5、 用户模式命令。如果有license可以通过命令加载license。系统视图命令:
[USG5300]license file license.dat,然后使用reboot命令重新启动系统,重新启动时请一定不要保存配置。
6、 加载补丁的方法:
1、在任意视图下,执行display patch-information,查看补丁信息。显示示例如下:
2、如果没有补丁信息可以直接加载补丁;如果有补丁信息,需要先删除原有补丁再加载,示例如下:
[USG5300] patch delete V300R001C10SPH101.pat
3、加载补丁:[USG5300] patch load V300R001C10SPH102.pat 4、激活补丁[USG5300] patch active V300R001C10SPH102.pat
5、运行补丁[USG5300] patch run V300R001C10SPH102.pat
2.6.2 使用图形界面升级
点击维护—系统更新
选择需要更新的系统文件,点击导入。
使用图形界面升级的时候,升级完成后不需要保存配置。直接重启就是。
用图形界面加载License的方法如下:选择License文件,然后点击激活。
2.7 防火墙策略的配置
策略需求:
对于policy interzone trust dmz outbound之间的策略有以下需求: 1、源地址为10.28.197.143能访问所有的目的地址,服务全部开放。
2、源地址是所有的,目的地址是192.168.1.5、192.168.1.6和192.168.1.7开放80、8080、443和3389端口。
3、源地址是所有的访问目的地址是192.168.1.10、192.168.1.11的服务全部开放。 这三个都要求开放icmp协议。
在这里源为优先级高的10.28.197.X的trust区,目的为优先级低的192.168.1.X的dmz区。
如果策略里不知道源和目的就是指any
配置方法:
ip service-set test1 type object //创建自定义服务 service 0 protocol tcp destination-port 8080 service 1 protocol tcp destination-port 3389 也可以指定一个范围,比如:
service 1 protocol tcp destination-port 8080 to 8090
ip service-set test type group //创建服务组,可以将创建的自定义服务或者预定义的服务加到服务组里。
service 0 service-set http service 1 service-set https service 2 service-set icmp
service 3 service-set test1 //将以上创建的自定义服务添加到服务组里
policy interzone trust dmz outbound //配置域间包过滤策略,3个需求3个policy策略 policy 0 action permit
policy source 10.28.197.143 mask 255.255.255.255 policy 1
action permit
policy service service-set test //指定上面创建的服务组 policy destination 192.168.1.5 mask 255.255.255.255 policy destination 192.168.1.6 mask 255.255.255.255 policy destination 192.168.1.7 mask 255.255.255.255 policy 2 action permit
policy destination 192.168.1.10 mask 255.255.255.255 policy destination 192.168.1.11 mask 255.255.255.255 #
有地方还需要创建地址集,方法如下
ip address-set ap type object //创建地址集: address 0 192.168.100.62 mask 32 //一个单独地址 address 1 range 18.0.6.55 18.0.6.255 //创建一个地址范围
类型是object和group的格式是一样的,只不过group里的地址里可以包含object和其他的group。
ip address-set 生产网ip限制 type group //创建地址组
address 0 address-set ap //可以包含以前的object。 address 1 range 18.0.7.0 18.0.7.255 address 2 range 18.0.6.55 18.0.6.255 address 3 range 18.0.5.0 18.0.5.255
address 4 range 18.0.4.0 18.0.4.255 //一个地址范围,组里可以包含以前创建的地址或者组。 添加地址界面
创建的地址集或者是地址组需要在策略里引用:
policy interzone trust dmz outbound policy 1
policy destination address-set生产网ip限制
2.8 内部服务器的映射
ip service-set video type object //增加自定义服务,做域间策略的时候引用 service protocol tcp destination-port 10001 to 10007 //开启端口的范围 service protocol tcp destination-port 9001 service protocol tcp destination-port 3389 service protocol tcp destination-port 1521 service protocol tcp destination-port 5060 service protocol udp destination-port 5060
ip service-set test_group type group //增加自定义服务组 service 0 service-set http service 1 service-set telnet
service 2 service-set video //这个可以是自定义的服务集 ip address-set address type object //增加自定义IP地址集 address 192.168.5.123 0 address 192.168.5.20 0
ip address-set test type group //创建自定义IP地址组
address address-set address //可以包含以前的地址object。 address 192.168.5.123 0
address range 18.0.7.0 18.0.7.255 address range 18.0.6.55 18.0.6.255 address range 18.0.5.0 18.0.5.255 policy interzone untrust dmz inbound policy 1
action permit
policy destination address-set test policy service service-set icmp policy service service-set http policy service service-set video
nat server protocol udp global 218.84.3.174 5060 inside 192.168.5.123 5060
nat server protocol tcp global 218.84.3.174 5060 inside 192.168.5.123 5060 nat server protocol tcp global 218.84.3.174 10002 inside 192.168.5.123 10002 nat server protocol tcp global 218.84.3.174 10003 inside 192.168.5.123 10003 nat server protocol tcp global 218.84.3.174 10004 inside 192.168.5.123 10004 nat server protocol tcp global 218.84.3.174 10005 inside 192.168.5.123 10005 nat server protocol tcp global 218.84.3.174 10006 inside 192.168.5.123 10006 nat server protocol tcp global 218.84.3.174 10007 inside 192.168.5.123 10007 nat server protocol tcp global 218.84.3.174 80 inside 192.168.5.20 80 查看dis policy interzone Dis nat-policy
2.9 配置域内NAT,实现内网用户通过公网访问内部服务器
1、针对全局trust区域配置了nat server
nat address-group 1 192.168.0.1 192.168.0.1 比如防火墙的trust接口地址为192.168.0.1,地址池的地址无所谓,即使配置一个防火墙上不存在的地址也无所谓,一般为了直观都用接口的ip地址。 #
nat server zone trust protocol tcp global 218.84.3.174 8090 inside 192.168.5.198 8080 //这个可以不用配置,直接用全局的也行,即不带zone的。这条没必要配置。 #
nat-policy zone trust policy 0
action source-nat
policy source 192.168.5.0 0.0.0.255 //内网网段,可以不用指定,不指定代表any policy destination 192.168.1.123 0 //内部服务器,可以不用指定,不指定代表any policy destination 192.168.1.198 0 //内部服务器,可以不用指定,不指定代表any。 address-group 1 #
ip route-static 192.168.0.1 32 NULL 0 //配置黑洞路由,避免形成路由环路,也可以不用配置,
不正常的时候在配置。
2、针对全局dmz区域配置了nat server,但是trust区域想访问dmz内部服务器映射后的公网地址的配置。
nat address-group 2 172.18.200.250 172.18.200.250 //比如dmz接口的地址是172.18.200.250 nat-policy interzone trust dmz outbound policy 0
action source-nat address-group 2
如果要是想实现dmz通过trust映射后的地址访问内部服务器可以用以下命令 nat address-group 3 172.18.200.251 172.18.200.251 nat-policy interzone dmz trust inbound policy 0
action source-nat
华为防火墙配置使用手册(自己写)
