1、UGS防火墙配置说明USG6310S防火墙配置说明概述 防火墙使用场景为子站保护管理机(安全II区)接入站内继保保护装置(安全I区),通过对IP地址及端口进行限制,达到阻止非法访问的目的。 为方便现场调试及日后维护工作现规定如下:1) 防火墙ETH0接从交换机过来的网线;2) 3) 防火墙ETH4接从子站管理机过来的网线。4) 登录将笔记本通过网线接入防火墙的ETH0,通过浏览器访问 。用户名:admin、密码:Admin123(初始密码)进行配置,第一次登录时需要修改密码,将密码改为“Nice2003”。登录后设置界面如下图所示图 21 登录首页网络配置点击快捷按钮“网络”,可以对所使用的接
2、入口进行配置,操作顺序如下图所示:装置后面板网口标识0至7与配置页面中接口名称对应关系如下:后面板ETH0对应配置页面中接口GE0/0/0后面板ETH1对应配置页面中接口GE0/0/1后面板ETH7对应配置页面中接口GE0/0/71.1. ETH0配置1.2. ETH保留作为配置使用。出厂时已经设好,无需变更。图 31 ETH0配置1.3. ETH1配置1.4. 选择GE0/0/1行右则的编辑,在弹出的界面中设置如下:图 32 ETH1配置 配置项如下:别名:保护安全区域:trust模式:交换连接类型:Access确定后第一次操作会弹出提示,如下图所示,确定即可。图 33 模式切换确认提示1.
3、5. ETH4配置1.6. 选择GE0/0/4行右则的编辑,在弹出的界面中设置如下:图 34 ETH4配置 配置项如下:别名:子站安全区域:dmz模式:交换连接类型:Access对象配置对象配置中主要配置需放行的IP及端口号,IP在“地址”中配置、端口号在“服务中配置”,配置操作顺序如下图所示:图 41 对象配置操作顺序1.1. 地址配置1.2. 首次配置选择“新建”,如已有配置则选择“编辑”,配置界面如下图所示:图 42 保护IP配置注:1) 第行可配置1个IP/范围或MAC地址,行之间使用回车分隔;2) 3) IP配置支持多种方式,若连续的IP,可在首末2个IP之间通过“-”连接,如;4)
4、 新建地址分两部分,一是可以通过IP,一是需要屏蔽的IP图 43 子站地址配置1.3. 服务配置1.4. 1.1.1. 服务配置1.1.2. 服务配置中我们选择放行的端口,根据实际配置:常用放行的端口如下:icmp:ping服务1.1.3. 服务组配置1.1.4. 为方便选择及管理,将子站与保护通信的端口归到保护通信组中。策略点击快捷按钮“策略”,可以对所使用的策略进行配置,操作顺序如下图所示:图 51 策略配置顺序通过策略配置对需要从防火墙放行的IP及服务进行配置,配置如下:图 52 子站至保护策略图 53 保护至子站策略保存配置修改完毕,按界面右上角“保存”,如下图所示保存所做的配置。图
5、61 保存配置重启点击快捷按钮“系统”,在左侧目录树中选择“系统重启”,选择“保存并重启”,弹出确认对话框,确定即可。重启后所做的配置即生效,防火墙装置重启后至系统正常时间较长。备份点击快捷按钮“系统”,在左侧目录树中选择“配置文件管理”,选择“导出”,在弹出的对话框中选择文件备置位置及文件名,确定即可。图 81 备份导出复位当无法测试出防火墙的登录密码后,可在防火墙通电正常运行后用顶端尖硬的物体去捅防火墙后面板上RST键5秒以上,防火墙会清空当前配置恢复出厂设置。复位过程中前面板SYS灯先熄灭、后闪烁最后长亮,如果想快速启动可在按RST键5秒后关电重启防火墙。附录1.1. 同一安全区域多个网
6、口1.2. 同一安全区域如trust若有多个网线接入,将接入网口的安全区域配置成待加入的安全区域即可。同区域内多个网口间是互通,与交换机类似。对象及策略无需特殊配置。图 91 同安全区域多个网口接入1.3. 配置案例1.4. !Software Version V500R001C30SPC100!Last configuration was saved at 2017-08-21 01:42:05 UTC#sysname USG6300# undo l2tp sendaccm enable l2tp domain suffix-separator # ipsec sha2 compatible
7、 enable # undo factory-configuration prohibit#undo telnet server enableundo telnet ipv6 server enable#clock timezone Beijing add 08:00:00# hrp configuration auto-check 1440 # firewall detect ftp# firewall defend action discard# log type traffic enable log type syslog enable log type policy enable un
8、do log type threat enable undo log type url enable undo log type um enable# undo dataflow enable# sa force-detection enable# isp name china mobile set filename china-mobile.csv isp name china unicom set filename china-unicom.csv isp name china telecom set filename china-telecom.csv isp name china ed
9、ucationnet set filename china-educationnet.csv # user-manage web-authentication security port 8887password-policy level highuser-manage single-sign-on aduser-manage single-sign-on tsmuser-manage single-sign-on radiususer-manage sso-sync radiuspage-setting user-manage security version tlsv1.1 tlsv1.2
10、# firewall ids authentication type sha256# snmp-agent session history-max-number enable# web-manager security version tlsv1.1 tlsv1.2 web-manager enable web-manager security enable#firewall dataplane to manageplane application-apperceive default-action drop# update schedule ips-sdb daily 22:10 updat
