华为防火墙简介与配置PPT文件格式下载.pptx

1、丰富而完善的可视化管理、审计、报表功能，使得网络管理员可以掌握全面真实的网络状况，以帮助管理员更好地做出防护措施。,网络定位,网络定位,防火墙外观结构,百兆防火墙USG6507对应原防火墙USG2205,防火墙外观结构,千兆防火墙USG6550对应原防火墙USG5150,防火墙外观结构,防火墙USG6507前面板局部图,防火墙的区域,防火墙区域：Local区域Trust区域Untrust区域DMZ区域安全区域的优先级（安全级别）：优先级值越大安全级别越高，不同区域的安全级别值不能相同。,防火墙的区域,防火墙的访问规则和策略（如ACL）不是应用在端口上，而是在区域间之间，通过区域的优先级值来表示

2、inbound或outbound的方向。安全级别高的区域向级别低的区域访问是出站方向inbound安全级别低的区域向级别高的区域访问是入站方向outbound 防火墙的同一安全区域内的端口之间访问不需要安全策略检查，不同安全区域的端口之间进行访问，需要有安全策略的检查和控制管理,防火墙的工作模式,1、路由模式相当于路由器的位置个功能，放在网络中是以三层设备的角色，接口都必须配置IP地址。2、透明模式在原有的网段中放置防火墙进行过滤工作，但是不改变原有的网段配置，防火墙仅作为一个二层设备连接，相当于一个二层交换机，接口不能配置IP地址。3、混合模式有两个防火墙，主要为了实现备份和冗余，一个是路由

3、模式，一个是透明模式，不推荐。,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,现网状态判定组网：透明墙，两区域隔离,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,防火墙连接登录设备Web界面对管理员PC浏览器的要求如下：Internet Explorer浏览器：6.09.0版本Firefox浏览器（推荐）：10.0及以上版本Chrome浏览器：17

4、.0及以上版本1、将管理员PC网口与设备的MGMT接口（GigabitEthernet 0/0/0）通过网线或者二层交换机相连。2、将管理员PC的网络连接的IP地址设置为在192.168.0.2192.168.0.254范围内的IP地址。,透明墙配置,防火墙连接3、在管理员PC中打开网络浏览器，访问需要登录设备的GigabitEthernet 0/0/0，缺省IP地址https:/192.168.0.1:84434、在登录界面中输入缺省的系统管理员的用户名“admin”和密码“Admin123”，单击“登录”。5、将管理员PC的网络连接的IP地址设置为在192.168.0.2192.168.0

5、.254范围内的IP地址。6、修改缺省管理员帐号的密码，单击“确定”，进入Web界面。,透明墙配置,防火墙连接,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,参数确认,透明墙配置,参数确认,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,地址配置1、通过二层以太网接口实现设备间互联之前，请先确定待使用的接口。然后将接口切换为二层以太网接口，将接口加入VLANA、选择“网络 接口”。B、单击待配置的接口所在行的C、根据已经确认的参数配置以太网接口的参数。,

6、透明墙配置,地址配置1、通过二层以太网接口实现设备间互联之前，请先确定待使用的接口。B、单击待配置的接口所在行的C、配置以太网接口的参数。,透明墙配置,地址配置2、配置名称为安全I区的地址集，将几个不允许访问服务器的IP地址加入地址集。A、选择“对象 地址 地址”。B、单击“新建”配置地址集，然后单击“确定”。,透明墙配置,地址配置1、配置名称为安全I区的地址集，将几个不允许访问服务器的IP地址加入地址集。2、配置名称为安全I I区的地址集，将几个不允许访问服务器的IP地址加入地址集。,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透

7、明墙配置,服务配置1、分别为Server1和Server2配置自定义服务集server1_port和server2_port，将服务器的非知名端口加入服务集。A、选择“对象 服务 服务”。B、单击“新建”，输入服务名称并添加成员。,透明墙配置,服务配置1、分别为Server1和Server2配置自定义服务集server1_port和server2_port，将服务器的非知名端口加入服务集。,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,安全策略配置1、配置安全策略，引用之前配置的地址集及服务集。A、选择“策略 安全策略 安

8、全策略”。B、单击“新建”，配置安全I区到安全II区的策略,透明墙配置,安全策略配置1、配置安全策略，引用之前配置的地址集及服务集。B、单击“新建”，配置安全I区到安全II区的策略C、单击“新建”，配置安全II区到安全I区的策略,透明墙配置,安全策略配置1、配置安全策略，引用之前配置的地址集及服务集。B、单击“新建”，配置安全I区到安全II区的策略C、单击“新建”，配置安全II区到安全I区的策略,透明墙配置,结果验证1、安全I区到安全II区的服务内的数据能访问2、安全I区到安全II区的服务外的数据不能能访问3、非安全I区、安全II区的地址访问全部受阻,路由墙配置（作为出口）,组网需求电站在网络

9、边界处部署了NGFW作为安全网关，并从运营商处购买了宽带上网服务，实现内部网络接入Internet的需求。具体需求如下：内部网络中的PC使用私网网段10.3.0.0/24实现互通，要求由NGFW为PC分配私网地址、DNS服务器地址等网络参数，减少管理员手工配置的劳动量。内部网络中的PC可以访问Internet。,路由墙配置（作为出口）,参数确认,路由墙配置（作为出口）,接口配置1、配置接口GigabitEthernet 1/0/1。选择“网络 接口”。单击GE1/0/1对应的，按如下参数配置单击“确定”。,路由墙配置（作为出口）,接口配置2、配置接口GigabitEthernet 1/0/3。单击GE1/0/3对应的，按如下参数配置单击“确定”。,路由墙配置（作为出口）,服务配置配置DHCP服务器。选择“网络 DHCP服务器 服务”。单击“新建”，按如下参数配置单击“确定”。,路由墙配置（作为出口）,安全策略配置配置安全策略，允许内部网络中的PC访问Internet。选择“策略 安全策略”。单击“新建”，按如右参数配置。单击“确定”。处只给出了完成本举例所需的安全策略的基本参数，具体使用时，请根据实际情况设置安全策略中的其他参数。,谢谢！,