pptp防火墙设置精选word文档 11页Word文件下载.docx
《pptp防火墙设置精选word文档 11页Word文件下载.docx》由会员分享,可在线阅读,更多相关《pptp防火墙设置精选word文档 11页Word文件下载.docx(9页珍藏版)》请在冰豆网上搜索。
USG5300>
system-view
#进入用户界面视图
[USG5300]user-interfacevty04
#设置用户界面能够访问的命令级别为level3
[USG5300-ui-vty0-4]userprivilegelevel3
配置Password验证
#配置验证方式为Password验证
[USG5300-ui-vty0-4]authentication-modepassword
#配置验证密码为lantian
[USG5300-ui-vty0-4]setauthenticationpasswordsimplelantian###最新版本的命令是authentication-modepasswordcipherhuawei@123
配置空闲断开连接时间
#设置超时为30分钟
[USG5300-ui-vty0-4]idle-timeout30
[USG5300]firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound//不加这个从公网不能telnet防火墙。
基于用户名和密码验证
user-interfacevty04
authentication-modeaaa
aaa
local-useradminpasswordcipher]MQ;
4\]B+4Z,YWX*NZ55OA!
!
local-useradminservice-typetelnet
local-useradminlevel3
firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound
如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。
1.3地址配置
内网:
进入GigabitEthernet0/0/1视图
[USG5300]interfaceGigabitEthernet0/0/1
配置GigabitEthernet0/0/1的IP地址
[USG5300-GigabitEthernet0/0/1]ipaddress10.10.10.1255.255.255.0
配置GigabitEthernet0/0/1加入Trust区域
[USG5300]firewallzonetrust
[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/1
[USG5300-zone-untrust]quit
外网:
进入GigabitEthernet0/0/2视图
[USG5300]interfaceGigabitEthernet0/0/2
配置GigabitEthernet0/0/2的IP地址
[USG5300-GigabitEthernet0/0/2]ipaddress220.10.10.16255.255.255.0
配置GigabitEthernet0/0/2加入Untrust区域
[USG5300]firewallzoneuntrust
[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/2
DMZ:
进入GigabitEthernet0/0/3视图
[USG5300]interfaceGigabitEthernet0/0/3
配置GigabitEthernet0/0/3的IP地址。
[USG5300-GigabitEthernet0/0/3]ipaddress10.10.11.1255.255.255.0
[USG5300]firewallzonedmz
[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/3
1.4防火墙策略
本地策略是指与Local安全区域有关的域间安全策略,用于控制外界与设备本身的互访。
域间安全策略就是指不同的区域之间的安全策略。
域内安全策略就是指同一个安全区域之间的策略,缺省情况下,同一安全区域内的数据流都允许通过,域内安全策略没有Inbound和Outbound方向的区分。
策略内按照policy的顺序进行匹配,如果policy0匹配了,就不会检测policy1了,和policy的ID大小没有关系,谁在前就先匹配谁。
缺省情况下开放local域到其他任意安全区域的缺省包过滤,方便设备自身的对外访问。
其他接口都没有加安全区域,并且其他域间的缺省包过滤关闭。
要想设备转发流量必须将接口加入安全区域,并配置域间安全策略或开放缺省包过滤。
安全策略的匹配顺序:
每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。
匹配条件
安全策略可以指定多种匹配条件,报文必须同时满足所有条件才会匹配上策略。
比如如下策略
policy1
policyserviceservice-setdns
policydestination221.2.219.1230
policysource192.168.10.1
在这里policyservice的端口53就是指的是221.2.219.123的53号端口,可以说是目的地址的53号端口。
域间可以应用多条安全策略,按照策略列表的顺序从上到下匹配。
只要匹配到一条策略就不再继续匹配剩下的策略。
如果安全策略不是以自动排序方式配置的,策略的优先级按照配置顺序进行排列,越先配置的策略,优先级越高,越先匹配报文。
但是也可以手工调整策略之间的优先级。
缺省情况下,安全策略就不是以自动排序方式。
如果安全策略是以自动排序方式配置的,策略的优先级按照策略ID的大小进行排列,策略ID越小,优先级越高,越先匹配报文。
此时,策略之间的优先级关系不可调整。
policycreate-modeauto-sortenable命令用来开启安全策略自动排序功能,默认是关闭的。
