注意:在域间策略里匹配的顺序和policy的数字没有关系,他是从前往后检查,如果前一个匹配就不检查下一条了,假如先写的policy 3后写的policy 2,那么就先执行policy 3里的语句,如果policy 3里和policy 2里有相同的地址,只要上一个匹配了就不执行下一个一样的地址了。
举例说明:policy 2里允许192.168.0.1通过,policy 3里拒绝192.168.0.1通过,哪个policy先写的就执行哪个。
[USG5300] policy interzone untrust dmz inbound
[USG5300-policy-interzone-dmz-untrust-inbound] policy 2
[USG5300-policy-interzone-dmz-untrust-inbound-2] policy destination 10.10.11.3 0 [USG5300-policy-interzone-dmz-untrust-inbound-2] policy service service-set ftp [USG5300-policy-interzone-dmz-untrust-inbound-2] action permit [USG5300-policy-interzone-dmz-untrust-inbound-2] quit [USG5300-policy-interzone-dmz-untrust-inbound] policy 3
[USG5300-policy-interzone-dmz-untrust-inbound-3] policy destination 10.10.11.2 0 [USG5300-policy-interzone-dmz-untrust-inbound-3] policy service service-set http [USG5300-policy-interzone-dmz-untrust-inbound-3] action permit [USG5300-policy-interzone-dmz-untrust-inbound-3] quit [USG5300-policy-interzone-dmz-untrust-inbound] quit
应用FTP的NAT ALG功能。
[USG5300] firewall interzone dmz untrust ###优先级高的区域在前 [USG5300-interzone-dmz-untrust] detect ftp [USG5300-interzone-dmz-untrust] quit
在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、SQL.NET、NETBIOS、MMS等协议的会话时,需要在域间启动ALG功能
配置NAT ALG功能与配置应用层包过滤(ASPF)功能使用的是同一条命令。所以如果已经在域间配置过ASPF功能的话,可以不需要再重复配置NAT ALG功能。 两者的区别在于:
? ASPF功能的目的是识别多通道协议,并自动为其开放相应的包过滤策略。 ? NAT ALG功能的目的是识别多通道协议,并自动转换报文载荷中的IP地址和端口信息。 在域间执行detect命令,将同时开启两个功能。
配置内部服务器:
[USG5300] nat server protocol tcp global 220.10.10.16 8080 inside 10.10.11.2 www [USG5300] nat server protocol tcp global 220.10.10.17 ftp inside 10.10.11.3 ftp
1.4.3 NAT策略
Trust和Untrust域间: 如果是同一个区域,比如trust到trust就是域内。 基于源IP地址转换方向
Outbound方向:数据包从高安全级别流向低安全级别
Inbound方向:数据包从低安全级别流向高安全级别 高优先级与低优先级是相对的
根据基于源IP地址端口是否转换分为no-pat方式和napt方式。 No-PAT方式:用于一对一IP地址转换,不涉及端口转换
NAPT方式:用于多对一或多对多IP地址转换,涉及端口转换 1、通过地址池的方式
policy 1:允许网段为10.10.10.0/24的内网用户访问Internet时进行源地址转换,采用公网地址池的形式。 配置地址池
[USG5300]nat address-group 1 220.10.10.16 220.10.10.20 配置Trust和Untrust域间出方向的策略
[USG5300] nat-policy interzone trust untrust outbound [USG5300--policy-interzone-trust-untrust-outbound] policy 1
[USG5300- nat-policy -interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255
[USG5300- nat-policy -interzone-trust-untrust-outbound-1] action source-nat
[USG5300- nat -policy-interzone-trust-untrust-outbound-1] address-group 1 [no pat]
如果是基于外网接口的nat转换可以不用配置地址池,直接在nat-policy interzone trust untrust outbound里配置eary-ip 外网接口 这里的policy source指的是trust地址,nat转换成untrust地址,如果是nat-policy interzone trust untrust inbound,源地址就是指untrust地址,转换成trust地址。 2、通过公网接口的方式
创建Trust区域和Untrust区域之间的NAT策略,确定进行NAT转换的源地址范围192.168.1.0/24网段,并且将其与外网接口GigabitEthernet 0/0/4进行绑定。 [USG] nat-policy interzone trust untrust outbound [USG-nat-policy-interzone-trust-untrust-outbound] policy 0
[USG-nat-policy-interzone-trust-untrust-outbound-0] policy source 192.168.1.0 0.0.0.255 [USG-nat-policy-interzone-trust-untrust-outbound-0] action source-nat
[USG-nat-policy-interzone-trust-untrust-outbound-0] easy-ip GigabitEthernet 0/0/4 [USG-nat-policy-interzone-trust-untrust-outbound-0] quit 3、直接在接口启用nat
如果是针对内网用户上公网做nat,需要在内网接口使用 [USG-GigabitEthernet0/0/0]nat enable
二、其他常用配置
2.1 查看防火墙的会话的命令
[USG5320]dis firewall session table [source|destination] [inside|global]可以查看这个数据包有没有过来。
