华为防火墙配置使用手册(自己写) 下载本文

[USG5300] dhcp enable (启用dhcp服务,缺省情况下启用)

[USG5300] interface Vlan-interface2

[USG5300-Vlanif2] ip address 219.225.149.1 255.255.255.0

[USG5300-Vlanif2] dhcp select interface (启用接口的DHCP功能)

[USG5300-Vlanif2] dhcp server static-bind ip-address 219.225.149.8 mac-address 00e0-4c58-0d26(做IP与mac绑定, 对于一些特定的客户端(例如WWW服务器)需要静态分配固定IP地址,此时可以在DHCP服务器侧绑定IP地址和特定客户端MAC地址。) [USG5300-Vlanif2] dhcp server dns-list 219.225.128.6 219.225.159.6(指定DNS地址)

[USG5300-Vlanif2] dhcp server ip-range 10.1.1.1 10.1.1.100 (配置接口地址池的IP地址范围, 缺省情况下,接口地址池的地址范围就是接口的IP地址所在的网段)

[USG5300] dhcp server forbidden-ip 10.110.1.1 10.110.1.63 (配置DHCP地址池中不参与自动分配的IP地址)

2.3.2全局DHCP功能

[USG5300] dhcp enable

[USG5300] dhcp server ip-pool 136 (定义一个全局的地址池,名子自己定义) [USG5300-dhcp-136]network 219.225.136.0 mask 255.255.255.0(这个地址池可供分配的IP段)

[USG5300-dhcp-136]gateway-list 219.225.136.1(必须写网关,否则自动分配的IP地址无网关)

[USG5300-dhcp-136]dns-list 219.225.128.6(DNS配置)

[USG5300-dhcp-136] static-bind ip -address 10.1.1.1 mask 255.255.255.0 [USG5300-dhcp-136] static-bind mac-address 0000-e03f-0305

#

[USG5300]dhcp server ip-pool 149(定义一个全局的地址池,名子自己定义) [USG5300-dhcp-149]network 219.225.149.0 mask 255.255.255.0(这个地址池可供分配的IP段)

[USG5300-dhcp-149]gateway-list 219.225.149.1(自动获取的IP主机获得的网关)

[USG5300-dhcp-149]dns-list 219.225.128.6(DNS配置)

[USG5300]interface Vlan-interface2 (定义vlan接口,自由定义)

[USG5300-Vlanif2]dhcp select globle(接口上启用dhcp select globle功能)

[USG5300-Vlanif2]ip address 219.225.136.1 255.255.255.0(vlan接口必须要分一个IP,即与网关相同的IP,系统根据接口IP与掩码确定自动分配哪一个IP-Pool的IP)

[USG5300] interface Vlan-interface3 (定义vlan接口,自由定义)

[USG5300-Vlanif3]dhcp select globle(接口上启用dhcp select globle功能)

[USG5300-Vlanif3]ip address 219.225.149.1 255.255.255.0(vlan接口必须要分一个IP,即与网关相同的IP,系统根据接口IP与掩码确定自动分配哪一个IP-Pool的IP)

2.4 配置透明模式

目前华为的防火墙不支持透明模式的命令,只能用Vlan,把端口加入到vlan的方式。 [USG5300] vlan 2

[USG5300] int g0/0/0

[USG5300-GigabitEthernet0/0/0] portswitch

[USG5300-GigabitEthernet0/0/0] port link-type access [USG5300-GigabitEthernet0/0/0] port access vlan 2 [USG5300] int g0/0/1

[USG5300-GigabitEthernet0/0/1]portswitch

[USG5300-GigabitEthernet0/0/1] port link-type access [USG5300-GigabitEthernet0/0/1] port access vlan 2

然后把相应的端口加入到相应的区域就可以了!一般只需要加物理接口即可。 如果防火墙只是用在服务器和内网之间,一般将连接服务器接口设置为trust,将内网设置为untrust。

子接口的配置方法:子接口不能配置portswitch命令,可以将子接口划分到某个vlan。 [USG5300-GigabitEthernet0/0/3]int g0/0/3.1

[USG5300-GigabitEthernet0/0/3.1]vlan-type dot1q 60

设置GigabitEthernet 0/0/3.1与VLAN ID 60相关联,以太网子接口GigabitEthernet 0/0/3.1的封装格式为dot1q

2.5 配置时钟

用户模式下

clock timezone Beijing minus 08:00:00 clock datetime 0:0:0 2012/12/01 display clock可以查看时间

2.6 系统更新

2.6.1 使用命令进行升级

1、 先将升级文件上传到防火墙

tftp 192.168.0.100 get su5mpua07v3r1c00spc700.bin

2、 startup system-software USG5300V200R001C00SPC800.bin ##指定下次

启动时使用的版本文件。

startup saved-configuration vrpcfg_new.cfg ##指定下次启动

时使用的配置文件,这个是可选配置 3、 display startup ###验证配置

4、 使用reboot重启防火墙,执行reboot命令后,设备将会显示两次提示信息,询问是否

继续,请您不保存配置重新启动。

5、 用户模式命令。如果有license可以通过命令加载license。系统视图命令:

[USG5300]license file license.dat,然后使用reboot命令重新启动系统,重新启动时请一定不要保存配置。

6、 加载补丁的方法:

1、在任意视图下,执行display patch-information,查看补丁信息。显示示例如下:

2、如果没有补丁信息可以直接加载补丁;如果有补丁信息,需要先删除原有补丁再加载,示例如下:

[USG5300] patch delete V300R001C10SPH101.pat

3、加载补丁:[USG5300] patch load V300R001C10SPH102.pat 4、激活补丁[USG5300] patch active V300R001C10SPH102.pat

5、运行补丁[USG5300] patch run V300R001C10SPH102.pat

2.6.2 使用图形界面升级

点击维护—系统更新

选择需要更新的系统文件,点击导入。

使用图形界面升级的时候,升级完成后不需要保存配置。直接重启就是。

用图形界面加载License的方法如下:选择License文件,然后点击激活。

2.7 防火墙策略的配置

策略需求:

对于policy interzone trust dmz outbound之间的策略有以下需求: 1、源地址为10.28.197.143能访问所有的目的地址,服务全部开放。

2、源地址是所有的,目的地址是192.168.1.5、192.168.1.6和192.168.1.7开放80、8080、443和3389端口。

3、源地址是所有的访问目的地址是192.168.1.10、192.168.1.11的服务全部开放。 这三个都要求开放icmp协议。

在这里源为优先级高的10.28.197.X的trust区,目的为优先级低的192.168.1.X的dmz区。

如果策略里不知道源和目的就是指any

配置方法:

ip service-set test1 type object //创建自定义服务 service 0 protocol tcp destination-port 8080 service 1 protocol tcp destination-port 3389 也可以指定一个范围,比如:

service 1 protocol tcp destination-port 8080 to 8090

ip service-set test type group //创建服务组,可以将创建的自定义服务或者预定义的服务加到服务组里。

service 0 service-set http service 1 service-set https service 2 service-set icmp

service 3 service-set test1 //将以上创建的自定义服务添加到服务组里

policy interzone trust dmz outbound //配置域间包过滤策略,3个需求3个policy策略 policy 0 action permit

policy source 10.28.197.143 mask 255.255.255.255 policy 1