华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍.docVIP

【转】华赛防火墙默认配置简介及简单网络应用初始化和高可靠性配置介绍转载自 shineruncisco 最终编辑 iuuexiao ? ? ? ?目前市面上华为的防火墙主要有Eudemon和华赛USG系列，以下是我使用华为USG5310系列防火墙时，总结的一点点经验，同大家分享下。 首先谈谈华赛防火墙的一些默认配置： ? ? ??console默认采用aaa local本地认证登录，故运行和启动配置中，console下本地认证看不到；默认用户名：admin；密码：Admin@123，默认admin的级别是level 3，最高权限，允许通过terminal、http登录；初始配置下，telnet是不能够登录的，没有配置登录的验证；USG系列防火墙，默认是带虚拟防火墙功能的，称为vzone，并且设置的默认优先级别为0；另外还有属于public的四个区域，local区域的优先级为100，主要是指本地设备信息；trust区域优先级为85，dmz区域的优先级为50，untrust区域的优先级为5，而且这些默认区域的优先级别是不能更改，有点类似于cisco的安全等级；默认防火墙策略是允许local区域的数据到trust区域的进出方向；huawei的设备接口规则，从下往上从左往右分别按照G0/0/0-G0/0/n-1（n等于接口的数量）。 ? ? ? 同时华赛的防火墙有三种模式：透明模式，路由模式，混杂模式（主要是在透明模式使用到双机热备时采用）；路由模式分为简单的路由模式和UTM（统一网关）模式 现在来谈谈华赛防火墙的基本需求配置： ? ?当你拿到一台防火墙，想让它能够带着内网的机器上网，同时还要发布某些服务器出去，那么就需要进行基本的配置。以下是usg系列防火墙的基本配置命令方式 ? ?usg5310 当你通过console输入正确的用户名和密码后的提示符，属于用户视图，可以查看全部的配置，同时也能够对设备的配置进行相关的升级操作 ? ?[usg5310] 只有当你在用户视图输入system-view命令后，才能够进入该视图，从该视图可以配置大部分的配置，同时可以切换到任意的其它视图，属于最高级别的权限； ? ?[usg5310]sysname USG-5300-cave ?将防火墙命名为自己希望的名字； ? ?[USG-5300-cave]super password level 3 ciper !Q@W#E$R 配置level 3超级权限的密码，主要是针对那些没有授权为level 3的用户，如果需要进入系统模式就要切换到高级别 ? ?[USG-5300-cave]user-interface vty 0 4 进入到虚拟登录线程配置模式， ? ?[USG-5300-cave-ui-vty0-4]authentication-mode aaa/none/password 设置认证的模式为aaa认证/不需要认证/密码认证，自己从中间选择一种，本次选择为localuser/password ? ?[USG-5300-cave-ui-vty0-4]idle-timeout 20 0 设置登录用户超时时间为20分钟 ? ?[USG-5300-cave-ui-vty0-4] acl acl-number 可以是基本的或者高级的acl，设置允许虚拟登录的源和登录的地址等信息 ? ?[USG-5300-cave-ui-vty0-4]lock authentication-counter 5 设置登录认证出错5次就锁定的机制，范围1-12，默认是三次 ? ?[USG-5300-cave-ui-vty0-4]lock lock-timeout ?30 设置锁定的时间为30分钟，默认为10分钟，取值范围0-1500分钟 ? ?[USG-5300-cave-ui-vty0-4]history-command max-size 10 设置记录的历史键入命令的最大值为10条，范围在0-256之间 ? ?[USG-5300-cave-ui-vty0-4]set authentication password ciper cave@hs-usg-5310 设置通过认证密码来登录设备，要么在线上对登录用户进行登录级别授权，要么设置sup level 3的密码，允许用户权限提升进行操作。 ? ?[USG-5300-cave-ui-vty0-4]user privilege level 3 设置用户登录的级别为3，主要是针对那些采用简单密码认证方式的用户，默认的用户级别为0，没有权限进行操作和查看， ? ?[USG-5300-cave-ui-vty0-4]screen-length 50 设置屏显长度为50行，范围在0-512行之间 ? ?[USG-5300-cave]aa