华为防火墙配置使用手册(自己写)

华为防火墙配置使用手册防火墙默认的管理接口为g0/0/0，默认的ip地址为192.168.0.1/24，默认g0/0/0接口开启了dhcpserver，默认用户名为admin，默认密码为Admin@123一、配置案例1.1拓扑图GE0/0/1：10.10.10.1/24GE0/0/2：220.10.10.16/24GE0/0/3：10.10.11.1/24服务器：10.10.11.2/24（DMZ区域）FTP服务器：10.10.11.3/24（DMZ区域）1.2Telnet配置配置VTY的优先级为3，基于密码验证。#进入系统视图。USG5300system-view#进入用户界面视图[USG5300]user-interfacevty04#设置用户界面能够访问的命令级别为level3[USG5300-ui-vty0-4]userprivilegelevel3配置Password验证#配置验证方式为Password验证[USG5300-ui-vty0-4]authentication-modepassword#配置验证密码为lantian[USG5300-ui-vty0-4]setauthenticationpasswordsimplelantian###最新版本的命令是authentication-modepasswordcipherhuawei@123配置空闲断开连接时间#设置超时为30分钟[USG5300-ui-vty0-4]idle-timeout30[USG5300]firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound//不加这个从公网不能telnet防火墙。基于用户名和密码验证user-interfacevty04authentication-modeaaaaaalocal-useradminpasswordcipher]MQ;4\]B+4Z,YWX*NZ55OA!!local-useradminservice-typetelnetlocal-useradminlevel3firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。1.3地址配置内网：进入GigabitEthernet0/0/1视图[USG5300]interfaceGigabitEthernet0/0/1配置GigabitEthernet0/0/1的IP地址[USG5300-GigabitEthernet0/0/1]ipaddress10.10.10.1255.255.255.0配置GigabitEthernet0/0/1加入Trust区域[USG5300]firewallzonetrust[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/1[USG5300-zone-untrust]quit外网：进入GigabitEthernet0/0/2视图[USG5300]interfaceGigabitEthernet0/0/2配置GigabitEthernet0/0/2的IP地址[USG5300-GigabitEthernet0/0/2]ipaddress220.10.10.16255.255.255.0配置GigabitEthernet0/0/2加入Untrust区域[USG5300]firewallzoneuntrust[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/2[USG5300-zone-untrust]quitDMZ：进入GigabitEthernet0/0/3视图[USG5300]interfaceGigabitEthernet0/0/3配置GigabitEthernet0/0/3的IP地址。[USG5300-GigabitEthernet0/0/3]ipaddress10.10.11.1255.255.255.0[USG5300]firewallzonedmz[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/3[USG5300-zone-untrust]quit1.4防火墙策略本地策略是指与Local安全区域有关的域间安全策略，用于控制外界与设备本身的互访。域间安全策略就是指不同的区域之间的安全策略。域内安全策略就是指同一个安全区域之间的策略，缺省情况下，同一安全区域内的数据流都允许通过，域内安全策略没有Inbound和Outbound方向的区分。策略内按照policy的顺序进行匹配，如果policy0匹配了，就不会检测policy1了,和policy的ID大小没有关系，谁在前就先匹配谁。缺省情况下开放local域到其他任意安全区域的缺省包过滤，方便设备自身的对外访问。其他接口都没有加安全区域，并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域，并配置域间安全策略或开放缺省包过滤。安全策略的匹配顺序：每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。匹配条件安全策略可以指定多种匹配条件，报文必须同时满足所有条件才会匹配上策略。比如如下策略policy1policyserviceservice-setdnspolicydestination221.2.219.1230policysource192.168.10.1在这里policyservice的端口53就是指的是221.2.219.123的53号端口，可以说是目的地址的53号端口。域间可以应用多条安全策略，按照策略列表的顺序从上到下匹配。只要匹配到一条策略就不再继续匹配剩下的策略。