侧边栏壁纸
  • 累计撰写 93 篇文章
  • 累计创建 170 个标签
  • 累计收到 88 条评论
标签搜索

目 录CONTENT

文章目录

华为防火墙初始化配置

seven
2023-04-20 / 0 评论 / 0 点赞 / 660 阅读 / 5,161 字
温馨提示:
本文最后更新于 2023-04-20,若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

设备规格

USG6110E, USG6307E, USG6311E, USG6331E, USG6510E, USG6510E-DK, USG6530E
设备外观和辅料

image
图 USG6110E, USG6311E, USG6331E, USG6510E, USG6510E-DK, USG6530E外观和辅料

上图左中为USG6110E, USG6307E, USG6311E, USG6510E, USG6510E-DK后面板,左下为USG6331E, USG6530E后面板
image-1681959652393
图 USG6110E, USG6307E, USG6311E, USG6331E, USG6510E, USG6510E-DK, USG6530E连接线缆
连接线缆,然后给设备上电。设备没有电源开关,上电后立即启动。当前面板上的SYS指示灯每两秒闪一次,表明设备已进入正常运行态,可以登录设备进行配置。

快速配置

防火墙设备出厂配置如下表。表1-2 防火墙出厂配置

项目 取值 备注
管理网口 接口号:GE0/0/0接口或MEth0/0/0 IP地址:192.168.0.1/24 不同机型管理网口编号存在差异,具体查阅对应产品文档。
登录类型 管理网口Web登录、Console口登录 其他登录类型需要自行配置。
管理员帐号密码 USG6000E V600R007C20及以后版本:无缺省管理员,首次登录时系统提示在线注册帐号。USG6000E V600R007C20之前版本:缺省管理员帐号和密码参见《华为安全产品 缺省帐号与密码》。获取该文档需要权限,如需升级权限,请查看网站帮助。 -
其他业务接口 三层模式,未配置IP地址。 -

如需恢复出厂配置,请在Web界面中选择“系统 > 配置文件管理”,单击“恢复出厂配置”。

连线

按下图连接管理网口、内网口GE0/0/2和外网口GE0/0/3。图中管理PC与设备管理网口连接,用于登录Web界面。如果使用命令行配置,首次登录请使用Console配置线连接管理PC的串口与设备的Console口。
image-1681965886310

登录Web界面

背景信息

推荐使用以下浏览器登录设备Web界面:

  • Internet Explorer浏览器:10-11
  • Firefox浏览器:62及以上版本
  • Chrome浏览器:64及以上版本

操作步骤

1、将管理员PC网口与设备的管理口(MEth 0/0/0或GigabitEthernet 0/0/0)通过网线直连或者通过二层交换机相连。
2、将管理员PC的IP地址设置为192.168.0.2~192.168.0.254范围内的IP地址。
3、在管理员PC的浏览器中输入地址:https://192.168.0.1:8443。输入地址登录后,浏览器会给出证书不安全的告警提示,选择继续浏览。
4、如果是首次登录设备,弹出创建管理员帐号界面。输入用户名、密码、确认密码,然后单击“创建”。
image-1681965967806
首次登录创建的管理员,拥有系统管理员权限和Web服务类型。

5、帐号创建成功,在弹出的提示框中单击“确定”。

6、进入登录界面,输入已经创建的用户名、密码登录设备,单击“登录”。
image-1681965984161
访问Web界面登录地址时,浏览器无法验证设备提供的默认证书,会有安全告警提示。可以在此界面上单击“下载根证书”下载证书,然后双击证书文件进安装,下次登录就没有安全告警提示了。

7、新帐号首次登录,系统弹出修改初始化密码界面。输入当前密码、新密码、确认密码,单击“确定”。
8、重新进入登录界面,输入帐号和新密码,单击“登录”。

防火墙Web界面

防火墙Web界面采用横向板块+竖向菜单的导航方式,界面布局如下图所示。
image-1681966021869

后续处理
选择“网络 > 接口”,可以修改管理口的IP地址,修改后需要重新登录。
选择“系统 > 管理员 > 管理员”,可以新建其他管理员。防火墙支持管理员绑定不同的权限角色。

配置三层接入

防火墙缺省工作在三层,通常作为企业Internet出口网关,实现内外网通信的同时进行安全防护。此种模式设备通过路由协议转发各个网段之间的报文。因此,这种接入方式也被称为“路由模式”。

