USG6310S防火墙配置说明书Word格式文档下载.docx
《USG6310S防火墙配置说明书Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《USG6310S防火墙配置说明书Word格式文档下载.docx(19页珍藏版)》请在冰豆网上搜索。
mW
3砰EM
MT
IP#
口cva
■护—
4£
iU1
厨日
*
*■7
叭dIMMfc-l
「12:
|
□讓
□MM
■"
IP丽
・SUP*®
祐FiP#
EQ
事日:
+
丿J
k-d
*kJ
ajsinU曲**wq”TMKii
^ruSFUfiftU
昨EE1
>
•rOHl占1州亡
■Ap^NiI
pa
4-
nai
BTiFi™
Ett
#
审u
祕*轩口
・3PfVMl>
kd
■O
H4
装置后面板网口标识0至7与配置页面中接口名称对应关系如下:
后面板ETH0对应配置页面中接口GE0/0/0
后面板ETH1对应配置页面中接口GE0/0/1
后面板ETH7对应配置页面中接口GE0/0/7
3.1.ETH0配置
ETH呆留作为配置使用。
出厂时已经设好,无需变更
告^CGigabitEthemeE:
ttLIwlS
jfi亡:
和
WMQQMQ»
1舞呷护附'
敞?
it^h«
C7liftfifr-inw
1柏国朋闸吃f®
图3-1ETHO配置
3.2.ETH1配置
选择GE0/0/1行右则的编辑1即,在弹出的界面中设置如下:
图3-2ETH1配置
配置项如下:
别名:
保护
安全区域:
trust
模式:
交换
连接类型:
Access
确定后第一次操作会弹出提示,如下图所示,确定即可
图3-3模式切换确认提示
3.3.ETH4配置
选择GE0/0/4行右则的编辑L刖,在弹出的界面中设置如下:
图3-4ETH4配置
子站
dmz
4.对象配置
Huawei
USG63105
对象配置中主要配置需放行的IP及端口号,IP在“地址”中配置、端口号在“服务中配置”,配置操作顺序如下图所示:
IS□§
-sA®
峽us無強离舷
图4-1对象配置操作顺序
4.1.地址配置
首次配置选择“新建”,如已有配置则选择“编辑”,配置界面如下图所
示:
图4-2保护IP配置
注:
1)第行可配置1个IP/范围或MAC地址,行之间使用回车分隔;
2)掩码可以使用255.255.X.X样式,也可使用掩码位数来表示;
3)IP配置支持多种方式,若连续的IP,可在首末2个IP之间通过“-”
连接,如172.20.80.1-172.20.80.200;
4)单个IP配置,其掩码必须为255.255.255.255或32,否则保存时其最
后1至2段会变成0;
新建地址分两部分,一是可以通过IP,一是需要屏蔽的IP
图4-3子站地址配置
42服务配置
4.2.1.服务配置
服务配置中我们选择放行的端口,根据实际配置:
常用放行的端口如下:
icmp:
ping服务
协谀配畫
协後号
源端口
目的端口
4.2.2.服务组配置
为方便选择及管理,将子站与保护通信的端口归到保护通信组中
5.策略
点击快捷按钮“策略”,可以对所使用的策略进行配置,操作顺序如下图所
ku^啣的USG631OS
S貝更空第Ifi民衣『口峙厂加帰畔h號帀暉Cn国野醉旳I缶BB
w就津•壮州h(5亘宦訂対耳曲、已三出・呵孚:
、王曲沖爆Jdd亠冀穴
目的憔ffln
WA+..
图5-1策略配置顺序
通过策略配置对需要从防火墙放行的IP及服务进行配置,配置如下:
图5-2子站至保护策略
图5-3保护至子站策略
6.保存
配置修改完毕,按界面右上角“保存”,如下图所示保存所做的配置
*Hsm也
U^uafilrlfiS
!
a
••
■旺冃野.tnKU?
