设备规格
USG6110E, USG6307E, USG6311E, USG6331E, USG6510E, USG6510E-DK, USG6530E
设备外观和辅料
图 USG6110E, USG6311E, USG6331E, USG6510E, USG6510E-DK, USG6530E外观和辅料
上图左中为USG6110E, USG6307E, USG6311E, USG6510E, USG6510E-DK后面板,左下为USG6331E, USG6530E后面板
图 USG6110E, USG6307E, USG6311E, USG6331E, USG6510E, USG6510E-DK, USG6530E连接线缆
连接线缆,然后给设备上电。设备没有电源开关,上电后立即启动。当前面板上的SYS指示灯每两秒闪一次,表明设备已进入正常运行态,可以登录设备进行配置。
快速配置
防火墙设备出厂配置如下表。表1-2 防火墙出厂配置
| 项目 | 取值 | 备注 |
|---|---|---|
| 管理网口 | 接口号:GE0/0/0接口或MEth0/0/0 IP地址:192.168.0.1/24 | 不同机型管理网口编号存在差异,具体查阅对应产品文档。 |
| 登录类型 | 管理网口Web登录、Console口登录 | 其他登录类型需要自行配置。 |
| 管理员帐号密码 | USG6000E V600R007C20及以后版本:无缺省管理员,首次登录时系统提示在线注册帐号。USG6000E V600R007C20之前版本:缺省管理员帐号和密码参见《华为安全产品 缺省帐号与密码》。获取该文档需要权限,如需升级权限,请查看网站帮助。 | - |
| 其他业务接口 | 三层模式,未配置IP地址。 | - |
如需恢复出厂配置,请在Web界面中选择“系统 > 配置文件管理”,单击“恢复出厂配置”。
连线
按下图连接管理网口、内网口GE0/0/2和外网口GE0/0/3。图中管理PC与设备管理网口连接,用于登录Web界面。如果使用命令行配置,首次登录请使用Console配置线连接管理PC的串口与设备的Console口。
登录Web界面
背景信息
推荐使用以下浏览器登录设备Web界面:
- Internet Explorer浏览器:10-11
- Firefox浏览器:62及以上版本
- Chrome浏览器:64及以上版本
操作步骤
1、将管理员PC网口与设备的管理口(MEth 0/0/0或GigabitEthernet 0/0/0)通过网线直连或者通过二层交换机相连。
2、将管理员PC的IP地址设置为192.168.0.2~192.168.0.254范围内的IP地址。
3、在管理员PC的浏览器中输入地址:https://192.168.0.1:8443。输入地址登录后,浏览器会给出证书不安全的告警提示,选择继续浏览。
4、如果是首次登录设备,弹出创建管理员帐号界面。输入用户名、密码、确认密码,然后单击“创建”。
首次登录创建的管理员,拥有系统管理员权限和Web服务类型。
5、帐号创建成功,在弹出的提示框中单击“确定”。
6、进入登录界面,输入已经创建的用户名、密码登录设备,单击“登录”。
访问Web界面登录地址时,浏览器无法验证设备提供的默认证书,会有安全告警提示。可以在此界面上单击“下载根证书”下载证书,然后双击证书文件进安装,下次登录就没有安全告警提示了。
7、新帐号首次登录,系统弹出修改初始化密码界面。输入当前密码、新密码、确认密码,单击“确定”。
8、重新进入登录界面,输入帐号和新密码,单击“登录”。
防火墙Web界面
防火墙Web界面采用横向板块+竖向菜单的导航方式,界面布局如下图所示。
后续处理
选择“网络 > 接口”,可以修改管理口的IP地址,修改后需要重新登录。
选择“系统 > 管理员 > 管理员”,可以新建其他管理员。防火墙支持管理员绑定不同的权限角色。
配置三层接入
防火墙缺省工作在三层,通常作为企业Internet出口网关,实现内外网通信的同时进行安全防护。此种模式设备通过路由协议转发各个网段之间的报文。因此,这种接入方式也被称为“路由模式”。
