UGS防火墙配置说明.docx
《UGS防火墙配置说明.docx》由会员分享,可在线阅读,更多相关《UGS防火墙配置说明.docx(12页珍藏版)》请在冰豆网上搜索。
UGS防火墙配置说明
USG6310S防火墙配置说明
概述
防火墙使用场景为子站保护管理机(安全II区)接入站内继保保护装置(安全I区),通过对IP地址及端口进行限制,达到阻止非法访问的目的。
为方便现场调试及日后维护工作现规定如下:
1)防火墙ETH0接从交换机过来的网线;
2)
3)防火墙ETH4接从子站管理机过来的网线。
4)
登录
将笔记本通过网线接入防火墙的ETH0,通过浏览器访问。
用户名:
admin、密码:
Admin@123(初始密码)进行配置,第一次登录时需要修改密码,将密码改为“Nice2003”。
登录后设置界面如下图所示
图21登录首页
网络配置
点击快捷按钮“网络”,可以对所使用的接入口进行配置,操作顺序如下图所示:
装置后面板网口标识0至7与配置页面中接口名称对应关系如下:
后面板ETH0对应配置页面中接口GE0/0/0
后面板ETH1对应配置页面中接口GE0/0/1
…
后面板ETH7对应配置页面中接口GE0/0/7
1.1.ETH0配置
1.2.
ETH保留作为配置使用。
出厂时已经设好,无需变更。
图31ETH0配置
1.3.ETH1配置
1.4.
选择GE0/0/1行右则的编辑
,在弹出的界面中设置如下:
图32ETH1配置
配置项如下:
别名:
保护
安全区域:
trust
模式:
交换
连接类型:
Access
确定后第一次操作会弹出提示,如下图所示,确定即可。
图33模式切换确认提示
1.5.ETH4配置
1.6.
选择GE0/0/4行右则的编辑
,在弹出的界面中设置如下:
图34ETH4配置
配置项如下:
别名:
子站
安全区域:
dmz
模式:
交换
连接类型:
Access
对象配置
对象配置中主要配置需放行的IP及端口号,IP在“地址”中配置、端口号在“服务中配置”,配置操作顺序如下图所示:
图41对象配置操作顺序
1.1.地址配置
1.2.
首次配置选择“新建”,如已有配置则选择“编辑”
,配置界面如下图所示:
图42保护IP配置
注:
1)第行可配置1个IP/范围或MAC地址,行之间使用回车分隔;
2)
3)IP配置支持多种方式,若连续的IP,可在首末2个IP之间通过“-”连接,如;
4)
新建地址分两部分,一是可以通过IP,一是需要屏蔽的IP
图43子站地址配置
1.3.服务配置
1.4.
1.1.1.服务配置
1.1.2.
服务配置中我们选择放行的端口,根据实际配置:
常用放行的端口如下:
icmp:
ping服务
1.1.3.服务组配置
1.1.4.
为方便选择及管理,将子站与保护通信的端口归到保护通信组中。
策略
点击快捷按钮“策略”,可以对所使用的策略进行配置,操作顺序如下图所示:
图51策略配置顺序
通过策略配置对需要从防火墙放行的IP及服务进行配置,配置如下:
图52子站至保护策略
图53保护至子站策略
保存
配置修改完毕,按界面右上角“保存”,如下图所示保存所做的配置。
图61保存配置
重启
点击快捷按钮“系统”,在左侧目录树中选择“系统重启”,选择“保存并重启”,弹出确认对话框,确定即可。
重启后所做的配置即生效,防火墙装置重启后至系统正常时间较长。
备份
点击快捷按钮“系统”,在左侧目录树中选择“配置文件管理”,选择“导出”,在弹出的对话框中选择文件备置位置及文件名,确定即可。
图81备份导出
复位
当无法测试出防火墙的登录密码后,可在防火墙通电正常运行后用顶端尖硬的物体去捅防火墙后面板上RST键5秒以上,防火墙会清空当前配置恢复出厂设置。
复位过程中前面板SYS灯先熄灭、后闪烁最后长亮,如果想快速启动可在按RST键5秒后关电重启防火墙。
附录
1.1.同一安全区域多个网口
1.2.
同一安全区域如trust若有多个网线接入,将接入网口的安全区域配置成待加入的安全区域即可。
同区域内多个网口间是互通,与交换机类似。
对象及策略无需特殊配置。
图91同安全区域多个网口接入
1.3.配置案例
1.4.
!
SoftwareVersionV500R001C30SPC100
!
