【正文】 華為防火墻配置使用手冊防火墻默認的管理接口為g0/0/0，默認g0/0/0接口開啟了dhcp server，默認用戶名為admin，默認密碼為Admin@123一、 配置案例 拓撲圖GE 0/0/1：GE 0/0/2：GE 0/0/3：WWW服務器：（DMZ區(qū)域）FTP服務器：（DMZ區(qū)域） Telnet配置配置VTY 的優(yōu)先級為3，基于密碼驗證。 進入系統(tǒng)視圖。USG5300 systemview 進入用戶界面視圖[USG5300] userinterface vty 0 4 設置用戶界面能夠訪問的命令級別為level 3[USG5300uivty04] user privilege level 3配置Password驗證 配置驗證方式為Password驗證[USG5300uivty04] authenticationmode password 配置驗證密碼為lantian[USG5300uivty04] set authentication password simple lantian 最新版本的命令是authenticationmode password cipher huawei@123配置空閑斷開連接時間 設置超時為30分鐘[USG5300uivty04] idletimeout 30[USG5300] firewall packetfilter default permit interzone untrust local direction inbound //不加這個從公網(wǎng)不能telnet防火墻?；谟脩裘兔艽a驗證userinterface vty 0 4 authenticationmode aaaaaa localuser admin password cipher ]MQ。4\]B+4Z,YWX*NZ55OA!! localuser admin servicetype telnet localuser admin level 3firewall packetfilter default permit interzone untrust local direction inbound如果不開放trust域到local域的缺省包過濾，那么從內(nèi)網(wǎng)也不能telnet的防火墻，但是默認情況下已經(jīng)開放了trust域到local域的缺省包過濾。 地址配置內(nèi)網(wǎng)：進入GigabitEthernet 0/0/1視圖 [USG5300] interface GigabitEthernet 0/0/1配置GigabitEthernet 0/0/1的IP地址 [USG5300GigabitEthernet0/0/1] ip address 配置GigabitEthernet 0/0/1加入Trust區(qū)域[USG5300] firewall zone trust[USG5300zoneuntrust] add interface GigabitEthernet 0/0/1[USG5300zoneuntrust] quit外網(wǎng)：進入GigabitEthernet 0/0/2視圖 [USG5300] interface GigabitEthernet 0/0/2配置GigabitEthernet 0/0/2的IP地址 [USG5300GigabitEthernet0/0/2] ip address 配置GigabitEthernet 0/0/2加入Untrust區(qū)域[USG5300] firewall zone untrust[USG5300zoneuntrust] add interface GigabitEthernet 0/0/2[USG5300zoneuntrust] quitDMZ：進入GigabitEthernet 0/0/3視圖[USG5300] interface GigabitEthernet 0/0/3配置GigabitEthernet 0/0/3的IP地址。 [USG5300GigabitEthernet0/0/3] ip address [USG5300] firewall zone dmz[USG5300zoneuntrust] add interface GigabitEthernet 0/0/3[USG5300zoneuntrust] quit 防火墻策略本地策略是指與Local安全區(qū)域有關的域間安全策略，用于控制外界與設備本身的互訪。域間安全策略就是指不同的區(qū)域之間的安全策略。域內(nèi)安全策略就是指同一個安全區(qū)域之間的策略，缺省情況下，同一安全區(qū)域內(nèi)的數(shù)據(jù)流都允許通過，域內(nèi)安全策略沒有Inbound和Outbound方向的區(qū)分。策略內(nèi)按照policy的順序進行匹配，如果policy 0匹配了，就不會檢測policy 1了,和policy的ID大小沒有關系，誰在前就先匹配誰。缺省情況下開放local域到其他任意安全區(qū)域的缺省包過濾，方便設備自身的對外訪問。其他接口都沒有加安全區(qū)域，并且其他域間的缺省包過濾關閉。要想設備轉(zhuǎn)發(fā)流量必須將接口加入安全區(qū)域，并配置域間安全策略或開放缺省包過濾。安全策略的匹配順序：每條安全策略中包括匹配條件、控制動作和UTM等高級安全策略。匹配條件安全策略可以指定多種匹配條件，報文必須同時滿足所有條件才會匹配上策略。比如如下策略policy 1 policy service serviceset dnspolicy destination 0policy source 在這里policy ，可以說是目的地址的53號端口。域間可以應用多條安全策略，按照策略列表的順序從上到下匹配。只要匹配到一條策略就不再繼續(xù)匹配剩下的策略。如果安全策略不是以自動排序方式配置的，策略的優(yōu)先級按照配置順序進行排列，越先配置的策略，優(yōu)先級越高，越先匹配報文。但是也可以手工調(diào)整策略之間的優(yōu)先級。缺省情況下，安全策略就不是以自動排序方式。如果安全策略是以自動排序方式配置的，策略的優(yōu)先級按照策略ID的大小進行排列，策略ID越小，優(yōu)先級越高，越先匹配報文。此時，策略之間的優(yōu)先級關系不可調(diào)整。policy createmode autosort enable命令用來開啟安全策略自動排序功能，默認是關閉的。