22-1用户手册(华为USG防火墙)研讨.doc

华为防火墙手册 默认的管理为g0/0/0默认的ip地址为0.1/24，默认g0/0/0dhcp server，默认用户名为admin，默认密码为Admin@123案例 GE 0/0/1：/24GE 0/0/2：6/24GE 0/0/3：/24WWW服务器：/24（DMZ区域）FTP服务器：/24（DMZ区域） 1.2 Telnet配置 配置VTY 的优先级为3，基于密码验证。-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4] set authentication password simple lantian ###最新版本命令是authentication-mode password cipher huawei@123-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。用户名和密码验证 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤，那么内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤配置 [USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网： 进入GigabitEthernet 0/0/2视图 [USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址 [USG5300-GigabitEthernet0/0/2] ip address 6 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit DMZ： 进入GigabitEthernet 0/0/3视图 [USG5300] interface GigabitEthernet 0/0/3 配置GigabitEthernet 0/0/3的IP地址。 [USG5300-GigabitEthernet0/0/3] ip address [USG5300] firewall zone dmz [USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit 1.4 防火墙策略 域间安全策略就是指不的区域之间的安全策略。 安全就是指同一个安全之间的策略， 策略内按照policy的顺序进行匹配，如果policy 0了，就不会policy 1了,和policy的大小没有关系，谁在前就先匹配谁。情况下local域到其他任意安全区域缺省包过滤，设备自身的对外访问。接口都没有加安全区域，并且其他域的缺省包过滤关闭。要想转发流量必须将接口加入安全区域，并配置域间安全策略或开放缺省包过滤。 策略的匹配： 每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。 匹配条件 安全策略可以指定多种匹配条件，报文必须同时满足所有条件才会匹配上策略。 比如如下策略 policy 1 policy service serv