华为防火墙2110调试.docx

防火墙说明文档

一

使用串口转USB加串口转网口组合，网口在防火墙端接入console口，在笔记本电脑中打开CRT选择端口后，链接到防火墙配置

输入discu查看防火墙基本配置，按住空格显示更多配置，查看完后输入sys进入配置

[USG2110]抬头下进行网口配置

输入interfaceethernet1/0/0/6表示进入LAN6口的端口

具体端口表示多少号需要在查询防火墙配置中找到相关端口名称例如1/0/1或者2/0/0等如果该端口没有网线接口使用需要关闭接口

输入shutdown就可以成功关闭端口

然后用一根网线用笔记本接入到LAN1口，LAN1口是进入WEB配置界面的口，通常情况下不要当做通讯接口使用。

在前面查询防火墙配置的时候就能看的WEB界面的IP端口，通常都是（不要以下图IP为例）

用户名admin

密码Admin@123

进入之后首先修改密码 进入左侧的“系统”——“管理员”——“管理员” 点击修改将密码统一改为 Fglyc_01 “应用”“返回”

进入左侧的 “网络”——安全区域——安全区域 点trust的修改按钮

在描述中 填入描述 例如此防火墙用于一二区 就填“安全一区” 并将不用的lan

口选中并删除 留需要用lan口的和lan7口 lan7口用于调试然后点“应用”、“返回”

同样方法修改untrust区域 如果多条链路 接口不够用也可以增加lan口到untrust区

再进入左侧 “网络”——“接口”-“接口”中 修改wan0口

选择“交换” 然后修改Access VLANID 为2 （lan0和wan0他们为一条通路时，将wan0和lan0都设同样的值就可以，这里设置为2） 然后“应用”“返回”

同样方法修改lan0 “应用”“返回”

如果多条链路 就将AccessVLANID值依次增加即可 保证一条链路两个口的AccessVLANID值相同即可

在防火墙中找到安全策略中转发策略，新建添加两个策略

Trust-untrust

Untrust-trust两条策略如下图配置

总批＆企归I

泾区轼

丘：L；；t

｀＃

吕于安全区

忙1寸

｀I?

翌垃址

旦咕拒壮

叩

am

V

、

用户

珈

、谑＇

氐

时

动

士

酰

| 颈l_J

(.LJ廿

眨改妇蛔

万安全运域 JMIU,;t 回冒

目芘安刍区蚊

亟 凇1过的11m ｀立，l 釭远

目咕如止

,|(ll_1动．99．函月2 日 多惩

用户 I.a叮 回 冬逄

酝 I加 匕 多远

咡段 |aII Iv

茄 巨＂

亟

口应用腔材

匕．记呆策昨匹配f3志

氐用 lI 泛回

安全防护

攻击防范

流量型

SYNFlood：启用。配置见下图：

UDPFlood：启用，配置见下图：

ICMPFlood：启用，配置见下图：

ARPFlood：启用，配置见下图：

应用层

SIPFlood：启用，配置见下图：

HTTPFlood：启用，配置见下图：

ConnectionFlood：启用，配置见下图：

扫描类

配置见下图：

畸形报文类配置见下图：

特殊报文控制类配置见下图：

黑名单

配置见下图：

白名单

不配置。

IP-MAC地址绑定配置见下图：

日志配置

不使用。

其它配置

无。

保存配置

以上所有配置测试通过后，尽管这些配置立即生效，但若未保存将在掉电重启或复位后丢失，因此必须保存。