如果沒有匹配到安全策略，將按缺省包過濾的動作進行處理，所以在配置具體安全策略時要注意與缺省包過濾的關系。例如安全策略中只允許某些報文通過但是沒有關閉缺省包過濾，將造成那些沒有匹配到安全策略的流量也會通過，就失去配置安全策略的意義了。同樣，如果安全策略中只配置了需要拒絕的流量，其他流量都是允許通過的，這時需要開放缺省包過濾才能實現(xiàn)需求，否則會造成所有流量都不能通過。執(zhí)行命令display this查看當前已有的安全策略，策略顯示的順序就是策略的匹配順序，越前邊的優(yōu)先級越高執(zhí)行命令policy move policyid1 { before | after } policyid2，調(diào)整策略優(yōu)先級。UTM策略安全策略中除了基本的包過濾功能，還可以引用IPS、AV、應用控制等UTM策略進行進一步的應用層檢測。但前提是匹配到控制動作為permit的流量才能進行UTM處理，如果匹配到deny直接丟棄報文。安全策略的應用方向域間的Inbound和Outbound方向上都可以應用安全策略，需要根據(jù)會話的方向合理應用。因為USG是基于會話的安全策略，只對同一會話的首包檢測，后續(xù)包直接按照首包的動作進行處理。所以對同一條會話來說只需要在首包的發(fā)起方向上，也就是訪問發(fā)起的方向上應用安全策略。如上圖所示，Trust域的PC訪問Untrust域的Server，只需要在Trust到Untrust的Outbound方向上應用安全策略允許PC訪問Server即可，對于Server回應PC的應答報文會命中首包建立的會話而允許通過。 Trust和Untrust域間：允許內(nèi)網(wǎng)用戶訪問公網(wǎng)策略一般都是優(yōu)先級高的在前，優(yōu)先級低的在后。policy 1：配置Trust和Untrust域間出方向的防火墻策略。 //如果不加policy source就是指any，如果不加policy destination目的地址就是指any。[USG5300] policy interzone trust untrust outbound[USG5300policyinterzonetrustuntrustoutbound] policy 1[USG5300policyinterzonetrustuntrustoutbound1] policy source [USG5300policyinterzonetrustuntrustoutbound1] action permit[USG5300policyinterzonetrustuntrustoutbound1] quit如果是允許所有的內(nèi)網(wǎng)地址上公網(wǎng)可以用以下命令：[USG2100]firewall packetfilter default permit interzone trust untrust direction outbound //必須添加這條命令，或者firewall packetfilter default permit all，但是這樣不安全。否則內(nèi)網(wǎng)不能訪問公網(wǎng)。注意：由優(yōu)先級高訪問優(yōu)先級低的區(qū)域用outbound，比如policy interzone trust untrust outbound。這時候policy source ip地址，就是指的優(yōu)先級高的地址，即trust地址，destination地址就是指的untrust地址。只要是outbound，即使配置成policy interzone untrust trust outbound也會變成policy interzone trust untrust outbound。由優(yōu)先級低的區(qū)域訪問優(yōu)先級高的區(qū)域用inbound，比如是policy interzone untrust trust inbound，為了保持優(yōu)先級高的區(qū)域在前，優(yōu)先級低的區(qū)域在后，命令會自動變成policy interzone trust untrust inbound，這時候policy source ip地址，就是指的優(yōu)先級低的地址，即untrust地址，destination地址就是指的優(yōu)先級高的地址，即trust地址?？偨Y：outbount時，source地址為優(yōu)先級高的地址，destination地址為優(yōu)先級低的地址。inbount時，source地址為優(yōu)先級低的地址，destination地址為優(yōu)先級高的地址配置完成后可以使用display policy interzone trust untrust來查看策略。 DMZ和Untrust域間：從公網(wǎng)訪問內(nèi)部服務器policy 2：，目的端口為21的報文通過policy 3：，目的端口為8080的報文通過配置Untrust到DMZ域間入方向的防火墻策略，即從公網(wǎng)訪問內(nèi)網(wǎng)服務器只需要允許訪問內(nèi)網(wǎng)ip地址即可，不需要配置訪問公網(wǎng)的ip地址。注意：在域間策略里匹配的順序和policy的數(shù)字沒有關系，他是從前往后檢查，如果前一個匹配就不檢查下一條了，假如先寫的policy 3后寫的policy 2，那么就先執(zhí)行policy 3里的語句，如果policy 3里和policy 2里有相同的地址，只要上一個匹配了就不執(zhí)行下一個一樣的地址了。舉例說明：policy ，policy ，哪個policy先寫的就執(zhí)行哪個。[USG5300] policy interzone untrust dmz inbound[USG5300policyinterzonedmzuntrustinbound] policy 2[USG5300policyinterzonedmzuntrustinbound2] policy destination 0[USG5300policyinterzonedmzuntrustinbound2] policy service serviceset ftp[USG5300policyinterzonedmzuntrustinbound2] action permit[USG5300policyinterzonedmzuntrustinbound2] quit[USG5300policyinterzon