防火墙三层接入部署在内外网之间时,通常还需要负责内网的私网地址与外网的公网地址之间的转换,也就是NAT功能,因此这种接入方式又常被称为“NAT模式”。
初始接入时,请使用Web界面提供的快速向导,根据企业的Internet接入方式将防火墙快速接入Internet。然后在此基础上进行高级配置。
- 静态IP: 如果从网络服务商处获得固定的IP地址,请选择此接入方式。
- PPPoE: 如果从网络服务商处获得用户名和密码进行拨号,请选择此接入方式。
- DHCP: 如果从网络服务商自动获取IP地址,请选择此接入方式。
执行快速向导后,防火墙具备的基本配置如下:
-
上网接口:加入untrust区域,并通过管理员选择的接入方式获取到公网IP地址。
-
局域网接口:加入trust区域,私网IP地址配置完毕;如果管理员在向导中启用了局域网DHCP服务,则局域网接口开启DHCP服务器功能为局域网PC分配IP地址及DNS服务器地址。
局域网接口为局域网PC分配的DNS服务器为防火墙局域网接口的IP地址,防火墙作为DNS代理接收PC的DNS请求,然后再将DNS请求发往DNS服务器。
-
源NAT:存在一条Easy IP方式的源NAT策略,出接口是上网接口的所有流量的源IP地址被转换为上网接口IP地址。
-
路由:存在一条缺省路由,出接口是上网接口,将流量转发至Internet。
-
安全策略:未配置,需要自行手工配置安全策略,允许局域网用户访问Internet。
使用三层Internet接入向导:静态IP
数据准备
| 项目 | 取值 | 备注 |
|---|---|---|
| 外网接口 | 接口编号:GE0/0/3;IP地址:1.1.1.1/24 | 需要从网络服务商获取参数。 |
| 网络服务商默认网关 | 1.1.1.254 | |
| DNS服务器地址 | 主用DNS服务器地址:2.2.2.2; 备用DNS服务器地址:2.2.2.22 | |
| 局域网接口 | 接口编号:GE0/0/2 ;IP地址:10.1.1.1/24 | - |
| 是否启用DHCP服务为局域网分配IP地址 | 是 |
操作步骤
1、选择“系统 > 快速向导”。
2、单击“下一步”。
3、根据需要修改主机名、管理员密码,然后单击“下一步”。如果无需修改,单击“跳过”。
4、根据设备的所在地配置系统时间,然后单击“下一步”。
5、选择接入互联网方式为“静态IP”,然后单击“下一步”。
6、配置接入互联网参数,然后单击“下一步”。
7、配置局域网接口,然后单击“下一步”。
8、启用局域网接口的DHCP服务,并使用默认的IP地址范围。然后单击“下一步”。当防火墙作为局域网PC的网关时,可以使用局域网接口为PC分配IP地址。
9、核对配置信息无误后,单击“应用”。
10、系统提示配置成功,单击“完成”。
11、配置基础安全策略,允许局域网PC访问Internet。
12、配置局域网PC自动获取IP地址、DNS服务器地址,步骤略。
使用三层Internet接入向导:PPPoE
背景信息
| 项目 | 取值 | 备注 |
|---|---|---|
| 外网接口 | 接口编号:GE0/0/3;IP地址:通过PPPoE拨号自动获取;拨号用户名:pppoe1 ;拨号密码:Admin@1234 | 需要从网络服务商获取参数。 |
| DNS服务器地址 | 通过PPPoE拨号自动获取 | |
| 局域网接口 | 接口编号:GE0/0/2;IP地址:10.1.1.1/24 | - |
| 是否启用DHCP服务为局域网分配IP地址 | 是 | 如果防火墙作为局域网PC的网关,可以为PC自动分配IP地址及DNS服务器地址。 |
操作步骤
1、选择“系统 > 快速向导”。
2、单击“下一步”。
3、根据需要修改主机名、管理员密码,然后单击“下一步”。如果无需修改,单击“跳过”。
4、根据设备的所在地配置系统时间,然后单击“下一步”。
5、选择接入互联网方式为“PPPoE”,然后单击“下一步”。
6、配置接入互联网参数,然后单击“下一步”。
7、配置局域网接口,然后单击“下一步”。
8、启用局域网接口的DHCP服务,并使用默认的IP地址范围。然后单击“下一步”。当防火墙作为局域网PC的网关时,可以使用局域网接口为PC分配IP地址。
