UGS防火墙配置说明.docx

1、UGS防火墙配置说明USG6310S防火墙配置说明概述 防火墙使用场景为子站保护管理机（安全II区）接入站内继保保护装置（安全I区），通过对IP地址及端口进行限制，达到阻止非法访问的目的。 为方便现场调试及日后维护工作现规定如下：1) 防火墙ETH0接从交换机过来的网线；2) 3) 防火墙ETH4接从子站管理机过来的网线。4) 登录将笔记本通过网线接入防火墙的ETH0，通过浏览器访问 。用户名：admin、密码：Admin123（初始密码）进行配置，第一次登录时需要修改密码，将密码改为“Nice2003”。登录后设置界面如下图所示图 21 登录首页网络配置点击快捷按钮“网络”,可以对所使用的接

2、入口进行配置，操作顺序如下图所示：装置后面板网口标识0至7与配置页面中接口名称对应关系如下：后面板ETH0对应配置页面中接口GE0/0/0后面板ETH1对应配置页面中接口GE0/0/1后面板ETH7对应配置页面中接口GE0/0/71.1. ETH0配置1.2. ETH保留作为配置使用。出厂时已经设好，无需变更。图 31 ETH0配置1.3. ETH1配置1.4. 选择GE0/0/1行右则的编辑，在弹出的界面中设置如下：图 32 ETH1配置 配置项如下：别名：保护安全区域：trust模式：交换连接类型：Access确定后第一次操作会弹出提示，如下图所示，确定即可。图 33 模式切换确认提示1.

3、5. ETH4配置1.6. 选择GE0/0/4行右则的编辑，在弹出的界面中设置如下：图 34 ETH4配置 配置项如下：别名：子站安全区域：dmz模式：交换连接类型：Access对象配置对象配置中主要配置需放行的IP及端口号，IP在“地址”中配置、端口号在“服务中配置”，配置操作顺序如下图所示：图 41 对象配置操作顺序1.1. 地址配置1.2. 首次配置选择“新建”，如已有配置则选择“编辑”，配置界面如下图所示：图 42 保护IP配置注：1) 第行可配置1个IP/范围或MAC地址，行之间使用回车分隔；2) 3) IP配置支持多种方式，若连续的IP，可在首末2个IP之间通过“-”连接，如；4)

4、 新建地址分两部分，一是可以通过IP，一是需要屏蔽的IP图 43 子站地址配置1.3. 服务配置1.4. 1.1.1. 服务配置1.1.2. 服务配置中我们选择放行的端口，根据实际配置：常用放行的端口如下：icmp:ping服务1.1.3. 服务组配置1.1.4. 为方便选择及管理，将子站与保护通信的端口归到保护通信组中。策略点击快捷按钮“策略”,可以对所使用的策略进行配置，操作顺序如下图所示：图 51 策略配置顺序通过策略配置对需要从防火墙放行的IP及服务进行配置，配置如下：图 52 子站至保护策略图 53 保护至子站策略保存配置修改完毕，按界面右上角“保存”，如下图所示保存所做的配置。图

5、61 保存配置重启点击快捷按钮“系统”,在左侧目录树中选择“系统重启”，选择“保存并重启”，弹出确认对话框，确定即可。重启后所做的配置即生效，防火墙装置重启后至系统正常时间较长。备份点击快捷按钮“系统”,在左侧目录树中选择“配置文件管理”，选择“导出”，在弹出的对话框中选择文件备置位置及文件名，确定即可。图 81 备份导出复位当无法测试出防火墙的登录密码后，可在防火墙通电正常运行后用顶端尖硬的物体去捅防火墙后面板上RST键5秒以上，防火墙会清空当前配置恢复出厂设置。复位过程中前面板SYS灯先熄灭、后闪烁最后长亮，如果想快速启动可在按RST键5秒后关电重启防火墙。附录1.1. 同一安全区域多个网

6、口1.2. 同一安全区域如trust若有多个网线接入，将接入网口的安全区域配置成待加入的安全区域即可。同区域内多个网口间是互通，与交换机类似。对象及策略无需特殊配置。图 91 同安全区域多个网口接入1.3. 配置案例1.4. !Software Version V500R001C30SPC100!Last configuration was saved at 2017-08-21 01:42:05 UTC#sysname USG6300# undo l2tp sendaccm enable l2tp domain suffix-separator # ipsec sha2 compatible