如果没有匹配到安全策略,将按缺省包过滤的动作进行处理,所以在配置具体安全策略时要注意与缺省包过滤的关系。
例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤,将造成那些没有匹配到安全策略的流量也会通过,就失去配置安全策略的意义了。
同样,如果安全策略中只配置了需要拒绝的流量,其他流量都是允许通过的,这时需要开放缺省包过滤才能实现需求,否则会造成所有流量都不能通过。
执行命令displaythis查看当前已有的安全策略,策略显示的顺序就是策略的匹配顺序,越前边的优先级越高
执行命令policymovepolicy-id1{before|after}policy-id2,调整策略优先级。
UTM策略
安全策略中除了基本的包过滤功能,还可以引用IPS、AV、应用控制等UTM策略进行进一步的应用层检测。
但前提是匹配到控制动作为permit的流量才能进行UTM处理,如果匹配到deny直接丢弃报文。
安全策略的应用方向
域间的Inbound和Outbound方向上都可以应用安全策略,需要根据会话的方向合理应用。
因为USG是基于会话的安全策略,只对同一会话的首包检测,后续包直接按照首包的动作进行处理。
所以对同一条会话来说只需要在首包的发起方向上,也就是访问发起的方向上应用安全策略。
如上图所示,Trust域的PC访问Untrust域的Server,只需要在Trust到Untrust的Outbound方向
上应用安全策略允许PC访问Server即可,对于Server回应PC的应答报文会命中首包建立的会话而允许通过。
1.4.1Trust和Untrust域间:
允许内网用户访问公网
策略一般都是优先级高的在前,优先级低的在后。
policy1:
允许源地址为10.10.10.0/24的网段的报文通过
配置Trust和Untrust域间出方向的防火墙策略。
//如果不加policysource就是指any,如果不加policydestination目的地址就是指any。
[USG5300]policyinterzonetrustuntrustoutbound
[USG5300-policy-interzone-trust-untrust-outbound]policy1
[USG5300-policy-interzone-trust-untrust-outbound-1]policysource10.10.10.00.0.0.255
[USG5300-policy-interzone-trust-untrust-outbound-1]actionpermit
[USG5300-policy-interzone-trust-untrust-outbound-1]quit
如果是允许所有的内网地址上公网可以用以下命令:
[USG2100]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound//必须添加这条命令,或者firewallpacket-filterdefaultpermitall,但是这样不安全。
否则内网不能访问公网。
注意:
由优先级高访问优先级低的区域用outbound,比如policyinterzonetrustuntrustoutbound。
这时候policysourceip地址,就是指的优先级高的地址,即trust地址,destination地址就是指的untrust地址。
只要是outbound,即使配置成policyinterzoneuntrusttrustoutbound也会变成policyinterzonetrustuntrustoutbound。
由优先级低的区域访问优先级高的区域用inbound,比如是policyinterzoneuntrusttrustinbound,为了保持优先级高的区域在前,优先级低的区域在后,命令会自动变成policyinterzonetrustuntrustinbound,这时候policysourceip地址,就是指的优先级低的地址,即untrust地址,destination地址就是指的优先级高的地址,即trust地址。
总结:
outbount时,source地址为优先级高的地址,destination地址为优先级低的地址。
inbount时,source地址为优先级低的地址,destination地址为优先级高的地址配置完成后可以使用displaypolicyinterzonetrustuntr
ust来查看策略。
1.4.2DMZ和Untrust域间:
从公网访问内部服务器
policy2:
允许目的地址为10.10.11.2,目的端口为21的报文通过
policy3:
允许目的地址为10.10.11.3,目的端口为8080的报文通过
配置Untrust到DMZ域间入方向的防火墙策略,即从公网访问内网服务器
只需要允许访问内网ip地址即可,不需要配置访问公网的ip地址。
篇二:
H3C防火墙L2TP配置方法
防火墙F1000-A基于Windows自带VPN拨号软件的L2TP配置
一组网需求
PC作为L2TP的LAC端,F1000-A防火墙作为LNS端。
希望通过L2TP拨号的方式接入到对端防火墙。
二组网图
如图所示,用户PC作为LAC,使用windows自带的拨号软件作为客户端软件,拨号接入到对端的SecPath防火墙。
软件版本如下:
Version5.20,Release3102
三、配置步骤
3.1防火墙上的配置
#
sysnameF1000A
l2tpenable//开启L2TP功能
domaindefaultenablesystem
vlan1
domainsystem
access-limitdisable
stateactive
idle-cutdisable
self-service-urldisable
ippool11.1.1.11.1.1.20//配置拨号用户使用的地址池#
local-userh3c
passwordcipherG`M^B<
SDBB[Q=^Q`MAF4<
1!
