【正文】 華為防火墻配置使用手冊(cè)防火墻默認(rèn)的管理接口為g0/0/0，默認(rèn)g0/0/0接口開(kāi)啟了dhcp server，默認(rèn)用戶(hù)名為admin，默認(rèn)密碼為Admin@123一、 配置案例 拓?fù)鋱DGE 0/0/1：GE 0/0/2：GE 0/0/3：WWW服務(wù)器：（DMZ區(qū)域）FTP服務(wù)器：（DMZ區(qū)域） Telnet配置配置VTY 的優(yōu)先級(jí)為3，基于密碼驗(yàn)證。 進(jìn)入系統(tǒng)視圖。USG5300 systemview 進(jìn)入用戶(hù)界面視圖[USG5300] userinterface vty 0 4 設(shè)置用戶(hù)界面能夠訪(fǎng)問(wèn)的命令級(jí)別為level 3[USG5300uivty04] user privilege level 3配置Password驗(yàn)證 配置驗(yàn)證方式為Password驗(yàn)證[USG5300uivty04] authenticationmode password 配置驗(yàn)證密碼為lantian[USG5300uivty04] set authentication password simple lantian 最新版本的命令是authenticationmode password cipher huawei@123配置空閑斷開(kāi)連接時(shí)間 設(shè)置超時(shí)為30分鐘[USG5300uivty04] idletimeout 30[USG5300] firewall packetfilter default permit interzone untrust local direction inbound //不加這個(gè)從公網(wǎng)不能telnet防火墻?；谟脩?hù)名和密碼驗(yàn)證userinterface vty 0 4 authenticationmode aaaaaa localuser admin password cipher ]MQ。4\]B+4Z,YWX*NZ55OA!! localuser admin servicetype telnet localuser admin level 3firewall packetfilter default permit interzone untrust local direction inbound如果不開(kāi)放trust域到local域的缺省包過(guò)濾，那么從內(nèi)網(wǎng)也不能telnet的防火墻，但是默認(rèn)情況下已經(jīng)開(kāi)放了trust域到local域的缺省包過(guò)濾。 地址配置內(nèi)網(wǎng)：進(jìn)入GigabitEthernet 0/0/1視圖 [USG5300] interface GigabitEthernet 0/0/1配置GigabitEthernet 0/0/1的IP地址 [USG5300GigabitEthernet0/0/1] ip address 配置GigabitEthernet 0/0/1加入Trust區(qū)域[USG5300] firewall zone trust[USG5300zoneuntrust] add interface GigabitEthernet 0/0/1[USG5300zoneuntrust] quit外網(wǎng)：進(jìn)入GigabitEthernet 0/0/2視圖 [USG5300] interface GigabitEthernet 0/0/2配置GigabitEthernet 0/0/2的IP地址 [USG5300GigabitEthernet0/0/2] ip address 配置GigabitEthernet 0/0/2加入U(xiǎn)ntrust區(qū)域[USG5300] firewall zone untrust[USG5300zoneuntrust] add interface GigabitEthernet 0/0/2[USG5300zoneuntrust] quitDMZ：進(jìn)入GigabitEthernet 0/0/3視圖[USG5300] interface GigabitEthernet 0/0/3配置GigabitEthernet 0/0/3的IP地址。 [USG5300GigabitEthernet0/0/3] ip address [USG5300] firewall zone dmz[USG5300zoneuntrust] add interface GigabitEthernet 0/0/3[USG5300zoneuntrust] quit 防火墻策略本地策略是指與Local安全區(qū)域有關(guān)的域間安全策略，用于控制外界與設(shè)備本身的互訪(fǎng)。域間安全策略就是指不同的區(qū)域之間的安全策略。域內(nèi)安全策略就是指同一個(gè)安全區(qū)域之間的策略，缺省情況下，同一安全區(qū)域內(nèi)的數(shù)據(jù)流都允許通過(guò)，域內(nèi)安全策略沒(méi)有Inbound和Outbound方向的區(qū)分。