如果安全策略不是以自动排序方式配置的，策略的优先级按照配置顺序进行排列，越先配置的策略，优先级越高，越先匹配报文。但是也可以手工调整策略之间的优先级。缺省情况下，安全策略就不是以自动排序方式。如果安全策略是以自动排序方式配置的，策略的优先级按照策略ID的大小进行排列，策略ID越小，优先级越高，越先匹配报文。此时，策略之间的优先级关系不可调整。policycreate-modeauto-sortenable命令用来开启安全策略自动排序功能，默认是关闭的。如果没有匹配到安全策略，将按缺省包过滤的动作进行处理，所以在配置具体安全策略时要注意与缺省包过滤的关系。例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤，将造成那些没有匹配到安全策略的流量也会通过，就失去配置安全策略的意义了。同样，如果安全策略中只配置了需要拒绝的流量，其他流量都是允许通过的，这时需要开放缺省包过滤才能实现需求，否则会造成所有流量都不能通过。执行命令displaythis查看当前已有的安全策略，策略显示的顺序就是策略的匹配顺序，越前边的优先级越高执行命令policymovepolicy-id1{before|after}policy-id2，调整策略优先级。UTM策略安全策略中除了基本的包过滤功能，还可以引用IPS、AV、应用控制等UTM策略进行进一步的应用层检测。但前提是匹配到控制动作为permit的流量才能进行UTM处理，如果匹配到deny直接丢弃报文。安全策略的应用方向域间的Inbound和Outbound方向上都可以应用安全策略，需要根据会话的方向合理应用。因为USG是基于会话的安全策略，只对同一会话的首包检测，后续包直接按照首包的动作进行处理。所以对同一条会话来说只需要在首包的发起方向上，也就是访问发起的方向上应用安全策略。如上图所示，Trust域的PC访问Untrust域的Server，只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC访问Server即可，对于Server回应PC的应答报文会命中首包建立的会话而允许通过。1.4.1Trust和Untrust域间：允许内网用户访问公网策略一般都是优先级高的在前，优先级低的在后。policy1：允许源地址为10.10.10.0/24的网段的报文通过配置Trust和Untrust域间出方向的防火墙策略。//如果不加policysource就是指any，如果不加policydestination目的地址就是指any。[USG5300]policyinterzonetrustuntrustoutbound[USG5300-policy-interzone-trust-untrust-outbound]policy1[USG5300-policy-interzone-trust-untrust-outbound-1]policysource10.10.10.00.0.0.255[USG5300-policy-interzone-trust-untrust-outbound-1]actionpermit[USG5300-policy-interzone-trust-untrust-outbound-1]quit如果是允许所有的内网地址上公网可以用以下命令：[USG2100]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound//必须添加这条命令，或者firewallpacket-filterdefaultpermitall，但是这样不安全。否则内网不能访问公网。注意：由优先级高访问优先级低的区域用outbound，比如policyinterzonetrustuntrustoutbound。这时候policysourceip地址，就是指的优先级高的地址，即trust地址，destination地址就是指的untrust地址。只要是outbound，即使配置成policyinterzoneuntrusttrustoutbound也会变成policyinterzonetrustuntrustoutbound。由优先级低的区域访问优先级高的区域用inbound，比如是policyinterzoneuntrusttrustinbound，为了保持优先级高的区域在前，优先级低的区域在后，命令会自动变成policyinterzonetrustuntrustinbound，这时候policysourceip地址，就是指的优先级低的地址，即untrust地址，destination地址就是指的优先级高的地址，即trust地址。总结：outbount时，source地址为优先级高的地址，destination地址为优先级低的地址。inbount时，source地址为优先级低的地址，destination地址为优先级高的地址配置完成后可以使用displaypolicyinterzonetrustuntrust来查看策略。1.4.2DMZ和Untrust域间：从公网访问内部服务器policy2：允许目的地址为10.10.11.2，目的端口为21的报文通过policy3：允许目的地址为10.10.11.3，目的端口为8080的报文通过配置Untrust到DMZ域间入方向的防火墙策略，即从公网访问内网服务器只需要允许访问内网ip地址即可，不需要配置访问公网的ip地址。注意：在域间策略里匹配的顺序和policy的数字没有关系，他是从前往后检查，如果前一个匹配就不检查下一条了，假如先写的policy3后写的policy2，那么就先执行policy3里的语句，如果policy3里和policy2里有相同的地址，只要上一个匹配了就不执行下一个一样的地址了。举例说明：policy2里允许192.168.0.1通过，policy3里拒绝192.168.0.1通过，哪个pol