service-typetelnet
level3
local-userzhengyamin//配置L2TP拨号用户使用的用户名和地址池
passwordsimple123456
service-typeppp
l2tp-group1//配置L2TP组
undotunnelauthentication//不使用隧道认证
allowl2tpvirtual-template1//使用虚模板1认证
interfaceVirtual-Template1//配置L2TP虚模板
pppauthentication-modechap//配置ppp认证方式为chap,使用system默认域
remoteaddresspool1//指定使用ippool1给用户分配地址
ipaddress1.1.1.1255.255.255.0
interfaceNULL0
interfaceGigabitEthernet0/0
ipaddress10.153.43.20255.255.255.0
firewallzonetrust
addinterfaceGigabitEthernet0/0//将Ge0/0和虚接口加入trust区域addinterfaceVirtual-Template1
setpriority85
Return
3.2Windows自带拨号软件的设置
由于Windows201X系统缺省情况下启动了IPSec功能,因此在发起VPN请求时应禁止IPSec功能,在命令行模式下执行regedit命令,弹出“注册表编辑器”对话框。
在左侧注册表项目中逐级找到:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters,单击Parameters参数,接着在右边窗口空白处单击鼠标右键,选择[新建/双字节值]并新建一个注册表值(名称为ProhibitIPSec,值为1),然后重新启动Windows201X。
注意设置为chap验证,尤其注意要选择l2tp拨号,微软默认的是pptp。
具体配置步骤如下:
1.输入远程IP地址。
2.拨号软件的基本设置,在拨号时提示输入名称和密码。
3.设置安全参数,注意红色圈出项的设置。
四、验证结果
五、注意事项
注意点见注释。
篇三:
ROS快速配置VPN(PPTP和L2TP)
PPTP方式:
最后注意要开GRE和PPTP服务!
如果:
内网可以拨入VPN,而公网无法拨入,由于防火墙关闭外网连接
添加策略2条规则
CHAIN:
INPUTPROTOCOL:
tcpdst.port:
1723ACTION:
accept
GREACTION:
并把这两条规则提到前面
L2TP方式:
策略:
1701ACTION:
缺省的WINDOWSXPL2TP传输策略不允许L2TP传输不使用TPSEC。
系统默认使用TPSEC,在没有修改前客户端在使用拨号过程中会被断开连接,所以必须修改WINDOWSXP注册表来禁用缺省的行为:
“HKEY-LOCAL-MACHINE/SYSTEM/CURRENTCONTROLSET/SERVICES/RASMAN/PARAMETERS”
主键
为该主键添加(DWORD值)键值:
键值:
ProhibitIpSec
数据类型:
REG-DWORD
值:
1
或者导入以下注册表文件:
WindowsRegistryEditorVersion5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"
Medias"
=hex(7):
72,00,61,00,73,00,74,00,61,00,70,00,69,00,00,00,00,00"
ServiceDll"
=hex
(2):
25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,
00,5c,00,\
72,00,61,00,73,00,6d,00,61,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
IpOutLowWatermark"
=dword:
00000001
IpOutHighWatermark"
00000005
ProhibitIpSec"