display firewall session table verbose source inside 2.2.2.2 //inside可以查看私网ip地址信息,global可以查看公网ip地址信息。
如上图所示
icmp表示协议的类型。
local --> trust 表示这个包是从local区域到trust区域的 192.168.200.5:1 --> 172.16.4.66:2048表示这个包是从192.168.200.5访问172.16.4.66的,如果该会话项有[]就表示做了nat转换,[]里的地址是转换后的地址。如果该会话项为“+->”表示启用了ASPF;
-->packets:14 bytes:840表示该会话出方向的包数和字节数统计 <--packets:5 bytes:420 表示该会话入方向的包数和字节数统计。
如上图所示:“<--packets:0 bytes:0”表示回来的包没有收到。
2.2 查看防火墙序列号
display firewall esn 可以查看防火墙的序列号
2.3 DHCP配置
2.3.1 接口dhcp
用接口的DHCP功能 (在某个VLAN接口下启用DHCP功能,这个VLAN里的所有主机将自动获得IP地址,网段就是接口IP的网段,网关为接口IP) 例:
[USG5300] dhcp enable (启用dhcp服务,缺省情况下启用)
[USG5300] interface Vlan-interface2
[USG5300-Vlanif2] ip address 219.225.149.1 255.255.255.0
[USG5300-Vlanif2] dhcp select interface (启用接口的DHCP功能)
[USG5300-Vlanif2] dhcp server static-bind ip-address 219.225.149.8 mac-address 00e0-4c58-0d26(做IP与mac绑定, 对于一些特定的客户端(例如WWW服务器)需要静态分配固定IP地址,此时可以在DHCP服务器侧绑定IP地址和特定客户端MAC地址。) [USG5300-Vlanif2] dhcp server dns-list 219.225.128.6 219.225.159.6(指定DNS地址)
[USG5300-Vlanif2] dhcp server ip-range 10.1.1.1 10.1.1.100 (配置接口地址池的IP地址范围, 缺省情况下,接口地址池的地址范围就是接口的IP地址所在的网段)
[USG5300] dhcp server forbidden-ip 10.110.1.1 10.110.1.63 (配置DHCP地址池中不参与自动分配的IP地址)
2.3.2全局DHCP功能
[USG5300] dhcp enable
[USG5300] dhcp server ip-pool 136 (定义一个全局的地址池,名子自己定义) [USG5300-dhcp-136]network 219.225.136.0 mask 255.255.255.0(这个地址池可供分配的IP段)
[USG5300-dhcp-136]gateway-list 219.225.136.1(必须写网关,否则自动分配的IP地址无网关)
[USG5300-dhcp-136]dns-list 219.225.128.6(DNS配置)
[USG5300-dhcp-136] static-bind ip -address 10.1.1.1 mask 255.255.255.0 [USG5300-dhcp-136] static-bind mac-address 0000-e03f-0305
#
[USG5300]dhcp server ip-pool 149(定义一个全局的地址池,名子自己定义) [USG5300-dhcp-149]network 219.225.149.0 mask 255.255.255.0(这个地址池可供分配的IP段)
[USG5300-dhcp-149]gateway-list 219.225.149.1(自动获取的IP主机获得的网关)
[USG5300-dhcp-149]dns-list 219.225.128.6(DNS配置)
[USG5300]interface Vlan-interface2 (定义vlan接口,自由定义)
[USG5300-Vlanif2]dhcp select globle(接口上启用dhcp select globle功能)
[USG5300-Vlanif2]ip address 219.225.136.1 255.255.255.0(vlan接口必须要分一个IP,即与网关相同的IP,系统根据接口IP与掩码确定自动分配哪一个IP-Pool的IP)
[USG5300] interface Vlan-interface3 (定义vlan接口,自由定义)
[USG5300-Vlanif3]dhcp select globle(接口上启用dhcp select globle功能)
[USG5300-Vlanif3]ip address 219.225.149.1 255.255.255.0(vlan接口必须要分一个IP,即与网关相同的IP,系统根据接口IP与掩码确定自动分配哪一个IP-Pool的IP)
2.4 配置透明模式
目前华为的防火墙不支持透明模式的命令,只能用Vlan,把端口加入到vlan的方式。 [USG5300] vlan 2
[USG5300] int g0/0/0
[USG5300-GigabitEthernet0/0/0] portswitch
[USG5300-GigabitEthernet0/0/0] port link-type access [USG5300-GigabitEthernet0/0/0] port access vlan 2 [USG5300] int g0/0/1
[USG5300-GigabitEthernet0/0/1]portswitch
[USG5300-GigabitEthernet0/0/1] port link-type access [USG5300-GigabitEthernet0/0/1] port access vlan 2
然后把相应的端口加入到相应的区域就可以了!一般只需要加物理接口即可。 如果防火墙只是用在服务器和内网之间,一般将连接服务器接口设置为trust,将内网设置为untrust。
子接口的配置方法:子接口不能配置portswitch命令,可以将子接口划分到某个vlan。 [USG5300-GigabitEthernet0/0/3]int g0/0/3.1
[USG5300-GigabitEthernet0/0/3.1]vlan-type dot1q 60
设置GigabitEthernet 0/0/3.1与VLAN ID 60相关联,以太网子接口GigabitEthernet 0/0/3.1的封装格式为dot1q
2.5 配置时钟
用户模式下
2.6 系统更新
2.6.1 使用命令进行升级
1、 先将升级文件上传到防火墙
2、
启动时使用的版本文件。
时使用的配置文件,这个是可选配置 3、 display startup ###验证配置
4、 使用reboot重启防火墙,执行reboot命令后,设备将会显示两次提示信息,询问是否
继续,请您不保存配置重新启动。
华为防火墙配置使用手册(自己写)