9、核对配置信息无误后,单击“应用”。
10、系统提示配置成功,单击“完成”。
11、配置基础安全策略,允许局域网PC访问Internet。
12、配置局域网PC自动获取IP地址、DNS服务器地址,步骤略。
使用三层Internet接入向导:DHCP
背景信息
| 项目 | 取值 | 备注 |
|---|---|---|
| 外网接口 | 接口编号:GE0/0/3 ;IP地址:通过DHCP自动获取 | - |
| DNS服务器地址 | 通过DHCP自动获取 | - |
| 局域网接口 | 接口编号:GE0/0/2;IP地址:10.1.1.1/24 | - |
| 是否启用DHCP服务为局域网分配IP地址 | 是 | 如果防火墙作为局域网PC的网关,可以为PC自动分配IP地址及DNS服务器地址。 |
操作步骤
1、选择“系统 > 快速向导”。
2、单击“下一步”。
3、根据需要修改主机名、管理员密码,然后单击“下一步”。如果无需修改,单击“跳过”。
4、根据设备的所在地配置系统时间,然后单击“下一步”。
5、选择接入互联网方式为“DHCP”,然后单击“下一步”。
6、配置接入互联网参数,然后单击“下一步”。
7、配置局域网接口,然后单击“下一步”。
8、启用局域网接口的DHCP服务,并使用默认的IP地址范围。然后单击“下一步”。当防火墙作为局域网PC的网关时,可以使用局域网接口为PC分配IP地址。
9、核对配置信息无误后,单击“应用”。
10、系统提示配置成功,单击“完成”。
11、配置基础安全策略,允许局域网PC访问Internet。
12、配置局域网PC自动获取IP地址、DNS服务器地址,步骤略。
配置基础安全策略
前提条件
快速向导已经运行完毕。
操作步骤
1、选择“策略 > 安全策略 > 安全策略”。
2、新建安全策略,允许局域网PC访问Internet。
配置二层透明接入
背景信息 二层透明接入就是防火墙使用两个二层接口接入网络,通常部署在出口网关的内侧。此种接入方式的优点是不影响原有网络结构,不需要调整上下行设备路由,因此也称为“透明模式”。
二层透明接入防火墙同样具备安全防护能力,也需要配置安全策略,只是部分三层特有的功能二层接口不支持,例如路由。但是可以使用VLANIF作为三层接口。
说明:防火墙无需全局切换路由模式、透明模式,而是进行接口级别的模式切换。接口工作在三层,就可以实现三层网关的功能;接口工作在二层,就可以实现二层透明接入的功能。二、三层接入可以并存。
如下图所示,防火墙一般部署在出口路由器的内侧,防火墙下行是交换机,上行是路由器。根据组网情况,可能路由器做内网用户网关,也可能三层交换机做内网用户网关。
防火墙透明接入组网中,一般使用路由器做源NAT,但是防火墙也支持做源NAT转换。下图中,当三层交换机做内网用户网关时可以在防火墙上配置源NAT。
操作步骤
1、配置二层接口。
- a、选择“网络 > 接口”。
- b、配置GE0/0/2接口为交换模式,并将接口加入安全区域。
单击“确定”,然后在接口列表中修改GE0/0/2的安全区域为trust。
说明:根据与防火墙连接的交换机的配置情况,配置防火墙二层接口的连接类型是Trunk还是Access。透明接入防火墙类似于二层交换机。如果防火墙接口是Trunk类型转发VLAN,则需要在路由器上配置子接口终结VLAN。
-
c、配置GE0/0/3接口为交换模式,并将接口加入安全区域。单击“确定”,然后在接口列表中修改GE0/0/3的安全区域为untrust。
2、配置基础安全策略允许内网用户访问Internet。 -
a、选择“策略 > 安全策略 > 安全策略”。
-
b、新建安全策略。
3、配置交换机和路由器的VLAN、接口及IP地址等,具体步骤略。
4、可选:配置源NAT转换内网用户IP地址。当三层交换机做内网用户网关时,可以选择防火墙做源NAT。 -
a、选择“策略 > NAT策略 > NAT策略”。
-
b、选择“源转换地址池”页签,新建地址池,地址池中是可供使用的公网IP地址范围。
-
c、选择“NAT 策略”页签,新建NAT策略。
-
d、在三层交换机上配置到NAT地址池地址(1.1.1.1~1.1.1.5)的黑洞路由。
