华为防火墙简介与配置PPT文件格式下载.pptx

华为防火墙简介与配置PPT文件格式下载.pptx

《华为防火墙简介与配置PPT文件格式下载.pptx》由会员分享，可在线阅读，更多相关《华为防火墙简介与配置PPT文件格式下载.pptx（45页珍藏版）》请在冰豆网上搜索。

丰富而完善的可视化管理、审计、报表功能，使得网络管理员可以掌握全面真实的网络状况，以帮助管理员更好地做出防护措施。

网络定位,网络定位,防火墙外观结构,百兆防火墙USG6507对应原防火墙USG2205,防火墙外观结构,千兆防火墙USG6550对应原防火墙USG5150,防火墙外观结构,防火墙USG6507前面板局部图,防火墙的区域,防火墙区域：

Local区域Trust区域Untrust区域DMZ区域安全区域的优先级（安全级别）：

优先级值越大安全级别越高，不同区域的安全级别值不能相同。

防火墙的区域,防火墙的访问规则和策略（如ACL）不是应用在端口上，而是在区域间之间，通过区域的优先级值来表示inbound或outbound的方向。

安全级别高的区域向级别低的区域访问是出站方向inbound安全级别低的区域向级别高的区域访问是入站方向outbound防火墙的同一安全区域内的端口之间访问不需要安全策略检查，不同安全区域的端口之间进行访问，需要有安全策略的检查和控制管理,防火墙的工作模式,1、路由模式相当于路由器的位置个功能，放在网络中是以三层设备的角色，接口都必须配置IP地址。

2、透明模式在原有的网段中放置防火墙进行过滤工作，但是不改变原有的网段配置，防火墙仅作为一个二层设备连接，相当于一个二层交换机，接口不能配置IP地址。

3、混合模式有两个防火墙，主要为了实现备份和冗余，一个是路由模式，一个是透明模式，不推荐。

透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,现网状态判定组网：

透明墙，两区域隔离,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,防火墙连接登录设备Web界面对管理员PC浏览器的要求如下：

InternetExplorer浏览器：

6.09.0版本Firefox浏览器（推荐）：

10.0及以上版本Chrome浏览器：

17.0及以上版本1、将管理员PC网口与设备的MGMT接口（GigabitEthernet0/0/0）通过网线或者二层交换机相连。

2、将管理员PC的网络连接的IP地址设置为在192.168.0.2192.168.0.254范围内的IP地址。

透明墙配置,防火墙连接3、在管理员PC中打开网络浏览器，访问需要登录设备的GigabitEthernet0/0/0，缺省IP地址https:

/192.168.0.1:

84434、在登录界面中输入缺省的系统管理员的用户名“admin”和密码“Admin123”，单击“登录”。

5、将管理员PC的网络连接的IP地址设置为在192.168.0.2192.168.0.254范围内的IP地址。

6、修改缺省管理员帐号的密码，单击“确定”，进入Web界面。

透明墙配置,防火墙连接,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,参数确认,透明墙配置,参数确认,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,地址配置1、通过二层以太网接口实现设备间互联之前，请先确定待使用的接口。

然后将接口切换为二层以太网接口，将接口加入VLANA、选择“网络接口”。

B、单击待配置的接口所在行的C、根据已经确认的参数配置以太网接口的参数。

透明墙配置,地址配置1、通过二层以太网接口实现设备间互联之前，请先确定待使用的接口。

B、单击待配置的接口所在行的C、配置以太网接口的参数。

透明墙配置,地址配置2、配置名称为安全I区的地址集，将几个不允许访问服务器的IP地址加入地址集。

A、选择“对象地址地址”。

B、单击“新建”配置地址集，然后单击“确定”。

透明墙配置,地址配置1、配置名称为安全I区的地址集，将几个不允许访问服务器的IP地址加入地址集。

2、配置名称为安全II区的地址集，将几个不允许访问服务器的IP地址加入地址集。

透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,服务配置1、分别为Server1和Server2配置自定义服务集server1_port和server2_port，将服务器的非知名端口加入服务集。

A、选择“对象服务服务”。

B、单击“新建”，输入服务名称并添加成员。

透明墙配置,服务配置1、分别为Server1和Server2配置自定义服务集server1_port和server2_port，将服务器的非知名端口加入服务集。

透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,安全策略配置1、配置安全策略，引用之前配置的地址集及服务集。

A、选择“策略安全策略安全策略”。

B、单击“新建”，配置安全I区到安全II区的策略,透明墙配置,安全策略配置1、配置安全策略，引用之前配置的地址集及服务集。

B、单击“新建”，配置安全I区到安全II区的策略C、单击“新建”，配置安全II区到安全I区的策略,透明墙配置,安全策略配置1、配置安全策略，引用之前配置的地址集及服务集。

B、单击“新建”，配置安全I区到安全II区的策略C、单击“新建”，配置安全II区到安全I区的策略,透明墙配置,结果验证1、安全I区到安全II区的服务内的数据能访问2、安全I区到安全II区的服务外的数据不能能访问3、非安全I区、安全II区的地址访问全部受阻,路由墙配置（作为出口）,组网需求电站在网络边界处部署了NGFW作为安全网关，并从运营商处购买了宽带上网服务，实现内部网络接入Internet的需求。

具体需求如下：

内部网络中的PC使用私网网段10.3.0.0/24实现互通，要求由NGFW为PC分配私网地址、DNS服务器地址等网络参数，减少管理员手工配置的劳动量。

内部网络中的PC可以访问Internet。

路由墙配置（作为出口）,参数确认,路由墙配置（作为出口）,接口配置1、配置接口GigabitEthernet1/0/1。

选择“网络接口”。

单击GE1/0/1对应的，按如下参数配置单击“确定”。

路由墙配置（作为出口）,接口配置2、配置接口GigabitEthernet1/0/3。

单击GE1/0/3对应的，按如下参数配置单击“确定”。

路由墙配置（作为出口）,服务配置配置DHCP服务器。

选择“网络DHCP服务器服务”。

单击“新建”，按如下参数配置单击“确定”。

路由墙配置（作为出口）,安全策略配置配置安全策略，允许内部网络中的PC访问Internet。

选择“策略安全策略”。

单击“新建”，按如右参数配置。

单击“确定”。

处只给出了完成本举例所需的安全策略的基本参数，具体使用时，请根据实际情况设置安全策略中的其他参数。

谢谢！