防火墙三层接入部署在内外网之间时,通常还需要负责内网的私网地址与外网的公网地址之间的转换,也就是NAT功能,因此这种接入方式又常被称为“NAT模式”。
image-1681966084916
初始接入时,请使用Web界面提供的快速向导,根据企业的Internet接入方式将防火墙快速接入Internet。然后在此基础上进行高级配置。

  • 静态IP: 如果从网络服务商处获得固定的IP地址,请选择此接入方式。
  • PPPoE: 如果从网络服务商处获得用户名和密码进行拨号,请选择此接入方式。
  • DHCP: 如果从网络服务商自动获取IP地址,请选择此接入方式。

执行快速向导后,防火墙具备的基本配置如下:

  • 上网接口:加入untrust区域,并通过管理员选择的接入方式获取到公网IP地址。

  • 局域网接口:加入trust区域,私网IP地址配置完毕;如果管理员在向导中启用了局域网DHCP服务,则局域网接口开启DHCP服务器功能为局域网PC分配IP地址及DNS服务器地址。

局域网接口为局域网PC分配的DNS服务器为防火墙局域网接口的IP地址,防火墙作为DNS代理接收PC的DNS请求,然后再将DNS请求发往DNS服务器。

  • 源NAT:存在一条Easy IP方式的源NAT策略,出接口是上网接口的所有流量的源IP地址被转换为上网接口IP地址。

  • 路由:存在一条缺省路由,出接口是上网接口,将流量转发至Internet。

  • 安全策略:未配置,需要自行手工配置安全策略,允许局域网用户访问Internet。

使用三层Internet接入向导:静态IP

数据准备

项目 取值 备注
外网接口 接口编号:GE0/0/3;IP地址:1.1.1.1/24 需要从网络服务商获取参数。
网络服务商默认网关 1.1.1.254
DNS服务器地址 主用DNS服务器地址:2.2.2.2; 备用DNS服务器地址:2.2.2.22
局域网接口 接口编号:GE0/0/2 ;IP地址:10.1.1.1/24 -
是否启用DHCP服务为局域网分配IP地址

操作步骤

1、选择“系统 > 快速向导”。
2、单击“下一步”。
3、根据需要修改主机名、管理员密码,然后单击“下一步”。如果无需修改,单击“跳过”。
4、根据设备的所在地配置系统时间,然后单击“下一步”。
5、选择接入互联网方式为“静态IP”,然后单击“下一步”。
6、配置接入互联网参数,然后单击“下一步”。
image-1681966462706
7、配置局域网接口,然后单击“下一步”。
image-1681966478963
8、启用局域网接口的DHCP服务,并使用默认的IP地址范围。然后单击“下一步”。当防火墙作为局域网PC的网关时,可以使用局域网接口为PC分配IP地址。
image-1681966493602
9、核对配置信息无误后,单击“应用”。
10、系统提示配置成功,单击“完成”。
11、配置基础安全策略,允许局域网PC访问Internet。
12、配置局域网PC自动获取IP地址、DNS服务器地址,步骤略。

使用三层Internet接入向导:PPPoE

背景信息

项目 取值 备注
外网接口 接口编号:GE0/0/3;IP地址:通过PPPoE拨号自动获取;拨号用户名:pppoe1 ;拨号密码:Admin@1234 需要从网络服务商获取参数。
DNS服务器地址 通过PPPoE拨号自动获取
局域网接口 接口编号:GE0/0/2;IP地址:10.1.1.1/24 -
是否启用DHCP服务为局域网分配IP地址 如果防火墙作为局域网PC的网关,可以为PC自动分配IP地址及DNS服务器地址。

操作步骤

1、选择“系统 > 快速向导”。

2、单击“下一步”。

3、根据需要修改主机名、管理员密码,然后单击“下一步”。如果无需修改,单击“跳过”。

4、根据设备的所在地配置系统时间,然后单击“下一步”。

5、选择接入互联网方式为“PPPoE”,然后单击“下一步”。

6、配置接入互联网参数,然后单击“下一步”。
image-1681966773899
7、配置局域网接口,然后单击“下一步”。
image-1681966788985
8、启用局域网接口的DHCP服务,并使用默认的IP地址范围。然后单击“下一步”。当防火墙作为局域网PC的网关时,可以使用局域网接口为PC分配IP地址。
image-1681966802552
9、核对配置信息无误后,单击“应用”。
10、系统提示配置成功,单击“完成”。
11、配置基础安全策略,允许局域网PC访问Internet。
12、配置局域网PC自动获取IP地址、DNS服务器地址,步骤略。

