华为防火墙简介与配置PPT文件格式下载.pptx
《华为防火墙简介与配置PPT文件格式下载.pptx》由会员分享,可在线阅读,更多相关《华为防火墙简介与配置PPT文件格式下载.pptx(45页珍藏版)》请在冰豆网上搜索。
丰富而完善的可视化管理、审计、报表功能,使得网络管理员可以掌握全面真实的网络状况,以帮助管理员更好地做出防护措施。
网络定位,网络定位,防火墙外观结构,百兆防火墙USG6507对应原防火墙USG2205,防火墙外观结构,千兆防火墙USG6550对应原防火墙USG5150,防火墙外观结构,防火墙USG6507前面板局部图,防火墙的区域,防火墙区域:
Local区域Trust区域Untrust区域DMZ区域安全区域的优先级(安全级别):
优先级值越大安全级别越高,不同区域的安全级别值不能相同。
防火墙的区域,防火墙的访问规则和策略(如ACL)不是应用在端口上,而是在区域间之间,通过区域的优先级值来表示inbound或outbound的方向。
安全级别高的区域向级别低的区域访问是出站方向inbound安全级别低的区域向级别高的区域访问是入站方向outbound防火墙的同一安全区域内的端口之间访问不需要安全策略检查,不同安全区域的端口之间进行访问,需要有安全策略的检查和控制管理,防火墙的工作模式,1、路由模式相当于路由器的位置个功能,放在网络中是以三层设备的角色,接口都必须配置IP地址。
2、透明模式在原有的网段中放置防火墙进行过滤工作,但是不改变原有的网段配置,防火墙仅作为一个二层设备连接,相当于一个二层交换机,接口不能配置IP地址。
3、混合模式有两个防火墙,主要为了实现备份和冗余,一个是路由模式,一个是透明模式,不推荐。
透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,现网状态判定组网:
透明墙,两区域隔离,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,防火墙连接登录设备Web界面对管理员PC浏览器的要求如下:
InternetExplorer浏览器:
6.09.0版本Firefox浏览器(推荐):
10.0及以上版本Chrome浏览器:
17.0及以上版本1、将管理员PC网口与设备的MGMT接口(GigabitEthernet0/0/0)通过网线或者二层交换机相连。
2、将管理员PC的网络连接的IP地址设置为在192.168.0.2192.168.0.254范围内的IP地址。
透明墙配置,防火墙连接3、在管理员PC中打开网络浏览器,访问需要登录设备的GigabitEthernet0/0/0,缺省IP地址https:
/192.168.0.1:
84434、在登录界面中输入缺省的系统管理员的用户名“admin”和密码“Admin123”,单击“登录”。
5、将管理员PC的网络连接的IP地址设置为在192.168.0.2192.168.0.254范围内的IP地址。
6、修改缺省管理员帐号的密码,单击“确定”,进入Web界面。
透明墙配置,防火墙连接,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,参数确认,透明墙配置,参数确认,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,地址配置1、通过二层以太网接口实现设备间互联之前,请先确定待使用的接口。
然后将接口切换为二层以太网接口,将接口加入VLANA、选择“网络接口”。
B、单击待配置的接口所在行的C、根据已经确认的参数配置以太网接口的参数。
透明墙配置,地址配置1、通过二层以太网接口实现设备间互联之前,请先确定待使用的接口。
B、单击待配置的接口所在行的C、配置以太网接口的参数。
透明墙配置,地址配置2、配置名称为安全I区的地址集,将几个不允许访问服务器的IP地址加入地址集。
A、选择“对象地址地址”。
B、单击“新建”配置地址集,然后单击“确定”。
透明墙配置,地址配置1、配置名称为安全I区的地址集,将几个不允许访问服务器的IP地址加入地址集。
2、配置名称为安全II区的地址集,将几个不允许访问服务器的IP地址加入地址集。
透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,服务配置1、分别为Server1和Server2配置自定义服务集server1_port和server2_port,将服务器的非知名端口加入服务集。
A、选择“对象服务服务”。
B、单击“新建”,输入服务名称并添加成员。
透明墙配置,服务配置1、分别为Server1和Server2配置自定义服务集server1_port和server2_port,将服务器的非知名端口加入服务集。
透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,安全策略配置1、配置安全策略,引用之前配置的地址集及服务集。
A、选择“策略安全策略安全策略”。
B、单击“新建”,配置安全I区到安全II区的策略,透明墙配置,安全策略配置1、配置安全策略,引用之前配置的地址集及服务集。
B、单击“新建”,配置安全I区到安全II区的策略C、单击“新建”,配置安全II区到安全I区的策略,透明墙配置,安全策略配置1、配置安全策略,引用之前配置的地址集及服务集。
B、单击“新建”,配置安全I区到安全II区的策略C、单击“新建”,配置安全II区到安全I区的策略,透明墙配置,结果验证1、安全I区到安全II区的服务内的数据能访问2、安全I区到安全II区的服务外的数据不能能访问3、非安全I区、安全II区的地址访问全部受阻,路由墙配置(作为出口),组网需求电站在网络边界处部署了NGFW作为安全网关,并从运营商处购买了宽带上网服务,实现内部网络接入Internet的需求。
具体需求如下:
内部网络中的PC使用私网网段10.3.0.0/24实现互通,要求由NGFW为PC分配私网地址、DNS服务器地址等网络参数,减少管理员手工配置的劳动量。
内部网络中的PC可以访问Internet。
路由墙配置(作为出口),参数确认,路由墙配置(作为出口),接口配置1、配置接口GigabitEthernet1/0/1。
选择“网络接口”。
单击GE1/0/1对应的,按如下参数配置单击“确定”。
路由墙配置(作为出口),接口配置2、配置接口GigabitEthernet1/0/3。
单击GE1/0/3对应的,按如下参数配置单击“确定”。
路由墙配置(作为出口),服务配置配置DHCP服务器。
选择“网络DHCP服务器服务”。
单击“新建”,按如下参数配置单击“确定”。
路由墙配置(作为出口),安全策略配置配置安全策略,允许内部网络中的PC访问Internet。
选择“策略安全策略”。
单击“新建”,按如右参数配置。
单击“确定”。
处只给出了完成本举例所需的安全策略的基本参数,具体使用时,请根据实际情况设置安全策略中的其他参数。
谢谢!