11、e schedule av-sdb daily 22:10 update schedule sa-sdb daily 22:10 update schedule cnc daily 22:10#ip vpn-instance default ipv4-family#ip address-set 保护地址 type object#ip address-set 子站地址 type object# time-range worktime period-range 08:00:00 to 18:00:00 working-day #aaa authentication-scheme default a
12、uthentication-scheme admin_local authentication-scheme admin_radius_local authentication-scheme admin_hwtacacs_local authentication-scheme admin_ad_local authentication-scheme admin_ldap_local authentication-scheme admin_radius authentication-scheme admin_hwtacacs authentication-scheme admin_ad auth
13、entication-scheme admin_ldap authorization-scheme default accounting-scheme default domain default service-type internetaccess ssl-vpn l2tp ike internet-access mode password reference user current-domain manager-user audit-admin password cipher %nQX1YTEIm/KF=h;&6)jh3D2e=!|2t2e%(*8*TdYjh6)% service-t
14、ype web terminal level 15 manager-user api-admin password cipher %+VN+pRIl*YyIIT+3(8B8G)*:zmSCqC&uOr4jk;3(;+% service-type api level 15 manager-user admin password cipher %VA3aSb0(40m7kA%,L-pmHVj4O-WZsc6dlp,L0% service-type web terminal level 15 role system-admin role device-admin role device-admin(
15、monitor) role audit-admin bind manager-user audit-admin role audit-admin bind manager-user admin role system-admin#l2tp-group default-lns#interface GigabitEthernet0/0/0 undo shutdown ip binding vpn-instance default service-manage http permit service-manage https permit service-manage ping permit#int
16、erface GigabitEthernet0/0/1 portswitch undo shutdown port link-type access alias 保护#interface GigabitEthernet0/0/2 undo shutdown#interface GigabitEthernet0/0/3 undo shutdown#interface GigabitEthernet0/0/4 portswitch undo shutdown port link-type access alias 子站#interface GigabitEthernet0/0/5 undo shu
17、tdown#interface GigabitEthernet0/0/6 undo shutdown#interface GigabitEthernet0/0/7 undo shutdown#interface Virtual-if0#interface Cellular0/0/0#interface NULL0#firewall zone local set priority 100#firewall zone trust set priority 85 add interface GigabitEthernet0/0/0 add interface GigabitEthernet0/0/1
18、#firewall zone untrust set priority 5#firewall zone dmz set priority 50 add interface GigabitEthernet0/0/4#undo ssh server compatible-ssh1x enable#user-interface con 0 authentication-mode aaauser-interface vty 0 4 authentication-mode aaa protocol inbound sshuser-interface vty 16 20#sa#location#multi
19、-interface mode proportion-of-weight#right-manager server-group#api#device-classification device-group pc device-group mobile-terminal device-group undefined-group#security-policy rule name 子站保护 source-zone dmz destination-zone trust source-address address-set 子站地址 destination-address address-set 保护
20、地址 service ftp service icmp service ssh action permit rule name 保护子站 source-zone trust destination-zone dmz source-address address-set 保护地址 destination-address address-set 子站地址 service ftp service icmp service ssh action permit#auth-policy#traffic-policy#policy-based-route#nat-policy#quota-policy#pcp-policy#dns-transparent-policy mode based-on-multi-interface#rightm-policy# sms#return
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1