使用三层Internet接入向导:DHCP

背景信息

项目 取值 备注
外网接口 接口编号:GE0/0/3 ;IP地址:通过DHCP自动获取 -
DNS服务器地址 通过DHCP自动获取 -
局域网接口 接口编号:GE0/0/2;IP地址:10.1.1.1/24 -
是否启用DHCP服务为局域网分配IP地址 如果防火墙作为局域网PC的网关,可以为PC自动分配IP地址及DNS服务器地址。

操作步骤

1、选择“系统 > 快速向导”。
2、单击“下一步”。
3、根据需要修改主机名、管理员密码,然后单击“下一步”。如果无需修改,单击“跳过”。
4、根据设备的所在地配置系统时间,然后单击“下一步”。
5、选择接入互联网方式为“DHCP”,然后单击“下一步”。
6、配置接入互联网参数,然后单击“下一步”。
image-1681966982584
7、配置局域网接口,然后单击“下一步”。
image-1681966995532
8、启用局域网接口的DHCP服务,并使用默认的IP地址范围。然后单击“下一步”。当防火墙作为局域网PC的网关时,可以使用局域网接口为PC分配IP地址。
image-1681967011555
9、核对配置信息无误后,单击“应用”。
10、系统提示配置成功,单击“完成”。
11、配置基础安全策略,允许局域网PC访问Internet。
12、配置局域网PC自动获取IP地址、DNS服务器地址,步骤略。

配置基础安全策略

前提条件

快速向导已经运行完毕。

操作步骤

1、选择“策略 > 安全策略 > 安全策略”。
2、新建安全策略,允许局域网PC访问Internet。
image-1681967078066

配置二层透明接入

背景信息 二层透明接入就是防火墙使用两个二层接口接入网络,通常部署在出口网关的内侧。此种接入方式的优点是不影响原有网络结构,不需要调整上下行设备路由,因此也称为“透明模式”。

二层透明接入防火墙同样具备安全防护能力,也需要配置安全策略,只是部分三层特有的功能二层接口不支持,例如路由。但是可以使用VLANIF作为三层接口。

说明:防火墙无需全局切换路由模式、透明模式,而是进行接口级别的模式切换。接口工作在三层,就可以实现三层网关的功能;接口工作在二层,就可以实现二层透明接入的功能。二、三层接入可以并存。

如下图所示,防火墙一般部署在出口路由器的内侧,防火墙下行是交换机,上行是路由器。根据组网情况,可能路由器做内网用户网关,也可能三层交换机做内网用户网关。

防火墙透明接入组网中,一般使用路由器做源NAT,但是防火墙也支持做源NAT转换。下图中,当三层交换机做内网用户网关时可以在防火墙上配置源NAT。
image-1681967115567

操作步骤

1、配置二层接口。

  • a、选择“网络 > 接口”。
  • b、配置GE0/0/2接口为交换模式,并将接口加入安全区域。
    单击“确定”,然后在接口列表中修改GE0/0/2的安全区域为trust。
    image-1681967164654

说明:根据与防火墙连接的交换机的配置情况,配置防火墙二层接口的连接类型是Trunk还是Access。透明接入防火墙类似于二层交换机。如果防火墙接口是Trunk类型转发VLAN,则需要在路由器上配置子接口终结VLAN。

  • c、配置GE0/0/3接口为交换模式,并将接口加入安全区域。单击“确定”,然后在接口列表中修改GE0/0/3的安全区域为untrust。
    image-1681967199900
    2、配置基础安全策略允许内网用户访问Internet。

  • a、选择“策略 > 安全策略 > 安全策略”。

  • b、新建安全策略。
    image-1681967228076
    3、配置交换机和路由器的VLAN、接口及IP地址等,具体步骤略。
    4、可选:配置源NAT转换内网用户IP地址。当三层交换机做内网用户网关时,可以选择防火墙做源NAT。

