USG6310S防火墙配置说明.docxVIP

USG6310S 防火墙配置说明 概述 防火墙使用场景为子站保护管理机 （安全 II 区）接入站内继保保护装置 （安 全 I 区），通过对 IP 地址及端口进行限制，达到阻止非法访问的目的。为方便现场调试及日后维护工作现规定如下： 1) 防火墙 ETH0 接从交换机过来的网线； 防火墙 ETH4 接从子站管理机过来的网线。 登录 将笔记本通过网线接入防火墙的 ETH0 ，通过浏览器访问 。用户名：admin 、 密码： Admin@123 （初始密码）进行配置，第一次登录时需要修改密码，将密 码改为“Nice2003 ”。 登录后设置界面如下图所示 图 2-1 登录首页 网络配置 点击快捷按钮“网络”,可以对所使用的接入口进行配置， 操作顺序如下图所示： 装置后面板网口标识 0 至 7 与配置页面中接口名称对应关系如下： 后面板 ETH0 对应配置页面中接口 GE0/0/0 后面板 ETH1 配置 面中接口 GE0/0/1 ? 后面板 ETH7 配置 面中接口 GE0/0/7 3.1. ETH0 配置 ETH 保留作 配置使用。出厂 已 好，无需 更。 图 3-1 ETH0 配置 3.2. ETH1 配置 GE0/0/1 行右 的 ，在 出的界面中 置如下： 图 3-2 ETH1 配置 配置 如下： 名：保 安全区域： trust 模式：交 接 型： Access 确定后第一次操作会 出提示，如下 所示，确定即可。 图 3-3 模式切换确认提示 3.3. ETH4 配置 GE0/0/4 行右 的 ，在 出的界面中 置如下： 图 3-4 ETH4 配置 配置 如下： 名：子站 安全区域： dmz 模式：交换 连接类型： Access 对象配置 对象配置中主要配置需放行的 IP 及端口号，IP 在“地址”中配置端、口号在“服 务中配置”，配置操作顺序如下图所示： 图 4-1 对象配置操作顺序 4.1. 地址配置 首次配置选择“新建，”如已有配置则选择“编辑” ，配置界面如下图所示： 图 4-2 保护 IP 配置 注： 第行可配置 1 个 IP/范围或 MAC 地址，行之间使用回车分隔； 2) IP 配置支持多种方式，若连续的 IP ，可在首末 2 个 IP 之间通过“-”连接，如； 4) 新建地址分两部分，一是可以通过 IP ，一是需要屏蔽的 IP 图 4-3 子站地址配置 4.2. 服务配置 4.2.1. 服务配置 服务配置中我们选择放行的端口，根据实际配置： 常用放行的端口如下： icmp:ping 服务 4.2.2. 服务组配置 为方便选择及管理，将子站与保护通信的端口归到保护通信组中。 策略 点击快捷按钮“策略”,可以对所使用的策略进行配置，操作顺序如下图所示： 图 5-1 策略配置顺序 通过策略配置对需要从防火墙放行的 IP 及服务进行配置，配置如下： 图 5-2 子站至保护策略图 5-3 保护至子站策略 保存 配置修改完毕，按界面右上角“保存”，如下图所示保存所做的配置。 图 6-1 保存配置 重启 点击快捷按钮“系统”,在左侧目录树中选择“系统重启”，选择“保存并重启，”弹 出确认对话框， 确定即可。 重启后所做的配置即生效， 防火墙装置重启后至系统 正常时间较长。 备份 点击快捷按钮“系统”,在左侧目录树中选择“配置文件管理”，选择“导出，”在弹 出的对话框中选择文件备置位置及文件名，确定即可。 图 8-1 备份导出 复位 当无法测试出防火墙的登录密码后， 可在防火墙通电正常运行后用顶端尖硬 的物体去捅防火墙后面板上 RST 键 5 秒以上，防火墙会清空当前配置恢复出厂 设置。复位过程中前面板 SYS 灯先熄灭、后闪烁最后长亮，如果想快速启动可 在按 RST 键 5 秒后关电重启防火墙。 附录 10.1. 同一安全区域多个网口 同一安全区域如 trust 若有多个网线接入，将接入网口的安全区域配置成待 加入的安全区域即可。 同区域内多个网口间是互通， 与交换机类似。 对象及策略 无需特殊配置。 图 10-1 同安全区域多个网口接入 10.2. 配置案例 !Software Version V500R001C30SPC100 !Last configuration was saved at 2017-08-21 01:42:05 UTC # sysname USG6300 # undo l2tp sendaccm enable l2tp domain suffix-separator @ # ipsec sha2 compatible enable # undo factory-configuration prohibit # undo telnet se