華為公司防火墻技術(shù)培訓(xùn)-基礎(chǔ)篇V1.2-20090616_第1頁
華為公司防火墻技術(shù)培訓(xùn)-基礎(chǔ)篇V1.2-20090616_第2頁
華為公司防火墻技術(shù)培訓(xùn)-基礎(chǔ)篇V1.2-20090616_第3頁
華為公司防火墻技術(shù)培訓(xùn)-基礎(chǔ)篇V1.2-20090616_第4頁
華為公司防火墻技術(shù)培訓(xùn)-基礎(chǔ)篇V1.2-20090616_第5頁
已閱讀5頁,還剩79頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

華賽防火墻技術(shù)培訓(xùn)

上海龍?zhí)飻?shù)碼科技有限公司Page2培訓(xùn)提綱基礎(chǔ)配置系統(tǒng)管理網(wǎng)絡(luò)配置策略配置ACL配置NAT配置配置舉例Page3基礎(chǔ)配置:Console管理防火墻可以通過Console訪問方式進(jìn)行管理最為安全的登錄方式無須網(wǎng)絡(luò)支持就可以登錄無須IP地址就可以登錄可以看到啟動的信息可以看到實時的debug信息Page4基礎(chǔ)配置-Console口管理使用系統(tǒng)自帶超級終端工具或第三方工具,例如SecureCRT。配置終端通信參數(shù)為9600波特、8位數(shù)據(jù)位、1位停止位、無校驗、無流控。如圖所示,也可以直接選擇還原默認(rèn)值。需注意選擇正確的串口!??!Page5Console登錄初始界面:新版的OS初始console的用戶名和密碼為:adminAdmin@123Page6系統(tǒng)主機名和時間配置:Page7查看接口IP地址配置:缺省情況下,除了USG50有管理IP地址外,其他型號目前都沒有配置管理IP,需要給接口手動分配IP地址。Page8給指定接口配置IP地址:我們可以通過該IP地址做telnet、Web、FTP等管理用途。Page9將接口分配到指定安全區(qū)域:默認(rèn)情況下只有USG50的接口已經(jīng)劃分到指定安全區(qū)域,其他型號需要自行配置。Page10基本策略放行(保證管理防火墻順利進(jìn)行)不指明方向的時候,缺省是進(jìn)出雙向的。Page11基礎(chǔ)配置-CLI模式Console和Telnet可以通過命令修改命令行下的語言模式:language-modeChineseLoginauthenticationUsername:telnetuserPassword:*********<Eudemon>用戶視圖模式(登錄后提示)<Eudemon>system-view[Eudemon]系統(tǒng)視圖模式Page12基礎(chǔ)配置語言模式實例:Page13培訓(xùn)提綱基礎(chǔ)配置系統(tǒng)管理網(wǎng)絡(luò)配置策略配置ACL配置NAT配置配置舉例Page14系統(tǒng)管理配置—驗證方式配置Page15系統(tǒng)管理配置—驗證方式Page16系統(tǒng)管理-WEB方式管理Eudemon/USG防火墻Web特性為用戶提供了簡單、易用的Web配置界面,使用戶能夠方便地對防火墻進(jìn)行操作和維護(hù),絕大多數(shù)任務(wù)都可以通過Web的方式配置實現(xiàn)。并且為用戶提供了如下兩種訪問方式:加密Web瀏覽器和防火墻之間通過HTTPS(HTTPSecurity)安全協(xié)議進(jìn)行交互。加密功能保證了用戶信息的安全。不加密Web瀏覽器和防火墻之間通過HTTP協(xié)議進(jìn)行交互。Page17基礎(chǔ)配置-WEB管理的配置默認(rèn)USG50的Web功能是打開的,可以直接訪問,無需特別配置,用戶名密碼為:usg50/usg50前置任務(wù)在配置Web管理功能之前需要完成以下任務(wù):1在防火墻上配置與瀏覽器相連的接口的IP地址,將接口加入到域中,并且打開該區(qū)域和local區(qū)域的域間關(guān)系;配置Web瀏覽器所在PC的IP地址,并保證PC與防火墻能ping通。配置過程要完成配置Web管理功能的任務(wù),需要執(zhí)行如下的配置過程:1使能WEB管理功能;配置WEB用戶;檢查配置結(jié)果。Page18基礎(chǔ)配置-WEB下建立用戶在系統(tǒng)視圖下,使能WEB功能[Eudemon]web-manager[security]enable[portport-number]

