其实防火墙配置,只需要配置到能使用web方式管理,剩下的都在网页上配置即可,有人喜欢用命令配置,但我说下用命令配置的弊端,首先是安全策略的备注不好写,还有就是策略的顺序不方便调整,需要提前规划好,还有就是容易出错,真的完全没有必要,你又不是配置交换机,防火墙用网页配置,又方便又不容易出错。需要注意的一点,华为的USG防火墙型号不同,在用命令创建用户的命令会有些出入,不过都是大同小异。再啰嗦一下,防火墙的安全策略是讲究顺序的,从上到下依次执行,在这点上和windows系统自带的防火墙是不同的,windows防火墙不讲究什么顺序,是按照最佳匹配原则。
华为USG防火墙配置命令
常用命令
//用户视图,用户视图只能使用查看命令 ?//查看用户视图下的所有命令 displayversion//查看VRP系统版本 system-view//进入系统视图 [SRG]sysnameR1//修改设备名称为R1 [R1]displayclock//查看系统时间 [R1]quit//返回上一级 save//保存配置 displaysaved-configuration//查看保存的配置 displaycurrent-configuration//查看当前运行的配置 reboot//重启设备 resetsaved-configuration//恢复出厂配置
查看license信息及esn码
[USG6000]displaylicense//查看license信息 [USG6000]displayesn//查看esn码
查看接口IP信息
[USG6000]displayipinterfacebrief//查看接口IP简要信息 [USG6000]displaycurrent-configurationinterfaceGigabitEthernet1/0/0//查看该接口的运行信息
设置接口IP地址
[SRG]interfaceGigabitEthernet0/0/0//进入接口模式 [SRG-GigabitEthernet0/0/0]ipaddress10.10.10.1124//24为子网掩码 [SRG-GigabitEthernet0/0/0]shutdown//禁用接口 [SRG-GigabitEthernet0/0/0]undoshutdown//启用接口 [SRG-GigabitEthernet0/0/0]displaythis//查看该接口信息
设置vlan1管理地址,并允许ssh及https访问
[USG6000]interfaceVlanif1 [USG6000-Vlanif1]ipaddress192.168.80.10024 [USG6000-Vlanif1]service-managesshpermit [USG6000-Vlanif1]service-managehttpspermit [USG6000-Vlanif1]service-managepingpermit//注意这种方式会导致策略不生效 [USG6000-Vlanif1]undoservice-manageenable//必须关闭服务管理,策略才生效
设置静态默认路由
[USG6000]iproute-static0.0.0.00.0.0.0192.168.80.1
设置旗标和登录成功后提示
[SRG]headerlogininformation"zhuhaihuanaozaixianjianceshiusg2000" [SRG]headershellinformation"WecometoHuaweiUSG2000"
设置时区及日期
clocktimezonebeijinadd08:00//设置时区为北京东八区 clockdatetime11102021/02/03//11点20分10秒,2021年02月03日
设置console口密码及超时时间
[SRG]user-interfaceconsole0//进入console口配置模式 [SRG-ui-console0]authentication-modepasswordcipherhuawei@123//设置密码为huawei@123 [SRG-ui-console0]idle-timeout20//设置超时时间为20分钟
设置console口使用用户名密码登录(usg2000)
[SRG]user-interfaceconsole0 [SRG-ui-console0]authentication-modeaaa//认证模式为AAA [SRG]aaa//进入AAA配置模式 [SRG-aaa]local-userchbpasswordcipherhuawei@123//创建chb用户名,密码为huawei@123 [SRG-aaa]local-userchbservice-typeterminal//指定chb用户的类型为console口用 [SRG-aaa]local-userchblevel15//指定chb用户的权限等级为15(15表示最高权限) [SRG-aaa]displaylocal-user//查看本地用户
创建AAA用户管理console口,ssh,web
[USG6000]aaa//进入AAA配置模式 [USG6000-aaa]manager-userchbadmin//创建用户chbadmin [USG6000-aaa-manager-user-chbadmin]passwordcipherhuawei@123//设置密码为huawei@123 [USG6000-aaa-manager-user-chbadmin]service-typeterminalsshweb//指定为console,ssh,web用 [USG6000-aaa-manager-user-chbadmin]level15//设置级别为15,数值越大权限越高,15是最高权限
web登录配置管理
1. 配置USG的IP地址(略)
2. 配置UGS接口Web设备管理
[SRG-GigabitEthernet0/0/0]service-manageenable//默认已开启 [SRG-GigabitEthernet0/0/0]service-managehttpspermit//允许https,也可以设置允许Ping
3. 启动web管理功能
[SRG]web-managerenable [SRG]web-managersecurityenableport8443 [SRG]web-managertimeout60//设置超时时间为60分钟
telnet登录配置管理
1. 开启telnet服务
[SRG]telnetserverenable
2. 配置USG接口telnet设备管理
[SRG-GigabitEthernet0/0/0]service-manageenable [SRG-GigabitEthernet0/0/0]service-managetelnetpermit//设置接口允许telnet [SRG-GigabitEthernet0/0/0]service-managepingpermit//设置接口允许ping
