華為防火墻配置 初級(jí) by肖哥

1、華為配置 初級(jí) by肖哥1命令行界面：Admin123web-manager enable開啟web 界面管理2web界面：默認(rèn) adminAdmin1233區(qū)域默認(rèn)區(qū)域：trustuntrustdmzlocalfirewall zone trustaddintgi1/0/0將接口加入trust 區(qū)域允許接口被ping ：intgi 1/0/0service-manage pingpermit配置安全策略：local_anysecurity-policyrule name local_anysource-zone localdestination-zoneaction permitany4向?qū)?/p>

2、配置向?qū)渲玫膮?shù)： 區(qū)域規(guī)劃 接口ip地址 指向運(yùn)營(yíng)商的缺省路由 基于源地址轉(zhuǎn)換的NAT 將默認(rèn)的安全策略改為放行 缺省路由器配置：iproute-s0.0.0.00202.1.1.2 nat配置nat-policyrule name trust_ISP source-zone trustegress-interface GigabitEthernet1/0/2 action nat easy-ip 將默認(rèn)的安全策略改為放行security-policydefault action permit5轉(zhuǎn)發(fā)原理路由器：開啟telnetuser-interface vty 04passwordaut

3、hentication-modeuser privilege level 3set authentication password simple 123基于會(huì)話（狀態(tài)）session 的轉(zhuǎn)發(fā)。去包首包 ：建立會(huì)話的過程回包：基于會(huì)話回包disfirewall sessiontable 查看會(huì)話表放行由trust到dmz的流量security-policyrule name trust_dmz source-zone trust destination-zone dmzaction permit更加精細(xì)化控制：security-policyrule name trust_dmz source-z

4、one trust destination-zone dmzsource-address 192.168.1.0 24destination-address 172.16.1.2 32 service telnetservice icmp action permit6常見安全策略7源NAT 轉(zhuǎn)換8端口映射（nat server）將內(nèi)網(wǎng)地址 172.16.1.2 的23端口 映射成公網(wǎng)地址202.1.1.1 的23端口。注意：如果想檢測(cè)由到服務(wù)器的連通性，需放行l(wèi)ocal到dmz的流量。命令行：nat serveraa0 zone untrustprotocol tcp global 202.1

5、.1.123ide172.16.1.223no-reverse9SSH 遠(yuǎn)程管理產(chǎn)生用于加密的FWrsa local-key-pair create密鑰對(duì)int gi 1/0/0service-managesshpermituser-interface vty 0 4authentication-mode aaaprotocol inbound sshaaamanager-user xiaoge password cipher Xiaoge123 service-type sshlevel 15需開啟 ssh服務(wù)并指定用戶名和stelnet server enablessh user xiao

6、gessh user xiaoge authentication-type passwordssh user xiaoge service-type stelnet客戶端路由器： stelnet 192.168.1.1首次登錄必須重新更改求例如，且要符合復(fù)雜度要CCNPa1234 ，且不能使用歷史后會(huì)被踢出 然后重新登錄。更改只能使用用戶名和的方式登注意 1 ： ssh錄。注意 2 ：配置用戶名和回車。時(shí)千萬不要加空格再10允許對(duì)tracert 路徑探測(cè)回顯用于探測(cè)去往某目標(biāo)經(jīng)過的三層tracertx.x.x.x設(shè)備的個(gè)數(shù)。tracert 原理：發(fā)送探測(cè)報(bào)文 ttl=1 （第一跳）ttl=2（

7、第二跳）。依次類推 ，當(dāng)中間的三層設(shè)備收到ttl值等于1的報(bào)文時(shí)認(rèn)為發(fā)生環(huán)路，探測(cè)報(bào)文路由器回顯報(bào)文：注意：為了安全起見（不暴露自己的ip地址），默認(rèn)情況下不處理ttl=1的探測(cè)報(bào)文，收到該報(bào)文后直接丟棄，且不會(huì)回應(yīng)。時(shí)，會(huì)有 *出現(xiàn)是多數(shù)是防因此tracert火墻。配置exceeded允許tracert 回顯： icmp ttl-send11將配置成透明交換機(jī)FW:int gi 1/0/0portswitch將接口配置為交換機(jī)接口port link-type access路由器 telnet 不認(rèn)證登陸：user-interface vty 0 4authentication-mode no

8、neuser privilege level 312在上面配置vlanvlan 10int gi 1/0/0portswitch將接口配置為交換機(jī)接口link-type accessportportdefaultvlan10將接口劃分到不同的安全區(qū)域以實(shí)現(xiàn)精細(xì)化的管控：例如 ：只允許trust1trust2telnet 流量13將配置成三層核心交換機(jī)然后可以基于svi1 和svi2 兩個(gè)區(qū)域配置精細(xì)化的安全管控注意：如果想實(shí)現(xiàn)不同vlan的互訪管控，可以將不同的三層svi接口加入到不同的安全區(qū)域，便于配置安全策略。14雙機(jī)熱備基礎(chǔ)配置：配置完接口 ip接口已規(guī)劃區(qū)域放行 local_to_an

9、y接口都允許 pingvrrp和路由器的不同：vrrp需要解決的兩個(gè)問題： 多個(gè) vrrp 組同時(shí)切換 （ VGMP ，不需特殊配置自動(dòng)加入 vgmp 組，多個(gè) vrrp組 要切一起切） 安全策略配置和會(huì)話狀態(tài)同步 （會(huì)話同步 HRP) VRRP 配置：FW1:int gi1/0/0vrrp vrid 1 virtual-ip 192.168.1.1 activeint gi 1/0/1vrrp vrid 2 virtual-ip 202.1.1.1 active FW2:int gi 1/0/0vrrp vrid 1 virtual-ip 192.168.1.1 standby int gi

10、 1/0/1vrrp vrid 2 vritual-ip 202.1.1.1 standbyHRP 配置：FW1:hrp enablehrp interface gi1/0/6 remote 172.16.1.253 FW2:hrp enablehrp standby-devicehrp int gi 1/0/6 remote 172.16.1.254注意：處于 standby狀態(tài)的設(shè)備不允許配置安全策略（可以其他的），只允許在主設(shè)備配置安全策略，且安全策略會(huì)自動(dòng)同步到備設(shè)備上面。主設(shè)備 配置由 trust_to_untrust放行策略+B表示配置已經(jīng)同步到備設(shè)備上面。FW1 ：securit

11、y-policyrule name trust_to_untrust source-zone trust destination-zone untrustaction permit測(cè)試 1 ： R1 ping R2 通信！ 可以做冗余性測(cè)試！ 測(cè)試 2 ：去掉 HRP看看配置安全策略是否還同步（ HRP 切換需要 1 分鐘時(shí)間 有 standby-master ） 測(cè)試 3 ： R1 telnet R2 查看兩個(gè) FW 的會(huì)話狀態(tài)是否都注意：處于 standby狀態(tài)的設(shè)備不允許配置安全策略（可以其他的），只允許在主設(shè)備配置安全策略，且安全策略會(huì)自動(dòng)同步到備設(shè)備上面。主設(shè)備 配置由 trust_to_untrust放行策略+B表示配置已經(jīng)同步到備設(shè)備上面。FW1 ：security-policyrule name trust_to_untrust source-zone trust