牛冒畀扭E
■a
HU
图6-1保存配置
7.重启
点击快捷按钮“系统”,在左侧目录树中选择“系统重启”,选择“保存并重启”,弹出确认对话框,确定即可。
重启后所做的配置即生效,防火墙装置重启后至系统正常时间较长。
8.备份
点击快捷按钮“系统”,在左侧目录树中选择“配置文件管理”,选择“导出”,在弹出的对话框中选择文件备置位置及文件名,确定即可。
Loading
好自玖型WF1羽;
號ElXfliE
&
Lisn&
ij'
EJS=»
4覇屮心
F吾會心~
图8-1备份导出
9.复位
当无法测试出防火墙的登录密码后,可在防火墙通电正常运行后用顶端尖硬的物体去捅防火墙后面板上RST键5秒以上,防火墙会清空当前配置恢复出厂设置。
复位过程中前面板SYS灯先熄灭、后闪烁最后长亮,如果想快速启动可在按RST键5秒后关电重启防火墙。
10.附录
10.1.同一安全区域多个网口
同一安全区域如trust若有多个网线接入,将接入网口的安全区域配置成待加入的安全区域即可。
同区域内多个网口间是互通,与交换机类似。
对象及策略无需特殊配置。
石Fuuwaaujini
dk
r:
AUt
■HUI
IlK-IG-aDU
遵■加
眸交IPQFMI:
VLAM
J*Ji
j^ra
画
4J
世理
it
IPmS
护曲亦肖||3“114
ACOfliSE
1
丸
事
口科训伍护N
MbEAAS
区1
GFDrUCI
—
WZIFll^^:
IM
->
J
IE*
fr
翳en耳
-IJQf-Jf-|BBIJMSl
二
HSlPdPrfi:
liiQr-£
-|9DUCrtDI
祁『1帥附:
矗n
£
i
■GEWT
■MCMHOputriQi
|i=tipop^:
K3
VtimI-0
iBbuiHbi
D
图10-1同安全区域多个网口接入
10.2.配置案例
SoftwareVersionV500R001C30SPC100
Lastconfigurationwassavedat2017-08-2101:
42:
05UTC
sysnameUSG6300
undoI2tpsendaccmenable
I2tpdomainsuffix-separator@
ipsecsha2compatibleenable
undofactory-configurationprohibit
undotelnetserverenable
undotelnetipv6serverenable
clocktimezoneBeijingadd08:
00:
00
hrpconfigurationauto-check1440
firewalldetectftp
firewalldefendactiondiscard
logtypetrafficenable
logtypesyslogenable
logtypepolicyenable
undologtypethreatenable
undologtypeurlenable
undologtypeumenable
undodataflowenable
saforce-detectionenableispname"
chinamobile"
setfilenamechina-mobile.csv
ispname"
chinaunicom"
setfilenamechina-unicom.csv
chinatelecom"
setfilenamechina-telecom.csv
chinaeducationnet"
setfilenamechina-educationnet.csv
user-manageweb-authenticationsecurityport8887
password-policy
levelhigh
user-managesingle-sign-onad
user-managesingle-sign-ontsm
user-managesingle-sign-onradius
user-managesso-syncradius
page-setting
user-managesecurityversiontlsv1.1tlsv1.2
firewallidsauthenticationtypesha256
snmp-agentsessionhistory-max-numberenable
web-managersecurityversiontlsv1.1tlsv1.2
web-managerenable
web-managersecurityenable
firewalldataplanetomanageplaneapplication-apperceivedefault-action
drop
updatescheduleips-sdbdaily22:
10
updatescheduleav-sdbdaily22:
updateschedulesa-sdbdaily22:
ipvpn-instaneedefault
ipv4-family
ipaddress-set保护地址typeobject
address0range172.20.80.1172.20.80.200
ipaddress-set子站地址typeobject
address0172.20.80.251mask32
time-rangeworktime
period-range08:
00to18:
00working-day
aaa
authentication-schemedefault
authentication-schemeadmin_local
authentication-schemeadmin_radius_local
authentication-schemeadmin_hwtacacs_local
authentication-schemeadmin_ad_local
authentication-schemeadmin_ldap_local
authentication-schemeadmin_radius
authentication-schemeadmin_hwtacacs
authentication-schemeadmin_ad
authentication-schemeadmin_ldap
authorization-schemedefault
accounting-schemedefault
domaindefault
service-typeinternetaccessssl-vpnI2tpike
refereneeusercurrent-domain
manager-useraudit-admin
password
@%@%nQX1YTEI~@m/KF=h;
&
'
6)jh3'
D2e=!
|2t2e%(*8*T"
dYjh6)@%@%service-typewebterminal
level15
manager-userapi-admin
password@%@%+"
VN+p~RI@l]*Y'
yllT+3(8B8G)*:
zmSCqC&
uOr4jk;
3(;
+@%@%
service-typeapi
manager-useradmin
cipher
password@%@%VA>
'
3aS@b0(40'
@@m7kA%丄-pm>
[HVj4O-WZsc6dl{p~,LO%@%@%
service-typewebterminal
rolesystem-admin
roledevice-admin
roledevice-admin(monitor)
roleaudit-admin
bindmanager-useraudit-adminroleaudit-admin
bindmanager-useradminrolesystem-admin
l2tp-groupdefault-lns
undoshutdown
ipbindingvpn-instaneedefault
ipaddress192.168.0.1255.255.255.0serviee-managehttppermitservice-managehttpspermitserviee-managepingpermit
interfaeeGigabitEthernet0/0/1
portswiteh
portlink-typeaeeess
alias保护
interfaeeGigabitEthernet0/0/2
interfaeeGigabitEthernet0/0/3
interfaeeGigabitEthernet0/0/4
alias子站
interfaeeGigabitEthernet0/0/5
interfaceGigabitEthernetO/O/7
interfaceVirtual-ifO
interfaceCellularO/O/O
interfaceNULLO
firewallzonelocal
setpriority100
firewallzonetrust
setpriority85
addinterfaceGigabitEthernetO/O/O
addinterfaceGigabitEthernetO/O/1
firewallzoneuntrust
setpriority5
firewallzonedmz
setpriority50
addinterfaceGigabitEthernetO/O/4
undosshservercompatible-ssh1xenable
authentication-modeaaa
user-interfacevty04
protocolinboundssh
user-interfacevty1620
sa
location
multi-interface
modeproportion-of-weight
right-managerserver-group
api
device-classification
device-grouppc
device-groupmobile-terminaldevice-groupundefined-group
security-policy
rulename子站—保护
source-zonedmz
子站地址
保护地址
destination-zonetrustsource-addressaddress-setdestination-addressaddress-setserviceftp
serviceicmp
servicessh
actionpermit
rulename保护—子站
source-zonetrust
destination-zonedmz
source-addressaddress-set
destination-addressaddress-set
serviceftp
auth-policy
traffic-policy
policy-based-route
nat-policy
quota-policy
pcp-policy
dns-transparent-policy
modebased-on-multi-interfacerightm-policy
sms
return
□
华为USG6310G-vrpcfg.cfg