  • a、选择“策略 > NAT策略 > NAT策略”。

  • b、选择“源转换地址池”页签,新建地址池,地址池中是可供使用的公网IP地址范围。
    image-1681967266028

  • c、选择“NAT 策略”页签,新建NAT策略。
    image-1681967283411

  • d、在三层交换机上配置到NAT地址池地址(1.1.1.1~1.1.1.5)的黑洞路由。

<switch> system-view 
[switch] ip route-static 1.1.1.1 32 NULL0 
[switch] ip route-static 1.1.1.2 32 NULL0 
[switch] ip route-static 1.1.1.3 32 NULL0  
[switch] ip route-static 1.1.1.4 32 NULL0  
[switch] ip route-static 1.1.1.5 32 NULL0 
  • 在路由器上配置到NAT地址池地址(1.1.1.1~1.1.1.5)的静态路由,下一跳为交换机VLANIF10的地址10.2.1.1
<router> system-view
[router] ip route-static 1.1.1.1 32 10.2.1.1
[router] ip route-static 1.1.1.2 32 10.2.1.1
[router] ip route-static 1.1.1.3 32 10.2.1.1
[router] ip route-static 1.1.1.4 32 10.2.1.1 
[router] ip route-static 1.1.1.5 32 10.2.1.1 

后续处理

透明接入时,管理员首次登录通过管理口登录防火墙。如果需要使用业务口登录防火墙,或者防火墙需要访问外部地址,均需要配置VLANIF接口IP地址。

本例中是VLANIF10,配置如下,注意VLANIF10的IP地址需要与防火墙上下行设备IP地址同一网段。
image-1681967373893

建立防火墙访问外部服务通道

背景信息

配置三层接入、配置二层透明接入中完成了内网PC访问Internet的基础网络部署,防火墙本身进行特征库升级、License在线激活等需要防火墙可以访问Internet的外部服务

操作步骤

1、确保防火墙提供一个三层接口IP地址连接安全中心、License中心等。
三层接入一般使用公网接口IP地址即可;二层透明接入则需要配置一个VLANIF接口,配置接口IP并加入安全区域,具体步骤参见二层透明接入后续处理。

另外注意确保该地址到Internet路由可达。

2、确保防火墙已经配置DNS服务器,否则防火墙无法通过域名访问外部服务。选择“网络 > DNS > DNS”,检查是否已经配置了DNS服务器,如果没有配置请增加DNS服务器。

3、可选:如果接口IP是私网地址,还需要配置源NAT。
二层透明接入时,根据规划可能防火墙进行NAT转换,也可能出口路由器进行NAT转换。
选择“策略 > NAT策略 > NAT策略”,配置NAT策略对接口IP地址进行转换。
image-1681967435608
4、配置安全策略允许防火墙访问外部服务、DNS服务器等。
选择“策略 > 安全策略 > 安全策略”,允许local安全区域访问Internet所在安全区域。
放行的服务等根据业务需求制定,例如防火墙访问DNS服务器要放行DNS,防火墙升级特征库要放行HTTPS。
image-1681967454810

测试网络连通性

完成上述配置后,内网PC、防火墙均可以访问Internet,可以按如下操作进行测试。

测试内网PC访问Internet

在内网PC浏览器中输入一个网址,测试是否可以打开网页。如果打开网页失败,尝试如下方法排障:

1、选择“网络 > 接口”,在接口列表中检查防火墙内、外网接口的状态是否Up。如果外网接口Down,请确认防火墙的配置与网络服务商提供的参数是否一致。
2、检查内网PC是否正常设置IP地址和DNS服务器;如果配置了防火墙为PC分配地址,则在cmd窗口执行ipconfig /all命令检查PC是否正常通过防火墙获取IP地址和DNS服务器,如果PC没有获取到地址请检查防火墙的DHCP服务配置。
3、登录防火墙Web界面选择“监控 > 诊断中心”,单击“网页诊断”页签。输入内网PC的IP地址以及网页URL,单击“诊断”。根据诊断信息进行故障处理。

测试防火墙访问Internet

使用防火墙Web界面提供的升级中心 (isecurity.huawei.com) 连通性测试功能进行测试选择“系统 > 升级中心”,单击“测试升级中心链接”链接,弹出检测结果页面。如果连接失败,请按照提示信息进行修改
26_i8x4

0

评论区