3. 配置vty 并设置密码登录(或者参照下一条使用用户密码登录)
[SRG]user-interfacevty04//进入vty配置模式 [SRG-ui-vty0-4]protocolinboundtelnet//配置vty允许telnet [SRG-ui-vty0-4]authentication-modepasswordcipherhuawei@123//设置认证模式为密码 [SRG-ui-vty0-4]userprivilegelevel3//设置权限级别为3
4. 配置vty并设置用户名密码登录即AAA认证
[USG6000]user-interfacevty04 [USG6000-ui-vty0-4]protocolinboundtelnet [USG6000-ui-vty0-4]authentication-modeaaa//设置认证模式为AAA [USG6000-ui-vty0-4]idle-timeout60//设置超时时间60分钟 [USG6000]aaa//进入AAA配置 [USG6000-aaa]manager-usertelchb//创建用户telchb [USG6000-aaa-manager-user-telchb]passwordcipherhuawei@123//设置密码为huawei@123 [USG6000-aaa-manager-user-telchb]service-typetelnet//设置服务类型为telnet [USG6000-aaa-manager-user-telchb]level3//设置级别为3
通过SSH方式登录管理
1. 启用Stelnet服务
[SRG]stelnetserverenable
2. 配置防火墙管理接口允许SSH管理
[SRG-GigabitEthernet0/0/0]service-manageenable [SRG-GigabitEthernet0/0/0]service-managesshpermit
3. 配置RSA本地密钥对
[SRG]rsalocal-key-paircreate
4. 配置vty线路
[SRG]user-interfacevty04 [SRG-ui-vty0-4]authentication-modeaaa [SRG-ui-vty0-4]protocolinboundssh//允许ssh [SRG-ui-vty0-4]idle-timeout60//设置超时时间为60分钟
5. 配置ssh登录用户名密码
[SRG]sshuserchbssh [SRG]sshuserchbsshauthentication-typepassword [SRG]sshuserchbsshservice-typestelnet [SRG]aaa [SRG-aaa]local-userchbsshpasswordcipherhuawei@123 [SRG-aaa]local-userchbsshservice-typessh [SRG-aaa]local-userchbsshlevel3
文件管理
dir//查看当前目录文件 copyprivate-data.txt123.txt//复制private-data.txt到当前目录并改名为123.txt move123.txt111.txt//移动123.txt到当前目录并改名为111.txt delete111.txt//删除111.txt,并非彻底删除可以恢复 dir/all//查看当前目录所有文件 undelete111.txt//恢复刚才删除的文件111.txt delete/unreserved111.txt//彻底删除111.txt mkdirflash:/backup//在根目录下创建文件夹backup cdbackup//切换目录到backup文件夹中 pwd//查看当前路径 cd///切换到根目录 copyprivate-data.txtflash:/backup/private-data-bak.txt//复制文件到指定路径 moveprivate-data.txtflash:/private-data.txt//移动文件到指定路径
将flash中的文件备份到TFTP和FTP
#将flash中的vrpcfg.zip上传到tftp服务器tftp192.168.10.11putflash:/vrpcfg.zip #将tftp服务器的vrpcfg2.zip下载到flash中 tftp192.168.10.11getvrpcfg2.zipflash:/vrpcfg2.zip ftp192.168.10.1121//登录ftp服务器端口号21 输入用户名 输入密码 [R1-ftp]get111.txt111.txt//下载ftp中的111.txt到flash中 [R1-ftp]putvrpcfg.zipvrpcfg-bak.zip//上传flash中的vrpcfg.zip到ftp中
设置系统启动使用的文件及配置文件
displaystartup//查看系统启动使用的系统文件和配置文件 startupsystem-softwarefilename1.zip//设置系统启动文件 startupsaved-configurationvrpcfg2.zip//指定保存配置的文件
将防火墙设置为ftp服务器
需设置防火墙规则允许(略)
[USG6000]ftpserverenable//开启ftp服务 [USG6000]aaa [USG6000-aaa]manager-userftpchb [USG6000-aaa-manager-user-ftpchb]passwordcipherhuawei@123 [USG6000-aaa-manager-user-ftpchb]service-typeftp//指定服务类型为ftp [USG6000-aaa-manager-user-ftpchb]ftp-directoryhda1://指定ftp的根目录为hda1 [USG6000-aaa-manager-user-ftpchb]level3 [USG6000]undoftpserver//关闭ftp服务
安全区域设置并将接口划入该区域
[USG6000]firewallzoneuntrust//进入untrust区域配置 [USG6000-zone-untrust]addinterfaceGigabitEthernet1/0/0//将该接口加入到该区域 [USG6000-zone-untrust]displaythis//查看该区域的配置信息 [USG6000]firewallzonetrust [USG6000-zone-trust]addinterfaceVlanif1//将vlan1接口划入该区域 [USG6000]firewallzonenameInbound//创建区域Inbound,并进入该区域配置 [USG6000-zone-Inbound]setpriority90//设置优先级为90,数值越大信任级别越高 [USG6000-zone-Inbound]addinterfaceGigabitEthernet1/0/5//将该接口加入到该区域 [USG6000]displayzone//查看区域信息
