此，配置密码认证完成。该功能可以很好地限制用户对于网络的访问，通过定义不同的策略，可以限制内部网络以及外部网络的访问，以保证内部网络的安全性。

生产环境案例

1. 在生产环境中，安全设备的使用是多元化的，比如存在多个厂商的设备，这时华为USG防火墙与其他厂商设备的配置，企业生产环境完整架构如何设计等都是需要解决的问题。

2. 华为USG防火墙与思科ASA防火墙IPSec VPN配置

   # 配置HFW2防火墙IPSec VPN基本参数。配置HFW2防火墙加密的数据流。
   # 配置HFW2防火墙IKE以及IPSec安全提议参数。特别注意IKE版本以及IPSec封装模式要与思科ASA防火墙匹配。
   # 使用命令查看配置思科ASA防火墙运行的软件版本，注意思科ASA防火墙版本不能太低，推荐使用8.×版本。
   show version 
   
   # 配置思科ASA防火墙IPSec VPN。
   crypto isakmp enable outside
   
   # 配置思科ASA防火墙第一阶段ike策略。
   crypto isakmp policy 10
   authentication pre-share  								# 配置第一阶段预共享密钥
   encryption 3des  										# 配置ike加密算法使用3des
   hash md5       											# 配置ike数据包校验使用md5
   group 2        											# 配置dh交换使用group 2
   lifetime 86400 											# 配置ike超时时间
   
   # 配置思科ASA防火墙第二阶段ike策略。
   access-list ciscoasa extended permit ip 172.16.1.0 255.255.255.0 10.2.1.0 255.255.255.0  #定义IPSec VPN访问控制列表
   crypto map ipsec_map 10 match address ciscoasa  		# 配置调用访问控制列表
   crypto map ipsec_map 10 set pfs  						# 启用pfs，完美向前保密
   crypto map ipsec_map 10 set peer 101.207.142.18  		# 配置对端IP地址
   crypto map ipsec_map 10 set transform-set ciscoasa		# 配置转换
   
   # 配置思科ASA防火墙ike预共享密钥。
   tunnel-group 101.207.142.18 type ipsec-l2l 				# 创建IPSec VPN隧道，类型为LAN to LAN IPSec VPN
   tunnel-group 101.207.142.18 ipsec-attributes  			# 配置预共享密钥
   pre-shared-key Huawei@123
   
   crypto map ipsec_map interface outside  				# 将配置应用到outside出接口
   
   show crypto ipsec sa 									# 查看思科ASA防火墙ipsec sa信息。
   
   # 查看思科ASA防火墙isakmp sa信息，可以看到SA状态激活，IKE Peer为对端华为USG防火墙。
   show crypto isakmp sa detail 
   
   show vpn-sessiondb l2l									# 查看思科ASA防火墙vpn信息。
   
   show crypto protocol statistics ipsec 					# 查看思科ASA防火墙ipsec协议状态。
   
   # 查看华为USG防火墙IPSec VPN状态，协商状态成功为1。
   # 查看华为USG防火墙IPSec策略控制列表，可以看到本端地址、对端地址、算法、协商数据流等信息。
   # 为帮助读者更好地理解，给出思科ASA防火墙全部配置供参考。
   show running-config 
   
   # 华为USG防火墙全部配置供参考。
   display current-configuration 
   # 至此，华为USG防火墙与思科ASA防火墙IPSec VPN配置完成。其难度不大，主要在于IKE策略的匹配，其他厂商的防火墙IPSec VPN配置类似。