2021華為防火墻配置手冊

華為防火墻配置手冊命令行界面密碼：Admin@123[ ]web-managerenable開啟web理web界面：默認(rèn)admin Admin@123區(qū)域默認(rèn)區(qū)域：trust untrust dmz firewallzonetrustadd int gi 1/0/0 將接口加入trust允許接口被pingint gi1/0/0service-manageping permit配置安全策略：local_anysecurity-policyrulenamelocal_anysource-zonelocaldestination-zone actionpermit向?qū)渲孟驅(qū)渲玫膮?shù)：①區(qū)域規(guī)劃②接口ip地址③指向運(yùn)營商的缺省路由④基于源地址轉(zhuǎn)換的NAT⑤將默認(rèn)的安全策略改為放行③缺省路由器配置：ip route-s 0.0.0.0 0 202.1.1.2④nat配置nat-policyrulenametrust_ISPsource-zonetrustegress-interfaceGigabitEthernet1/0/2actionnateasy-ip⑤將默認(rèn)的安全策略改為放行security-policydefaultactionpermit防火墻轉(zhuǎn)發(fā)原理路由器：開啟telnetuser-interfacevty0 authentication-mode userprivilegelevel3setauthenticationpasswordsimple123基于會話（狀態(tài)）session的轉(zhuǎn)發(fā)首包：建立會話的過程 去包回包：基于會話回包dis firewallsession table放行由trust到dmzsecurity-policyrulenametrust_dmzsource-zonetrustdestination-zoneactionpermit更加精細(xì)化控制：security-policyrulenametrust_dmzsource-zonetrustdestination-zonedmzsource-address192.168.1.024destination-address172.16.1.2servicetelnetserviceicmpaction常見安全策略源NAT端口映射（natserver）將內(nèi)網(wǎng)地址172.16.1.2的23端口映射成公網(wǎng)地址202.1.1.1的23端口。需放行l(wèi)ocal到dmz的流量。命令行：natserver aa 0zoneuntrustprotocoltcpglobal202.1.1.1 23 172.16.1.2 23 no-reverseSSH[FW]rsalocal-key-paircreate 密鑰對intgi1/0/0service-manage ssh permituser-interfacevty04authentication-modeaaaprotocolinboundsshaaamanager-userxiaogepasswordcipherXiaoge123service-typesshlevel15防火墻需開啟ssh 服務(wù)并指定用戶名和密stelnetserverenablesshuserxiaogesshuserxiaogeauthentication-typepasswordsshuserxiaogeservice-typestelnet客戶端路由器：stelnet192.168.1.1求例如CCNPa1234，且不能使用歷史密碼。更改密碼后會被踢出然后重新登錄。注意1：ssh 只能使用用戶名和密碼的方式錄。注意2：配置用戶名和密碼時千萬不要加空格再回車。允許防火墻對tracerttracert x.x.x.x 設(shè)備的個數(shù)。tracertttl=1（第一跳）ttl=2（第二跳）層設(shè)備收到ttl值等于1的報文時認(rèn)為發(fā)生環(huán)路，報文無法繼續(xù)轉(zhuǎn)發(fā)。并回饋一個icmp知源端。探測報文路由器回顯報文：注意：防火墻為了安全起見（不暴露自己的ip地址），默認(rèn)情況下不處理ttl=1的探測報文，收到該報文后直接丟棄，且不會回應(yīng)。因此tracert 時，會有* * * 出現(xiàn)是多數(shù)是火墻。配置防火墻允許tracert回顯：icmpexceeded send將防火墻配置成透明交換機(jī)FW:intgi1/0/0portswitch portlink-typeaccess路由器telnet不認(rèn)證登陸：user-interfacevty04authentication-modenoneuserprivilegelevel3在防火墻上面配置vlan10intgi1/0/0portswitch 將防火墻接口配置為交換機(jī)接port link-typeaccessport default vlan 10控：例如：只允許trust1<---->trust2 telnet流量將防火墻配置成三層核心交換機(jī)然后可以基于svi1svi2安全管控注意：如果想實(shí)現(xiàn)不同vlan的互訪管控，可以將不同的三層svi配置安全策略。雙機(jī)熱備基礎(chǔ)配置：防火墻接口已規(guī)劃區(qū)域放行l(wèi)ocal_to_any防火墻接口都允許ping防火墻vrrp 和路由器的不同：防火墻vrrp 需要解決的兩個問題：①多個vrrp組同時切換（VGMP，不需特殊配置自動加入vgmp組，多個vrrp組要切一起切）②安全策略配置和會話狀態(tài)同步（會話同步HRP)VRRP配置：FW1:intgi1/0/0vrrpvrid1virtual-ip192.168.1.1activeintgi1/0/1vrrpvrid2virtual-ip202.1.1.1activeFW2:intgi1/0/0vrrpvrid1virtual-ip192.168.1.1standbyintgi1/0/1vrrpvrid2vritual-ip202.1.1.1standbyHRP配置：FW1:hrpenablehrpinterfacegi1/0/6remote172.16.1.253FW2:hrpenablehrpstandby-devicehrpintgi1/0/6remote172.16.1.254注意：處于standby 狀態(tài)的設(shè)備不允許配置安全策略（可以其他的），只允許在主設(shè)備配置安全策略，且安全策略會自動同步到備設(shè)備上面。主設(shè)備配置由trust_to_untrust 放行策略+B 表示配置已經(jīng)同步到備設(shè)備上面。FW1：security-policyrulenametrust_to_untrustsource-zonetrustdestination-zoneuntrustactionpermit測試1：R1pingR2通信??！可以做冗余性測試??！測試2：去掉HRP 看看配置安全策略是否還同步（HRP切換需要1分鐘時間有standby--->master）測試3：R1telnetR2查看兩個FW的會話狀態(tài)是否有注意：處于standby 狀態(tài)的設(shè)備不允許配置安全策略（可以其他的），只允許在主設(shè)備配置安全策略，且安全策略會自動同步到備設(shè)備上面。主設(shè)備配置由trust_to_untrust 放行策略+B 表示配置已經(jīng)同步到備設(shè)備上面。FW1：security-policyrulenametrust_to_untrustsource-zone