因单位做机房改造,顺道我也对华为防火墙的一些基础知识再一次进行分享(之前我做过一次分享,但是做的是华为USG5500系列,这次我以华为USG6000系列来演示)。
这次演示实验工具,到华为官方网站下载即可。
①ENSP -不比多少,之前我分享过。
②下载一个USG6000V.zip的文件(防火墙系统独立文件)
usg6000系统文件华为路由器管理界面,如图所示:
打开ENSP,选中USG6000V的设备,打开后我们导入之前下载好的系统,导入系统我们只导入.vdi的文件(这是解压后出来的文件)
这次的实验拓扑,我以自己单位拓扑为原型,先暂时照这张拓扑进行防护墙基本配置的讲解:
我们启动设备之后,设备启动的时间为根据电脑配置不同,一般在1-2分钟内。当设备启动好后,我们看到设备要求输入初始密码,初始密码为管理员设定。
这里,我们输入的密码是123.com! 在设备中是不显示的,设置好密码后,我们进到CLI界面,密码是123.com!
在华为防火墙中,web管理类界面中,默认的管理员密码是Admin@123
而华为交换机的用户名和防火墙不一样,用户名admin ,密码是admin@huawei.com 一般在说明明书中可以找到!
设备启动后,我可以在CLI界面中华为路由器管理界面,简单先设置下设备名称:华为防火墙的命令和华为路由器、交换机是一样的,基础命令这里不过多做介绍。
①修改设备名称:
[USG6000V1]sysname Huabin_firewall
②关闭设备日志提示中心
是为了避免在操作中,影响你命令输入的节奏:
[Huabin_firewall]undo info-center enable
③将提示语言更改成中文模式:
language-mode Chinese
当时,第一次看到华为防火墙的设备时,我对MGMT这个接口有过疑问,这个初学者可以认为是管理接口(可以用网线管理的接口。)这个接口的默认管理地址是192.168.0.1/24。在部署防火墙配置时,就可以插一根网线到这个口上去,然后连接电脑配置同一网段,在浏览器输入192.168.0.1,就可以管理了。
后面众多的接口是业务接口了(光口和电口),业务接口在运维中是当做三层口来配置的。三层接口一定是配置IP地址的
在配置前,我对设备所有的接口进行一下概览:
[Huabin_firewall]display interface brief
就像我刚才说的一样,设备的MTMT的管理接口的G0/0/0口的接口信息,写成默认的192.168.0.1/24的地址!默认就有了。
对照拓扑,开始进行接口配置:
[Huabin_firewall-GigabitEthernet1/0/0]ip address 10.10.10.1 24
防火墙和路由器有一个区别就是可以对应用层的策略进行精准的控制,华为防火墙的默认情况下只有一条安全策略,就是全部拒绝访问!
这样,就会造成我们在调试测试中出现问题,例如,我去ping防火墙的端口是Ping不通的。所以暂时可以打开。
策略的问题,我往后再分享,我先用ENSP模拟器中的云,来桥接我本地的PC机到防火墙中,设置中添加两块网卡,并映射出去。
测试PC和防火墙设备通讯:
建议在浏览器中设置信任站点:目的信任防火墙的MGMT的接口。
浏览器输入::8433
就可以正常的访问了。默认的用户名:admin 密码是Admin@123
进入到系统界面后,安全起见会让你重新修改新的密码:
可视化管理中,我们可以看到的是就是用这个MGMT的接口来登录到防火墙上来的。
防火墙分类
我们先来了解下防火墙的工作模式:为了彰显防火墙的控制本质,推荐使用路由模式。
透明网桥模式(可将防火墙当成二层交换机)。
路由模式*(可将防火墙当成三层设备来使用)。
防火墙的区域
防火墙中引入了一个重要的概念 安全区域,简称为Zone
安全区域是一个或多个接口的集合,防火墙通过安全区域来划分网络,标识报文流动的“路线”! 默认情况下,报文在不同的安全区域之间流动时会收到控制,报文在同一个安全区域间流动时不受控制,但是华为防火墙也支持对同一个安全区域流动的报文进行控制!这里我们所说的控制是指通过的规则,也称之为“安全策略”,来实现的!
在防火墙的Zone的概念中,有一个很重要的信任的级别,优先级越高越受信任。
①查看防火墙区域
[Huabin_firewall]display zone
防火墙默认有4个安全区域,每一个安全区域都有一个唯一的安全级别,
Trust区域
该区域内的网络受信任程度高,通常用来定义内部用户所在的网络。优先级为85.
那么为何不将Trust区域的优先级设置成100呢?因为在办公网络中,并不代表每个客户端的上网行为都是守规矩的!
