• 本篇来讲一下USG6000的各种配置命令,此外还有配置web登录和ssh登录

一.防火墙简介

防火墙的工作模式

  • 路由模式:当防火墙处于内部网络和外部网络中间时,需要将防火墙的内部网络、外部网络、DMZ三个区域不同地址段的时候,这个时候防火墙首先是一台路由器,其后在提供其他的防火墙功能
  • 透明模式:华为防火墙和外层相连的时候,则防火墙处于透明模式下
  • 混合模式:既处于路由接口模式又处于透明模式下,则防火墙是混合模式,目前只用于透明模式下的双机热备的特殊应用中,别的环境不用。

华为防火墙的安全区域

  • Local:通常定义防火墙本身,优先级100,防火墙除了转发的流量外,自己也有收发流量,如控制流量、动态路由协议等,这些报文通常是从Local区域发送的
  • trust:主要用户连接公司内部网络,优先级是85,安全等级较高
  • DMZ:非军事化区域,优先级为50,是介于军事管事区和公共区域之间的一个区域,安全等级中
  • untrust:外部网络,优先级为5,安全等级低
  • 自定义区域:用户自定义区域。默认最多16个区域,默认没有优先级,用户自定义优先级

防火墙的inbound和outbound

  • inbound:数据由等级低的流向等级高的,如untrust(5)区域流向trust(85)
  • outbound:数据由等级高的流向等级低的,如DMZ(50)区域流向untrust(5)

安全策略

  • 传统的防火墙都是基于5元组:源ip、目标IP、协议号、源端口号、目标端口号
  • 新一代的防火墙除了传统的5元组之外,还加入了应用、内容、时间、用户、威胁、位置进行深层次探测
  • 任何2个安全区域的优先级不能相同
  • 本域内不同接口间的报文不过滤直接转发
  • 接口没有加入域之前不能转发包
  • 在USG6600系列防火墙上默认是没有安全策略的,也就是说,不管是什么区域之间项目访问,都必须要配置安全策略,除非是同一区域内的报文传递

二.USG6000具体配置

网络拓扑图

Cloud1的配置

USG6000防火墙配置使用Telnet协议,登录远程软件

  • 在ensp上的usg终端上的配置
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password:
Please enter new password:
Please confirm new password: Info: Your password has been changed. Save the change to survive a reboot.
*************************************************************************
*         Copyright (C) 2014-2018 Huawei Technologies Co., Ltd.         *
*                           All rights reserved.                        *
*               Without the owner's prior written consent,              *
*        no decompiling or reverse-engineering shall be allowed.        *
*************************************************************************<USG6000V1>sys
Enter system view, return user view with Ctrl+Z.
[USG6000V1]un in en
Info: Saving log files...
Info: Information center is disabled.
[USG6000V1]sysname FW
[FW]int g0/0/0
[FW-GigabitEthernet0/0/0]ip add 192.168.70.10 24    //进入g口,配置IP地址
[FW-GigabitEthernet0/0/0]service-manage enable    //配置接口管理模式
[FW-GigabitEthernet0/0/0]service-manage telnet permit    //允许telnet服务
[FW-GigabitEthernet0/0/0]un sh    //激活接口
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[FW-GigabitEthernet0/0/0]q
[FW]telnet server enable    //开启telnet服务
Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.
[FW]firewall zone trust    //进入防火墙的trust区域
[FW-zone-trust]dis this    //确定g口,添加进入trust区域
2020-02-11 03:11:23.790
#
firewall zone trustset priority 85add interface GigabitEthernet0/0/0
#
return
[FW-zone-trust]q
[FW]security-policy    //安全策略配置
[FW-policy-security]rule name allow_telnet    //取名规则,命名为allow_telnet
[FW-policy-security-rule-allow_telnet]source-zone trust    //来自trust区域
[FW-policy-security-rule-allow_telnet]destination-zone local    //去local区域
[FW-policy-security-rule-allow_telnet]action permit    //动作是允许放通
[FW-policy-security-rule-allow_telnet]q
[FW-policy-security]q
[FW]user-interface vty 0 4    //进入配置认证模式
[FW-ui-vty0-4]authentication-mode aaa    //认证模式为aaa
Warning: The level of the user-interface(s) will be the default level of AAA use
rs, please check whether it is correct.
[FW-ui-vty0-4]protocol inbound telnet    //允许telnet连接虚拟终端
[FW-ui-vty0-4]q
[FW]aaa    //进入AAA模式
[FW-aaa]manager-user demo    //配置管理用户名为demo
[FW-aaa-manager-user-demo]password cipher bdqn@123    //设置密码
Info: You are advised to config on man-machine mode.
[FW-aaa-manager-user-demo]service-type telnet    //服务类型是telnet
Warning: The user access modes include Telnet or FTP, so security risks exist.
[FW-aaa-manager-user-demo]level 3    //用户权限级别是3
[FW-aaa-manager-user-demo]q
[FW-aaa]
  • 点击SecureCRT软件远程登录防火墙