AAA視圖下配置WEB用戶創(chuàng)建本地用戶:[Eudemon-aaa]local-useruser-name[password{simple|cipher}password]配置用戶類型:[Eudemon-aaa]local-useruser-nameservice-typeweb配置用戶級別:[Eudemon-aaa]local-useruser-namelevellevel

此步驟可選,level的值為0~3。0表示用戶的優(yōu)先級為參觀級,1表示用戶的優(yōu)先級為監(jiān)控級,2表示用戶優(yōu)先級為配置級,3表示用戶的優(yōu)先級為管理級。缺省情況下,level的默認(rèn)值為0檢查配置結(jié)果檢查WEB用戶的配置結(jié)果:[Eudemon]displaycurrent-configurationconfigurationaaa

檢查WEB管理的配置結(jié)果:[Eudemon]displayweb-managerconfigurationPage19開啟web管理功能配置命令:5454Q前面我們已經(jīng)在aaa模式下面創(chuàng)建了一個帳號,其中分配給他的service包括web。Page20基礎(chǔ)配置-WEB登陸界面Page21基礎(chǔ)配置-WEB登陸首頁Page22基礎(chǔ)配置-Web配置(中文)Page23系統(tǒng)管理-Telnet方式管理首先確保接口的物理和協(xié)議狀態(tài)均為up,并進(jìn)行連通性測試pingPage24Telnet方式管理防火墻初始狀態(tài):內(nèi)部端口地址/24,默認(rèn)情況下USG50的Telnet功能是打開的,無需配置可以直接訪問。用戶名:admin密碼:Admin@123其它型號的防火墻USG和Eudemon系列防火墻沒有初始管理IP地址,需要通過Console來進(jìn)行初始配置。Page25Telnet登錄初始配置命令Page26Telnet方式管理telnet54Page27系統(tǒng)管理配置—SSH登錄配置當(dāng)需要遠(yuǎn)程協(xié)助支持時,建議打開SSH登錄功能,因為SSH在設(shè)備和訪問終端間建立一條加密的隧道,加強了訪問的安全性。Page28系統(tǒng)管理配置-SSH遠(yuǎn)程登錄(三大步)Page29系統(tǒng)管理配置-SSH遠(yuǎn)程登錄(三大步)Page30系統(tǒng)管理配置-SSH遠(yuǎn)程登錄(三大步)Page31系統(tǒng)管理配置-SSH遠(yuǎn)程登錄目前僅支持SSH1版本,不支持壓縮?。。age32清除配置恢復(fù)出廠值(第一種方法)Page33清除配置恢復(fù)出廠值(第二種方法)1.登錄到設(shè)備2.查看配置文件所在位置及名稱3.刪除配置文件,不保存,然后重啟。Page34系統(tǒng)管理配置—OS導(dǎo)入導(dǎo)出華為防火墻的OS是VRP系統(tǒng),可以通過FTP或TFTP的方式進(jìn)行導(dǎo)入導(dǎo)出??梢赃x擇使用第三方的FTP或TFTP的軟件來扮演SERVER的角色,另外一種方式是將防火墻直接配置成SERVER模式。防火墻作為FTPSERVER端方式備份OS:Page35系統(tǒng)管理配置—OS導(dǎo)入導(dǎo)出終端系統(tǒng)訪問FTPServerPage36系統(tǒng)管理配置—OS導(dǎo)入導(dǎo)出上傳新的OS到系統(tǒng)中:Page37培訓(xùn)提綱基礎(chǔ)配置系統(tǒng)管理網(wǎng)絡(luò)配置策略配置ACL配置NAT配置攻擊防范配置舉例Page38網(wǎng)絡(luò)配置-接口的分類接口指設(shè)備與網(wǎng)絡(luò)中的其它設(shè)備交換數(shù)據(jù)并相互作用的部分。接口分為物理接口和邏輯接口兩類。1、物理接口就是真實存在、有對應(yīng)器件支持的接口。包括:局域網(wǎng)接口,主要是指以太網(wǎng)接口。Eudemon防火墻可以通過它與局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備交換數(shù)據(jù)。廣域網(wǎng)接口,主要是指AUX接口。通過AUX接口可以對Eudemon防火墻進(jìn)行遠(yuǎn)程配置維護(hù)。2、邏輯接口是指能夠?qū)崿F(xiàn)數(shù)據(jù)交換功能但物理上不存在、需要通過配置建立的接口。包括:子接口虛擬接口模板Loopback接口Null接口VLAN接口Page39網(wǎng)絡(luò)配置-接口的配置Eudemon/USG防火墻的接口都有一個接口描述配置項,接口描述主要用來幫助識別接口的用途,以便于記憶和管理。配置接口描述,需要進(jìn)行如下操作。執(zhí)行命令system-view,進(jìn)入系統(tǒng)視圖。執(zhí)行命令interfaceinterface-typeinterface-number,進(jìn)入接口視圖。執(zhí)行命令descriptioninterface-description,配置接口描述。Page40網(wǎng)絡(luò)配置-接口列表操作命令查看接口當(dāng)前運行狀態(tài)和統(tǒng)計信息displayinterface[interface-typeinterface-number]查看接口的主要配置信息displayipinterface[interface-typeinterface-number]查看當(dāng)前配置信息displaycurrent-configuration[interfaceinterface-type[interface-number]|configuration[configuration-type]][|{begin|exclude|include}regular-expression]Page41網(wǎng)絡(luò)配置-以太網(wǎng)接口的定義在配置以太網(wǎng)接口之前,需準(zhǔn)備以下數(shù)據(jù):接口編號接口IP地址和掩碼地址接口MTU接口工作速率接口雙工模式接口要加入到哪個安全區(qū)域Page42網(wǎng)絡(luò)配置-以太網(wǎng)接口的配置#進(jìn)入Ethernet1/0/0視圖。