Lastconfigurationwassavedat2017-08-2101:
42:
05UTC
#
sysnameUSG6300
#
undol2tpsendaccmenable
l2tpdomainsuffix-separator@
#
ipsecsha2compatibleenable
#
undofactory-configurationprohibit
#
undotelnetserverenable
undotelnetipv6serverenable
#
clocktimezoneBeijingadd08:
00:
00
#
hrpconfigurationauto-check1440
#
firewalldetectftp
#
firewalldefendactiondiscard
#
logtypetrafficenable
logtypesyslogenable
logtypepolicyenable
undologtypethreatenable
undologtypeurlenable
undologtypeumenable
#
undodataflowenable
#
saforce-detectionenable
#
ispname"chinamobile"setfilenamechina-mobile.csv
ispname"chinaunicom"setfilenamechina-unicom.csv
ispname"chinatelecom"setfilenamechina-telecom.csv
ispname"chinaeducationnet"setfilenamechina-educationnet.csv
#
user-manageweb-authenticationsecurityport8887
password-policy
levelhigh
user-managesingle-sign-onad
user-managesingle-sign-ontsm
user-managesingle-sign-onradius
user-managesso-syncradius
page-setting
user-managesecurityversiontlsv1.1tlsv1.2
#
firewallidsauthenticationtypesha256
#
snmp-agentsessionhistory-max-numberenable
#
web-managersecurityversiontlsv1.1tlsv1.2
web-managerenable
web-managersecurityenable
#
firewalldataplanetomanageplaneapplication-apperceivedefault-actiondrop
#
updatescheduleips-sdbdaily22:
10
updatescheduleav-sdbdaily22:
10
updateschedulesa-sdbdaily22:
10
updateschedulecncdaily22:
10
#
ipvpn-instancedefault
ipv4-family
#
ipaddress-set保护地址typeobject
#
ipaddress-set子站地址typeobject
#
time-rangeworktime
period-range08:
00:
00to18:
00:
00working-day
#
aaa
authentication-schemedefault
authentication-schemeadmin_local
authentication-schemeadmin_radius_local
authentication-schemeadmin_hwtacacs_local
authentication-schemeadmin_ad_local
authentication-schemeadmin_ldap_local
authentication-schemeadmin_radius
authentication-schemeadmin_hwtacacs
authentication-schemeadmin_ad
authentication-schemeadmin_ldap
authorization-schemedefault
accounting-schemedefault
domaindefault
service-typeinternetaccessssl-vpnl2tpike
internet-accessmodepassword
referenceusercurrent-domain
manager-useraudit-admin
passwordcipher@%@%nQX1YTEI~@m/KF=h;&'6)jh3`D2e=!
|2t2e%(*8*T"dYjh6)@%@%
service-typewebterminal
level15
manager-userapi-admin
passwordcipher@%@%+`^VN+p~RI@l]*Y'yIIT+3(8B8G)*:
zmSCqC&uOr4jk;3(;+@%@%
service-typeapi
level15
manager-useradmin
passwordcipher@%@%VA>`3aS@b0(40`@@m7kA%,L-pm>[HVj4O-WZsc6dl{p~,L0%@%@%
service-typewebterminal
level15
rolesystem-admin
roledevice-admin
roledevice-admin(monitor)
roleaudit-admin
bindmanager-useraudit-adminroleaudit-admin
bindmanager-useradminrolesystem-admin
#
l2tp-groupdefault-lns
#
interfaceGigabitEthernet0/0/0
undoshutdown
ipbindingvpn-instancedefault
service-managehttppermit
service-managehttpspermit
service-managepingpermit
#
interfaceGigabitEthernet0/0/1
portswitch
undoshutdown
portlink-typeaccess
alias保护
#
interfaceGigabitEthernet0/0/2
undoshutdown
#
interfaceGigabitEthernet0/0/3
undoshutdown
#
interfaceGigabitEthernet0/0/4
portswitch
undoshutdown
portlink-typeaccess
alias子站
#
interfaceGigabitEthernet0/0/5
undoshutdown
#
interfaceGigabitEthernet0/0/6
undoshutdown
#
interfaceGigabitEthernet0/0/7
undoshutdown
#
interfaceVirtual-if0
#
interfaceCellular0/0/0
#
interfaceNULL0
#
firewallzonelocal
setpriority100
#
firewallzonetrust
setpriority85
addinterfaceGigabitEthernet0/0/0
addinterfaceGigabitEthernet0/0/1
#
firewallzoneuntrust
setpriority5
#
firewallzonedmz
setpriority50
addinterfaceGigabitEthernet0/0/4
#
undosshservercompatible-ssh1xenable
#
user-interfacecon0
authentication-modeaaa
user-interfacevty04
authentication-modeaaa
protocolinboundssh
user-interfacevty1620
#
sa
#
location
#
multi-interface
modeproportion-of-weight
#
right-managerserver-group
#
api
#
device-classification
device-grouppc
device-groupmobile-terminal
device-groupundefined-group
#
security-policy
rulename子站-保护
source-zonedmz
destination-zonetrust
source-addressaddress-set子站地址
destination-addressaddress-set保护地址
serviceftp
serviceicmp
servicessh
actionpermit
rulename保护-子站
source-zonetrust
destination-zonedmz
source-addressaddress-set保护地址
destination-addressaddress-set子站地址
serviceftp
serviceicmp
servicessh
actionpermit
#
auth-policy
#
traffic-policy
#
policy-based-route
#
nat-policy
#
quota-policy
#
pcp-policy
#
dns-transparent-policy
modebased-on-multi-interface
#
rightm-policy
#
sms
#
return
升级会员 