DMZ区域(非军事化区域):
该区域内的网络用户的收信人程度中等,通常用来定义内部服务器所在的网络。优先级为50
Untrust区域:
该区域代表的是受不信任的网络,通常用来定义Internet等不安全的网络。优先级为5.
Local区域:
该区域中不能添加任何接口,防火墙上所有接口的本身都隐含着属于Local区域。这个区域的作用在于使能每个接口都能够访问防火墙本身,又能确定Local区域和其他安全区域的域间关系!
在华为防火墙中,定义完区域之后,需要将相应的接口加入到某个区域中来:
以CLI界面来说:
对照拓扑,将G1/0/0接口划入到trust区域中来
1.指定trust区域
[Huabin-Firewall]firewall zone trust
[Huabin_firewall-zone-trust]add interface GigabitEthernet 1/0/0
2.指定utrust区域j和dmz区域
通过图形化界面来操作,将g1/0/1接口划分utrust区域中去。
第一次部署设备时,我要知道在防火墙中只有一条默认的策略。
代表着任何区域访问任何区域都是拒绝的!
如如所示:
因此,在调试设备的时候,我们修改这个策略为允许就可以了,之后再慢慢的增加策略!(后续的实验环境中,这条策略恢复成禁止动作!)
注意的是,华为防火墙有一个自身的区域叫做Local区域,代表着自己设备的意思。他是不允许去访问任何区域的!
我们可以证明一下,即使打开了默认策略,我站在防火墙上去ping其他主机,是不能够正常通讯的!如图所示:
因此我们在部署设备时,需要建立一些策略:不建立策略的话,即使是直连网络也是Ping不通的!
站在核心交换机上去Ping防火墙地址是不能通讯的:
用CLI界面,进入到防火墙界面:
找到对应的接口,这里我设置所有都允许,也可以只允许Ping协议通过。
②修改接口对应的权限
[Huabin_firewall-GigabitEthernet1/0/0]service-manage all permit
配置完成后,站在核心交换机上去Ping 防火墙的接口地址,实验结果就可以ping通了。
也可以站在防火墙上去Ping一下DMZ区域的服务器,也是可以Ping通的!
也可以站在防火墙上去Pingi 外网地址也是可以的:
但是,从防火墙Ping内网设备却是不可以Ping通的!(前提是我之前默认的那一条安全策略是恢复成禁止的!)
原因在于华为防火墙的local区域是不允许访问任何区域的!这是比较特殊的,需要同行们在项目中要注意!
因此,我需要在防火墙中建立一条local区域和内网区域的放行策略:
可视化界面来说:我们需要到策略中建立一条策略,如图所示:
当然,还有第二种办法就是用CLI界面中命令行来搞定:
[Huabin_firewall]security-policy
[Huabin_firewall-policy-security]rule name local_any (取的策略名字)
[Huabin_firewall-policy-security-rule-local_any]source-zone local (原区域)
[Huabin_firewall-policy-security-rule-local_any]destination-zone any (目标区域,默认是访问任意区域的,在结果中是看不到的)
[Huabin_firewall-policy-security-rule-local_any]action permit
策略建成后,我们再来看下结果,是可以被ping通的!
策略部署还远远没有结束,我们需要让内网用户去访问外网
我们需要在防火墙上做几条回程路由:根据vlan划分的回程路由。[Huabin_firewall]ip route-static 10.10.10.0 24 10.10.10.2
[Huabin_firewall]ip route-static 10.0.2.0 24 10.0.10.2
[Huabin_firewall]ip route-static 10.0.3.0 24 10.0.10.2
[Huabin_firewall]ip route-static 10.0.4.0 24 10.0.10.2
还需要在防火墙中做一条默认路由到运营商网关:
[Huabin_firewall]ip route-static 0.0.0.0 0.0.0.0 121.79.144.166
防火墙可视化策略如下:和之前做local区域到任意区域的策略是一样的:
这样的话,我们就可以实现内网用户访问外网了:(前提是运营商做了一条路由指向我们的设备,这里的实验环境后期不做这条路由,目的在于后期演示NAT映射关系!)
NAT映射这一块,在配置时,我们首先保证员工能用私网IP地址上网。
在华为usg防火墙中是不转换的!如图所示:
所以我们要配置基于源NAT配置,以可视化图形界面来说:我可以这样配置
也可以用命令行来操作:
这是大概的防火墙基本操作了。请高手点评!
限时特惠:本站每日持续更新海量各大内部网赚创业教程,会员可以下载全站资源点击查看详情
站长微信:
相关文章