USG6000防火墙配置WEB界面登录

<FW>sys
Enter system view, return user view with Ctrl+Z.
[FW]int g0/0/0
[FW-GigabitEthernet0/0/0]service-manage http permit    //允许http服务
[FW-GigabitEthernet0/0/0]service-manage https permit    //允许https服务
[FW-GigabitEthernet0/0/0]q
[FW]aaa    //进入AAA模式
[FW-aaa]manager-user demo
[FW-aaa-manager-user-demo]service-type web    //服务类型web
  • 在本机浏览器输入http://192.168.70.10:8443/,具体web界面配置方法参考百度

USG6000防火墙配置使用SSH协议,登录远程软件

[FW]int g0/0/0
[FW-GigabitEthernet0/0/0]service-manage ssh permit       //ssh流量放通
[FW-GigabitEthernet0/0/0]q
[FW]rsa local-key-pair create    //生成ssh密钥
The key name will be: FW_Host
The range of public key size is (2048 ~ 2048).
NOTES: If the key modulus is greater than 512, it will take a few minutes.
Input the bits in the modulus[default = 2048]:
Generating keys...
...+++++
........................++
....++++
...........++[FW]aaa
[FW-aaa]manager-user demo
[FW-aaa-manager-user-demo]service-type ssh    //服务类型是ssh
[FW-aaa-manager-user-demo]q
[FW-aaa]q
[FW]stelnet server enable
Info: Succeeded in starting the Stelnet server.
[FW]user-interface vty 0 4    //进入配置认证模式
[FW-ui-vty0-4]protocol inbound ssh    //允许ssh连接虚拟终端
[FW-ui-vty0-4]q
[FW]

ENSP-----华为USG6000防火墙相关推荐

  1. 华为 USG6000防火墙配置镜像模式双机热备

    网络拓扑 要求: 企业前期是一台防火墙,为了提高网络可靠性,并且在不影响原先防火墙配置情况下,新增一台防火墙做双机热备.两台FW的业务接口都工作在三层,下行为三层核心交换机.上行为二层交换机连接运营商 ...

  2. 华为eNSP里USG6000无限#号的解决方法:要有一个真实网口激活

    华为eNSP里USG6000无限#号的解决方法:要有一个真实网口激活. 用了v1.30版的eNSP,配的900多M的usg6000v的镜像. 在做实验时发现,有时候防火墙就可以正常启动,而有时候就无限 ...

  3. 华为usg6000配置手册_带你了解防火墙安全区域的作用及简单的配置,小白不要错过了...

    上一篇文章<防火墙入门基础之登录Web配置界面>已经简单的介绍了关于华为防火墙的如何配置Web登录,也开始接触了关于防火墙安全区域的基本概念.其实防火墙安全区域是一个非常重要的概念,简称为 ...

  4. 解决华为 ENSP 路由器或者防火墙长时间启动不了,打开后呈现#字符号。

    项目场景: 问题描述 华为 ENSP 路由器或者防火墙开启的时候长时间启动不了,打开后呈现#字符号. 解决方案: 耐心等待,一般没有问题的话,是可以等到成功开启的 停止设备,重新启动,多次尝试.可能会 ...