[Eudemon]interfaceethernet1/0/0#配置Ethernet1/0/0的主IP地址。[Eudemon-Ethernet1/0/0]ipaddress#配置Ethernet1/0/0的從IP地址。[Eudemon-Ethernet1/0/0]ipaddresssubPage43網(wǎng)絡(luò)配置接口(DHCP方式獲取地址)Page44網(wǎng)絡(luò)配置—DHCPServer配置可以起多個IP-POOL,供內(nèi)外選擇。Page45網(wǎng)絡(luò)配置-以太網(wǎng)接口配置可以配置以太網(wǎng)接口的雙工模式:全雙工/半雙工/自動協(xié)商;配置以太網(wǎng)接口的速率:10M/100/自動協(xié)商Page46網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE命令行配置如下:查看配置:Page47網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置Page48網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置Page49網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置Page50網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置Page51網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置Page52網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置選擇應(yīng)用撥號的接口:Page53網(wǎng)絡(luò)配置-Dialer接口配置-PPPoE-Web配置配置好以后查看一下:Page54網(wǎng)絡(luò)配置-防火墻工作模式配置Eudemon/USG防火墻支持路由、透明、混合三種工作模式,默認(rèn)為路由模式。(USG50只支持路由模式)對于中低端防火墻(E100\200\200S)配置透明模式的管理IP方法為:1.先切換防火墻的工作模式到透明模式,然后保存配置,重啟設(shè)備。2.配置system-ip,作為管理IP中高端防火墻配置透明模式管理IP的方法為,先創(chuàng)建Vlan,然后給Vlan接口配置IP即可。Page55網(wǎng)絡(luò)配置-路由配置的條件前置任務(wù)在配置靜態(tài)路由之前,需完成以下任務(wù):配置相關(guān)接口的物理參數(shù)。配置相關(guān)接口的IP地址。數(shù)據(jù)準(zhǔn)備在配置靜態(tài)路由之前,需要準(zhǔn)備以下數(shù)據(jù):目的網(wǎng)絡(luò)的IP地址和掩碼。下一跳的IP地址或出接口。Page56網(wǎng)絡(luò)配置-路由配置步驟1 執(zhí)行命令system-view,進(jìn)入系統(tǒng)視圖。步驟2 執(zhí)行命令iproute-staticx.x.x.x{mask|mask-length}{interface-typeinterface-number[gateway-address]|gateway-address}[preferencevalue][reject|blackhole]。Page57網(wǎng)絡(luò)配置-路由配置舉例[Eudemon]iproute-static[Eudemon]iproute-static[Eudemon]iproute-staticPage58網(wǎng)絡(luò)配置-檢查路由配置操作命令查看路由表摘要信息displayiprouting-table[vpn-instancevpn-instance-name]查看路由表詳細(xì)信息displayiprouting-tableverbose查看指定目的地址的路由displayiprouting-tableip-address[mask][longer-match][verbose]查看指定目的地址范圍內(nèi)的路由displayiprouting-tableip_address1

mask1

ip_address2

mask2[verbose]查看通過指定標(biāo)準(zhǔn)訪問控制列表過濾的路由displayiprouting-tableacl{acl-number|acl-name}[verbose]查看通過指定前綴列表過濾的路由displayiprouting-tableip-prefixip-prefix-number[verbose]查看指定協(xié)議發(fā)現(xiàn)的路由displayiprouting-tableprotocolprotocol[inactive|verbose]查看樹形式路由表displayiprouting-tableradix查看路由表的綜合信息displayiprouting-tablestatisticsPage59培訓(xùn)提綱基礎(chǔ)配置系統(tǒng)管理網(wǎng)絡(luò)配置策略配置ACL配置NAT配置配置舉例Page60策略配置-(缺省策略和明細(xì)策略)