<switch> system-view
[switch] ip route-static 1.1.1.1 32 NULL0
[switch] ip route-static 1.1.1.2 32 NULL0
[switch] ip route-static 1.1.1.3 32 NULL0
[switch] ip route-static 1.1.1.4 32 NULL0
[switch] ip route-static 1.1.1.5 32 NULL0
- 在路由器上配置到NAT地址池地址(1.1.1.1~1.1.1.5)的静态路由,下一跳为交换机VLANIF10的地址10.2.1.1
<router> system-view
[router] ip route-static 1.1.1.1 32 10.2.1.1
[router] ip route-static 1.1.1.2 32 10.2.1.1
[router] ip route-static 1.1.1.3 32 10.2.1.1
[router] ip route-static 1.1.1.4 32 10.2.1.1
[router] ip route-static 1.1.1.5 32 10.2.1.1
后续处理
透明接入时,管理员首次登录通过管理口登录防火墙。如果需要使用业务口登录防火墙,或者防火墙需要访问外部地址,均需要配置VLANIF接口IP地址。
本例中是VLANIF10,配置如下,注意VLANIF10的IP地址需要与防火墙上下行设备IP地址同一网段。
建立防火墙访问外部服务通道
背景信息
配置三层接入、配置二层透明接入中完成了内网PC访问Internet的基础网络部署,防火墙本身进行特征库升级、License在线激活等需要防火墙可以访问Internet的外部服务
操作步骤
1、确保防火墙提供一个三层接口IP地址连接安全中心、License中心等。
三层接入一般使用公网接口IP地址即可;二层透明接入则需要配置一个VLANIF接口,配置接口IP并加入安全区域,具体步骤参见二层透明接入后续处理。
另外注意确保该地址到Internet路由可达。
2、确保防火墙已经配置DNS服务器,否则防火墙无法通过域名访问外部服务。选择“网络 > DNS > DNS”,检查是否已经配置了DNS服务器,如果没有配置请增加DNS服务器。
3、可选:如果接口IP是私网地址,还需要配置源NAT。
二层透明接入时,根据规划可能防火墙进行NAT转换,也可能出口路由器进行NAT转换。
选择“策略 > NAT策略 > NAT策略”,配置NAT策略对接口IP地址进行转换。
4、配置安全策略允许防火墙访问外部服务、DNS服务器等。
选择“策略 > 安全策略 > 安全策略”,允许local安全区域访问Internet所在安全区域。
放行的服务等根据业务需求制定,例如防火墙访问DNS服务器要放行DNS,防火墙升级特征库要放行HTTPS。
测试网络连通性
完成上述配置后,内网PC、防火墙均可以访问Internet,可以按如下操作进行测试。
测试内网PC访问Internet
在内网PC浏览器中输入一个网址,测试是否可以打开网页。如果打开网页失败,尝试如下方法排障:
1、选择“网络 > 接口”,在接口列表中检查防火墙内、外网接口的状态是否Up。如果外网接口Down,请确认防火墙的配置与网络服务商提供的参数是否一致。
2、检查内网PC是否正常设置IP地址和DNS服务器;如果配置了防火墙为PC分配地址,则在cmd窗口执行ipconfig /all命令检查PC是否正常通过防火墙获取IP地址和DNS服务器,如果PC没有获取到地址请检查防火墙的DHCP服务配置。
3、登录防火墙Web界面选择“监控 > 诊断中心”,单击“网页诊断”页签。输入内网PC的IP地址以及网页URL,单击“诊断”。根据诊断信息进行故障处理。
测试防火墙访问Internet
使用防火墙Web界面提供的升级中心 (isecurity.huawei.com) 连通性测试功能进行测试选择“系统 > 升级中心”,单击“测试升级中心链接”链接,弹出检测结果页面。如果连接失败,请按照提示信息进行修改
评论区