  5. eNSP配置web防火墙登录华为防火墙Web页面

    目录 eNSP配置web防火墙登录华为防火墙Web页面 基本定义 防火墙功能 重要性 意义与特征 主要类型 关键技术 部署方式 具体应用 未来趋势 eNSP配置web防火墙登录华为防火墙Web页面 P ...

  6. 防火墙详解(二)通过网页登录配置华为eNSP中USG6000V1防火墙

    配置步骤 步骤一 打开eNSP,建立如下拓扑.防火墙使用:USG6000V1. Cloud的作用是通过它可以连接本地的网卡,然后与我们的电脑进行通信. 由于防火墙USG6000V,不能直接开启,需要的 ...

  7. 华为USG防火墙及NGFW高可用性的规划与实施详解

    华为USG防火墙及NGFW高可用性的规划与实施详解 课程目标: 该课程程为卷B,它紧接卷A所描述的基础内容,开始进入防火墙的高可性的规划与实施,本课程卷B的核心目标是:一.从真正意义上去理解防火墙的双 ...

  8. 华为云防火墙-firewall 打开关闭

    华为云防火墙-firewall 打开关闭 (1)查看对外开放的端口状态 ##查询已开放的端口 netstat -anp ##查询指定端口是否已开 firewall-cmd --query-port=6 ...

  9. 华为防火墙查看日志命令_华为路由器防火墙配置命令总结(上)

    华为路由器防火墙配置命令总结(上) 作者:IT168 2006-06-12 11:35 评论 分享 一.access-list 用于创建访问规则. (1)创建标准访问列表 access-list [ ...

  10. 网络技术-ENSP 华为模拟器(二)静态路由配置-3路由3PC

    一.内容概述 根据<网络技术-ENSP 华为模拟器(一)静态路由配置-2路由2PC>的技术研习结果,本章将进行对之前拓扑图进行拓展并配置,其中包含新的知识点和问题解决. 二.拓展后拓扑图 ...

最新文章

  1. eclipse启动maven项目报类找不到
  2. linux 脚本详解,shell脚本分析日志
  3. Codeforces Round #133 (Div. 2) C. Hiring Staff 想法题目
  4. DSP与STM32区别
  5. 微信小程序在当前页面设置其他页面的数据
  6. linux内核驱动工作队列用法
  7. spingboot整合netty实现单聊整合实现
  8. unity 打开项目路径无效_unity3d建立的文件有中文路径,现在新建了项目打不开了...
  9. linux tar命令压缩_Linux tar命令来压缩和提取文件
  10. hadoop入门-centos7.2安装hadoop2.8
  11. Vim快捷键(四):Vim查找与替换
  12. 再谈Redis应用场景
  13. 基于asp.net的在线问卷调查系统
  14. 【转】2014阿里巴巴面试经历
  15. 输入平方尺转换为平方米 计算机,如何用电脑打出平方?平方米符号输入步骤教程...
  16. 一键重装系统工具和U盘重装工具有什么区别?
  17. 火狐浏览器安全连接失败解决办法
  18. SAP案例教程FIAR应收账款后台配置
  19. 【抖音小程序】抖音小程序避免onClose重复回调 解决广告重复回调
  20. 图片img标签设置默认图片

热门文章

  1. C# chart控件使用方法
  2. 仿站源码上传服务器,仿爱站站长查询工具网源码带后台完整版
  3. 常见Excel技巧表
  4. 华为手机所有图标变黑_华为手机突然图标变黑
  5. 【2019最新最全版】Java基础入门视频
  6. dart 爬取 妹子图 豆瓣影评
  7. 我只写注释 —— 让Ai写代码
  8. 关于NXP公司的IMX6系列芯片参考资料体系介绍
  9. rainmeter雨滴皮肤——万花筒
  10. Eviews建立Var模型1