7、 enable # undo factory-configuration prohibit#undo telnet server enableundo telnet ipv6 server enable#clock timezone Beijing add 08:00:00# hrp configuration auto-check 1440 # firewall detect ftp# firewall defend action discard# log type traffic enable log type syslog enable log type policy enable un

8、do log type threat enable undo log type url enable undo log type um enable# undo dataflow enable# sa force-detection enable# isp name china mobile set filename china-mobile.csv isp name china unicom set filename china-unicom.csv isp name china telecom set filename china-telecom.csv isp name china ed

9、ucationnet set filename china-educationnet.csv # user-manage web-authentication security port 8887password-policy level highuser-manage single-sign-on aduser-manage single-sign-on tsmuser-manage single-sign-on radiususer-manage sso-sync radiuspage-setting user-manage security version tlsv1.1 tlsv1.2

10、# firewall ids authentication type sha256# snmp-agent session history-max-number enable# web-manager security version tlsv1.1 tlsv1.2 web-manager enable web-manager security enable#firewall dataplane to manageplane application-apperceive default-action drop# update schedule ips-sdb daily 22:10 updat

11、e schedule av-sdb daily 22:10 update schedule sa-sdb daily 22:10 update schedule cnc daily 22:10#ip vpn-instance default ipv4-family#ip address-set 保护地址 type object#ip address-set 子站地址 type object# time-range worktime period-range 08:00:00 to 18:00:00 working-day #aaa authentication-scheme default a

12、uthentication-scheme admin_local authentication-scheme admin_radius_local authentication-scheme admin_hwtacacs_local authentication-scheme admin_ad_local authentication-scheme admin_ldap_local authentication-scheme admin_radius authentication-scheme admin_hwtacacs authentication-scheme admin_ad auth

13、entication-scheme admin_ldap authorization-scheme default accounting-scheme default domain default service-type internetaccess ssl-vpn l2tp ike internet-access mode password reference user current-domain manager-user audit-admin password cipher %nQX1YTEIm/KF=h;&6)jh3D2e=!|2t2e%(*8*TdYjh6)% service-t

14、ype web terminal level 15 manager-user api-admin password cipher %+VN+pRIl*YyIIT+3(8B8G)*:zmSCqC&uOr4jk;3(;+% service-type api level 15 manager-user admin password cipher %VA3aSb0(40m7kA%,L-pmHVj4O-WZsc6dlp,L0% service-type web terminal level 15 role system-admin role device-admin role device-admin(

15、monitor) role audit-admin bind manager-user audit-admin role audit-admin bind manager-user admin role system-admin#l2tp-group default-lns#interface GigabitEthernet0/0/0 undo shutdown ip binding vpn-instance default service-manage http permit service-manage https permit service-manage ping permit#int

16、erface GigabitEthernet0/0/1 portswitch undo shutdown port link-type access alias 保护#interface GigabitEthernet0/0/2 undo shutdown#interface GigabitEthernet0/0/3 undo shutdown#interface GigabitEthernet0/0/4 portswitch undo shutdown port link-type access alias 子站#interface GigabitEthernet0/0/5 undo shu

17、tdown#interface GigabitEthernet0/0/6 undo shutdown#interface GigabitEthernet0/0/7 undo shutdown#interface Virtual-if0#interface Cellular0/0/0#interface NULL0#firewall zone local set priority 100#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet0/0/1

18、#firewall zone untrust set priority 5#firewall zone dmz set priority 50 add interface GigabitEthernet0/0/4#undo ssh server compatible-ssh1x enable#user-interface con 0 authentication-mode aaauser-interface vty 0 4 authentication-mode aaa protocol inbound sshuser-interface vty 16 20#sa#location#multi

19、-interface mode proportion-of-weight#right-manager server-group#api#device-classification device-group pc device-group mobile-terminal device-group undefined-group#security-policy rule name 子站保护 source-zone dmz destination-zone trust source-address address-set 子站地址 destination-address address-set 保护

20、地址 service ftp service icmp service ssh action permit rule name 保护子站 source-zone trust destination-zone dmz source-address address-set 保护地址 destination-address address-set 子站地址 service ftp service icmp service ssh action permit#auth-policy#traffic-policy#policy-based-route#nat-policy#quota-policy#pcp-policy#dns-transparent-policy mode based-on-multi-interface#rightm-policy# sms#return