华为USG防火墙基本使用手册（版）.docxVIP

说明 在本实验中用USG6000与juniper ssg140做ipsec vpn。在此主要介绍华为防火墙的相关配置。在本实验的华为防火墙中接口地址有两个。一个是g1/0/1 IP address: 119.254.195.226/24。该接口属于untrust zone。G1/0/2 IP address: 172.16.6.254/24，该接口属于trust zone。在此假设防火墙应户名为admin 密码是 123kddi 注：每做完一个配置后点击保存后配置生效 一、使用 WebUI登陆 1、连接 PC必须与设备处于同一子网中。 PC-直连线-USG6000（g1/0/2口）。 2、登陆 1通过IE或与IE兼容的浏览器,使用防火墙缺省IP地址登录防火墙 2USG6000 防火墙缺省登录管理账号： 用户名：admin； 密码：123kddi。 ( 仅使用小写字母。登录名和密码字段都区分大小写。) 图1 4、非向导模式配置 华为防火墙在实际的部署过程中主要有三种模式可供选择，这三种模式分别是： 基于TCP/IP协议三层的NAT模式； 基于TCP/IP协议三层的路由模式； 基于二层协议的透明模式。 二、USG6000基本概念 1、安全区（Security Zone） 安全区（Security Zone）：华为防火墙也有安全区域（Security Zone）的概念，安全区域是一个逻辑的结构，是多个处于相同属性区域的物理接口的集合。当不同安全区域之间相互通讯时，必须通过事先定义的策略检查才能通过；当在同一个安全区域进行通讯时，默认状态下允许不通过策略检查，经过配置后也可以强制进行策略检查以提高安全性。 2、接口（Interface） 接口（Interface）：信息流可通过物理接口和子接口进出安全区（Security Zone）。为了使网络信息流能流入和流出安全区，必须将一个接口绑定到一个安全区，如果属于第3 层安全区，则需要给接口分配一个 IP地址。 4、安全策略（Policy）： 安全策略（Policy）：华为防火墙在定义策略时，主要需要设定源IP地址、目的IP地址、网络服务以及防火墙华为防火墙快速安装手册的动作。在设定网络服务时华为防火墙已经内置预设了大量常见的网络服务类型，同时，也可以由客户自行定义网络服务。 在客户自行定义通过防火墙的服务时，需要选择网络服务的协议，是UDP、TCP还是其它， 需要定义源端口或端口范围、目的端口或端口范围、网络服务在无流量情况下的超时定义等。 因此，通过对网络服务的定义，以及IP地址的定义，使华为防火墙的策略细致程度大大 加强，安全性也提高了。 5、华为防火墙三种模式 基于TCP/IP协议三层的NAT模式； 基于TCP/IP协议三层的路由模式； 基于二层协议的透明模式。 6、华为防火墙的常用功能 在一般情况下防火墙设备的常用功能包括 透明模式的部署、 NAT/路由模式的部署、 基于IPsecvpn的应用。 7、总述 接口属于zone，zone属于 VR，zone之间访问需要策略 三、基本配置 添加、修改账户 根管理员是唯一可以创建、修改和删除 admin 用户的管理员，所以添加、删除或者修改账户必须在根账户下进行。 使用根账户登录，在上面我修改了根账户名称和密码所以这里是：admin 登录后进入的是面板界面： 依次点击系统管理员管理员角色新建 填写建立的账户名称、密码以及权限 新建安全区域 网络 安全区域 新建，填写安全区域名，选择需要加入域的接口。 端口设置 端口必须从属于zone，华为防火墙默认的有三个zone 分别是trust untrust dmz。将接口划分到zone中可按以下步骤完成 步骤1：依次点击网络接口 步骤2：点击接口名，系统弹出如下窗口 选择安全区域，以及ip地址类型。最后点击确定 基本策略 策略 安全策略，选择源zone，目的zone， 进行现有策略的分类查询 然后点击“新建”然后出现以下界面，填写策略名称，选择源安全区域和目的安全区域。以及源IP地址及其掩码。目的ip地址以及掩码。选择服务类型（系统自带的服务类型和自定义的服务类型）。选择策略动作（允许还是禁止）最后点击确定。 自定义服务类型 依次点击对象服务服务新建 填写自定义服务名称后点击新建 选择协议是tcp和udp 源端口一般为任意端口号，目的端口为自定义指定的一个端口或者一个端口号段。最后点击确定确定 配置完成后可在策略安全策略中看到已配置的策略 注： 在配置安全区域间的策略时，如果目的地址做了NAT转换的，那么在策略表中的目的地址是转换前的ip地址。 NAT策略 NAT策略是“一对一”的双向地址翻译（转换）过程。通常的情况