安全區(qū)的定義Eudemon/USG防火墻缺省保留五個安全區(qū)域:1、虛擬區(qū)域Vzone最低安全級別的安全區(qū)域,系統(tǒng)未定義其安全級別,安全級別為0。2、非受信區(qū)域Untrust低安全級別的安全區(qū)域,安全級別為5。3、非軍事化區(qū)域DMZ中等安全級別的安全區(qū)域,安全級別為50。4、受信區(qū)域Trust較高安全級別的安全區(qū)域,安全級別為85。5、本地區(qū)域Local最高安全級別的安全區(qū)域,安全級別為100。Page61策略配置-安全區(qū)的創(chuàng)建(自定義)配置安全區(qū)域的安全級別時,需要遵循如下原則:只能為自定義的安全區(qū)域設(shè)定安全級別。安全級別一旦設(shè)定,不允許更改。同一系統(tǒng)中,兩個安全區(qū)域不允許配置相同的安全級別。Page62策略配置-安全區(qū)的使用創(chuàng)建區(qū)域(如果需要自定義的話)執(zhí)行命令addinterfaceinterface-typeinterface-number,配置接口加入安全區(qū)域。配置接口加入安全區(qū)域時,需要遵循如下原則:除Local和Vzone安全區(qū)域外,使用其他所有安全區(qū)域前,均需手工配置接口加入安全區(qū)域。加入安全區(qū)域的接口可以是物理接口,也可以是邏輯接口。加入一個安全區(qū)域的接口數(shù)不大于1024。Page63策略配置-配置域間缺省規(guī)則配置域間缺省包過濾規(guī)則,需要進(jìn)行如下操作。步驟1 執(zhí)行命令system-view,進(jìn)入系統(tǒng)視圖。步驟2 執(zhí)行命令firewallpacket-filterdefault{permit|deny}{all[vpn-instancevpn-instance-name]|interzone[vpn-instancevpn-instance-name]zone1zone2}[direction{inbound|outbound}],配置域間缺省包過濾規(guī)則。缺省情況下,在防火墻所有安全區(qū)域間的所有方向都禁止報文通過。例如打開untrust和local之間的缺省域間包過濾規(guī)則:Page64策略配置-配置域間明細(xì)規(guī)則1.進(jìn)入?yún)^(qū)域間視圖2.應(yīng)用已經(jīng)寫好的ACL3.確定應(yīng)用的正確方向這里可以根據(jù)實際需要來配置標(biāo)準(zhǔn)和擴(kuò)展的ACL,然后應(yīng)用到區(qū)域間的進(jìn)或出的方向。從低安全區(qū)域流向高安全區(qū)域的為outbound,反之為inbound。Page65培訓(xùn)提綱基礎(chǔ)配置系統(tǒng)管理網(wǎng)絡(luò)配置策略配置ACL配置NAT配置配置舉例Page66ACL配置-定義ACL能夠通過報文的源地址、目的地址、端口號、上層協(xié)議等信息組合定義網(wǎng)絡(luò)中的數(shù)據(jù)流,是包過濾、NAT、IPSec(IPSecurity)、QoS(QulityofService)、策略路由等應(yīng)用的基礎(chǔ)。防火墻通過數(shù)字定義和引用ACL。Eudemon防火墻上的ACL分為如下三類:基本ACL(組號范圍為2000~2999)標(biāo)準(zhǔn)ACL高級ACL(組號范圍為3000~3999)擴(kuò)展ACL防火墻ACL(組號范圍為5000~5499)Page67基本ACL配置步驟:Page68高級ACL配置步驟:Page69ACL配置-匹配順序一個ACL組可以由多條包含permit或deny關(guān)鍵字的ACL規(guī)則組成。一臺防火墻可以包含多個ACL組。一個報文匹配ACL規(guī)則時遵循如下原則:防火墻ACL比高級ACL優(yōu)先被匹配,高級ACL比基本ACL優(yōu)先被匹配。在防火墻ACL、高級ACL或基本ACL中,acl-number序號小的ACL優(yōu)先被匹配。在同一ACL規(guī)則組中,rule-id小的規(guī)則被優(yōu)先匹配。如果數(shù)據(jù)流與一條ACL規(guī)則匹配成功,將不再繼續(xù)向下匹配。防火墻將根據(jù)該ACL規(guī)則的動作,對數(shù)據(jù)流進(jìn)行后續(xù)操作。Page70ACL-配置過程下面以基本ACL規(guī)則為例進(jìn)行說明。對已經(jīng)存在的ACL規(guī)則,所有后期編輯的屬性參數(shù)都可以疊加到該編號的ACL規(guī)則上,沒有編輯的部分是不受影響的。例如:#配置一個ACL規(guī)則。[Eudemon-acl-basic-2001]rule1denysource0#編輯相應(yīng)ACL規(guī)則。[Eudemon-acl-basic-2001]rule1permit此時,ACL規(guī)則變?yōu)椋篬Eudemon-acl-basic-2001]rule1permitsource0Page71ACL-注意事項Eudemon/USG防火墻按照如下規(guī)則匹配ACL:防火墻ACL比高級ACL優(yōu)先被匹配,高級ACL比基本ACL優(yōu)先被匹配。在防火墻ACL、高級ACL或基本ACL中,acl-number序號小的ACL優(yōu)先被匹配。在同一ACL規(guī)則組中,rule-id小的規(guī)則被優(yōu)先匹配。在配置ACL前,需要考慮整個組網(wǎng)的需求,并按照Eudemon/USG防火墻的ACL匹配順序進(jìn)行配置。否則,容易配置不當(dāng),導(dǎo)致業(yè)務(wù)不通。Page72ACL-配置檢查Page73ACL-域間規(guī)則調(diào)用ACL配置域間包過濾規(guī)則,需要進(jìn)行如下操作。步驟1 執(zhí)行命令system-view,進(jìn)入系統(tǒng)視圖。步驟2 執(zhí)行命令firewallinterzone[vpn-instancevpn-instance-name]zone-name1zone-name2,進(jìn)入安全域間視圖。步驟3 執(zhí)行命令packet-filteracl-number{inbound|outbound},配置域間包過濾規(guī)則。域間入方向或出方向的過濾規(guī)則僅能分別引用一條ACL。Page74培訓(xùn)提綱基礎(chǔ)配置系統(tǒng)管理網(wǎng)絡(luò)配置策略配置ACL配置NAT配置配置舉例Page75NAT配置-應(yīng)用環(huán)境、前置任務(wù)