策略?xún)?nèi)按照policy的順序進(jìn)行匹配，如果policy 0匹配了，就不會(huì)檢測(cè)policy 1了,和policy的ID大小沒(méi)有關(guān)系，誰(shuí)在前就先匹配誰(shuí)。缺省情況下開(kāi)放local域到其他任意安全區(qū)域的缺省包過(guò)濾，方便設(shè)備自身的對(duì)外訪(fǎng)問(wèn)。其他接口都沒(méi)有加安全區(qū)域，并且其他域間的缺省包過(guò)濾關(guān)閉。要想設(shè)備轉(zhuǎn)發(fā)流量必須將接口加入安全區(qū)域，并配置域間安全策略或開(kāi)放缺省包過(guò)濾。安全策略的匹配順序：每條安全策略中包括匹配條件、控制動(dòng)作和UTM等高級(jí)安全策略。匹配條件安全策略可以指定多種匹配條件，報(bào)文必須同時(shí)滿(mǎn)足所有條件才會(huì)匹配上策略。比如如下策略policy 1 policy service serviceset dnspolicy destination 0policy source 在這里policy ，可以說(shuō)是目的地址的53號(hào)端口。域間可以應(yīng)用多條安全策略，按照策略列表的順序從上到下匹配。只要匹配到一條策略就不再繼續(xù)匹配剩下的策略。如果安全策略不是以自動(dòng)排序方式配置的，策略的優(yōu)先級(jí)按照配置順序進(jìn)行排列，越先配置的策略，優(yōu)先級(jí)越高，越先匹配報(bào)文。但是也可以手工調(diào)整策略之間的優(yōu)先級(jí)。缺省情況下，安全策略就不是以自動(dòng)排序方式。如果安全策略是以自動(dòng)排序方式配置的，策略的優(yōu)先級(jí)按照策略ID的大小進(jìn)行排列，策略ID越小，優(yōu)先級(jí)越高，越先匹配報(bào)文。此時(shí)，策略之間的優(yōu)先級(jí)關(guān)系不可調(diào)整。policy createmode autosort enable命令用來(lái)開(kāi)啟安全策略自動(dòng)排序功能，默認(rèn)是關(guān)閉的。如果沒(méi)有匹配到安全策略，將按缺省包過(guò)濾的動(dòng)作進(jìn)行處理，所以在配置具體安全策略時(shí)要注意與缺省包過(guò)濾的關(guān)系。例如安全策略中只允許某些報(bào)文通過(guò)但是沒(méi)有關(guān)閉缺省包過(guò)濾，將造成那些沒(méi)有匹配到安全策略的流量也會(huì)通過(guò)，就失去配置安全策略的意義了。同樣，如果安全策略中只配置了需要拒絕的流量，其他流量都是允許通過(guò)的，這時(shí)需要開(kāi)放缺省包過(guò)濾才能實(shí)現(xiàn)需求，否則會(huì)造成所有流量都不能通過(guò)。執(zhí)行命令display this查看當(dāng)前已有的安全策略，策略顯示的順序就是策略的匹配順序，越前邊的優(yōu)先級(jí)越高執(zhí)行命令policy move policyid1 { before | after } policyid2，調(diào)整策略?xún)?yōu)先級(jí)。UTM策略安全策略中除了基本的包過(guò)濾功能，還可以引用IPS、AV、應(yīng)用控制等UTM策略進(jìn)行進(jìn)一步的應(yīng)用層檢測(cè)。但前提是匹配到控制動(dòng)作為permit的流量才能進(jìn)行UTM處理，如果匹配到deny直接丟棄報(bào)文。安全策略的應(yīng)用方向域間的Inbound和Outbound方向上都可以應(yīng)用安全策略，需要根據(jù)會(huì)話(huà)的方向合理應(yīng)用。因?yàn)閁SG是基于會(huì)話(huà)的安全策略，只對(duì)同一會(huì)話(huà)的首包檢測(cè)，后續(xù)包直接按照首包的動(dòng)作進(jìn)行處理。所以對(duì)同一條會(huì)話(huà)來(lái)說(shuō)只需要在首包的發(fā)起方向上，也就是訪(fǎng)問(wèn)發(fā)起的方向上應(yīng)用安全策略。如上圖所示，Trust域的PC訪(fǎng)問(wèn)Untrust域的Server，只需要在Trust到Untrust的Outbound方向上應(yīng)用安全策略允許PC訪(fǎng)問(wèn)Server即可，對(duì)于Server回應(yīng)PC的應(yīng)答報(bào)文會(huì)命中首包建立的會(huì)話(huà)而允許通過(guò)。 Trust和Untrust域間：允許內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)公網(wǎng)策略一般都是優(yōu)先級(jí)高的在前，優(yōu)先級(jí)低的在后。policy 1：配置Trust和Untrust域間出方向的防火墻策略。 //如果不加policy source就是指any，如果不加policy destination目的地址就是指any。[USG5300] policy interzone trust untrust outbound[USG5300policyinterzonetrustuntrustoutbound] policy 1[USG5300policyinterzonetrustuntrustoutbound1] policy source [USG5300policyinterzonetrustuntrustoutbound1] action permit[USG5300policyinterzonetrustuntrustoutbound1] quit如果是允許所有的內(nèi)網(wǎng)地址上公網(wǎng)可以用以下命令：[USG2100]firewall packetfilter default permit interzone trust untrust direction outbound //必須添加這條命令，或者firewall packetfilter default permit all，但是這樣不安全。否則內(nèi)網(wǎng)不能訪(fǎng)問(wèn)公網(wǎng)。注意：由優(yōu)先級(jí)高訪(fǎng)問(wèn)優(yōu)先級(jí)低的區(qū)域用outbound，比如policy interzone trust untrust outbound。這時(shí)候policy source ip地址，就是指的優(yōu)先級(jí)高的地址，即trust地址，destination地址就是指的untrust地址。只要是outbound，即使配置成policy interzone untrust trust outbound也會(huì)變成policy interzone trust untrust outbound。由優(yōu)先級(jí)低的區(qū)域訪(fǎng)問(wèn)優(yōu)先級(jí)高的區(qū)域用inbound，比如是policy interzone untrust trust inbound，為了保持優(yōu)先級(jí)高的區(qū)域在前，優(yōu)先級(jí)低的區(qū)域在后，命令會(huì)自動(dòng)變成policy interzone trust untrust inbound，這時(shí)候policy source ip地址，就是指的優(yōu)先級(jí)低的地址，即untrust地址，destination地址就是指的優(yōu)先級(jí)高的地址，即trust地址?？偨Y(jié)：outbount時(shí)，source地址為優(yōu)先級(jí)高的地址，destination地址為優(yōu)先級(jí)低的地址。inbount時(shí)，source地址為優(yōu)先級(jí)低的地址，destination地址為優(yōu)先級(jí)高的地址配置完成后可以使用display policy interzone trust untrust來(lái)查看策略。 DMZ和Untrust域間：從公網(wǎng)訪(fǎng)問(wèn)內(nèi)部服務(wù)器policy 2：，目的端口為21的報(bào)文通過(guò)policy 3：，目的端口為8080的報(bào)文通過(guò)配置Untrust到DMZ域間入方向的防火墻策略，即從公網(wǎng)訪(fǎng)問(wèn)內(nèi)網(wǎng)服務(wù)器只需要允許訪(fǎng)問(wèn)內(nèi)網(wǎng)ip地址即可，不需要配置訪(fǎng)問(wèn)公網(wǎng)的ip地址。注意：在域間策略里匹配的順序和policy的數(shù)字沒(méi)有關(guān)系，他是從前往后檢查，如果前一個(gè)匹配就不檢查下一條了，假如先寫(xiě)的policy 3后寫(xiě)的policy 2，那么就先執(zhí)行policy 3里的語(yǔ)句，如果policy 3里和policy 2里有相同的地址，只要上一個(gè)匹配了就不執(zhí)行下一個(gè)一樣的地址了。舉例說(shuō)明：policy ，policy ，哪個(gè)policy先寫(xiě)的就執(zhí)行哪個(gè)。[USG5300] policy interzone untrust dmz inbound[USG5300policyinterzonedmzuntrustinbound] policy 2[USG5300policyinterzonedmzuntrustinbound2] policy destination 0[USG5300policyinterzonedmzuntrustinbound2] policy service serviceset ftp[USG5300policyinterzonedmzuntrustinbound2] action permit[USG5300policyinterzonedmzuntrustinbound2] quit[USG5300policyinterzon