一般常用的分為一對多、多對多和一對一的方式。應(yīng)用環(huán)境當(dāng)需要隱藏防火墻內(nèi)部網(wǎng)絡(luò)用戶的私有IP地址時,需要配置NAT。前置任務(wù)在配置NAT功能前,需完成以下任務(wù): 配置防火墻的工作模式(可選) 配置接口IP地址(可選) 配置接口加入安全區(qū)域 配置地址集(可選) 配置端口集(可選)Page76NAT-數(shù)據(jù)準(zhǔn)備數(shù)據(jù)準(zhǔn)備在配置NAT前,需要準(zhǔn)備以下數(shù)據(jù): ACL組號 ACL相關(guān)參數(shù) NAT地址池編號 地址池起始地址和結(jié)束地址Page77NAT-配置過程-1步驟1 執(zhí)行命令system-view,進(jìn)入系統(tǒng)視圖。步驟2 執(zhí)行命令acl[number]acl-number[vpn-instancevpn-instance-name],創(chuàng)建ACL,并進(jìn)入相應(yīng)視圖。步驟3 執(zhí)行命令rule[rule-id]{permit|deny}[source{source-addresssource-wildcard|any|address-setaddress-set-name}|time-rangetime-name|logging]*,配置基本ACL規(guī)則。步驟4 執(zhí)行命令quit,退回系統(tǒng)視圖。步驟5 執(zhí)行命令nataddress-group{group-name|group-number}start-addressend-address[vrrpvirtual-router-ID|vpn-instancevpn-instance-name]*,配置NAT地址池。步驟6 執(zhí)行命令firewallinterzone[vpn-instancevpn-instance-name]zone-name1zone-name2,進(jìn)入域間視圖。步驟7 執(zhí)行命令na

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論