配置安全策略
[USG6000]security-policy//进入安全策略配置 [USG6000-policy-security]defaultactiondeny//设置默认策略为禁止 [USG6000-policy-security]rulenameSUL02//新建一条规则名称是SUL02 [USG6000-policy-security-rule-SUL02]source-zoneuntrust//源区域是untrust [USG6000-policy-security-rule-SUL02]destination-zonelocal//目标区域是local [USG6000-policy-security-rule-SUL02]actionpermit//动作是允许 [USG6000]displaysecurity-policyruleall//查看所有安全策略条目名称 [USG6000]displaysecurity-policyrulenameSUL02//查看SUL02这条安全策略 [USG6000]interfaceGigabitEthernet1/0/1//进入该接口模式 [USG6000-GigabitEthernet1/0/0]undoservice-manageenable//关闭服务管理,才能使安全策略生效
配置安全策略示例
[USG6000]security-policy [USG6000-policy-security]rulenameUT02//新建一个规则名称叫UT02 [USG6000-policy-security-rule-UT02]source-address192.168.10.1232 [USG6000-policy-security-rule-UT02]source-address192.168.11.00.0.0.255//使用反掩码表示地址范围,即192.168.11.0/24这个网段 [USG6000-policy-security-rule-UT02]source-addressrange192.168.12.1192.168.12.50//指定地址范围在192.168.12.1~192.168.12.50 [USG6000-policy-security-rule-UT02]destination-addressany//目标地址是any,表示所有地址 [USG6000-policy-security-rule-UT02]userany//用户是所有用户,这条命令是默认的,可以省略 [USG6000-policy-security-rule-UT02]serviceprotocoltcpdestination-port22//指定目标端口是TCP的22号端口 [USG6000-policy-security-rule-UT02]serviceprotocoludpdestination-port888//指定目标端口是UDP的888端口 [USG6000-policy-security-rule-UT02]serviceprotocolicmp//允许ping [USG6000-policy-security-rule-UT02]serviceprotocolicmpicmp-typeecho-reply//上一条命令包含这条命令,这个表示只允许icmp的回显包 [USG6000-policy-security]undorulenameUT02//删除UT02这条规则 [USG6000-policy-security]displaythis//查看规则内容
使用地址组,服务组,时间组的方式配置安全策略
创建相应的地址组
[USG6000]ipaddress-setA01typeobject//创建对象A01 [USG6000-object-address-set-A01]address192.168.11.00.0.0.255//添加地址范围,注意是反掩码写法 [USG6000-object-address-set-A01]address192.168.12.00.0.0.255 [USG6000]ipaddress-setA02typeobject//创建对象A02 [USG6000-object-address-set-A02]address192.168.20.00.0.0.255 [USG6000-object-address-set-A02]address192.168.21.00.0.0.255 [USG6000]ipaddress-setAtypegroup//创建组A [USG6000-group-address-set-A]addressaddress-setA01//添加对象A01 [USG6000-group-address-set-A]addressaddress-setA02 [USG6000-group-address-set-A]address192.168.3.00.0.0.255//也可以在组里面,直接添加地址范围 [USG6000]displayipaddress-setall//查看地址组 [USG6000]displayipaddress-setverboseA01item//查看地址组A01详细 [USG6000]displayipaddress-setverboseAitem
创建相应的服务组
[USG6000]ipservice-setS01typeobject//创建服务对象S01 [USG6000-object-service-set-S01]serviceprotocoltcpdestination-port80//添加目的地址端口为TCP的80 [USG6000-object-service-set-S01]serviceprotocoltcpdestination-port22 [USG6000]ipservice-setS02typeobject [USG6000-object-service-set-S02]serviceprotocoltcpdestination-port8080 [USG6000-object-service-set-S02]serviceprotocoltcpdestination-port8081 [USG6000]ipservice-setStypegroup//创建服务组 [USG6000-group-service-set-S]serviceservice-setS01//添加服务对象S01 [USG6000-group-service-set-S]serviceservice-setS02 [USG6000]displayipservice-setall//查看服务组 [USG6000]displayipservice-setverboseS01item//查看服务组S01详细 [USG6000]displayipservice-setverboseSitem
创建相应的时间组
[USG6000]time-rangeT//创建时间组T [USG6000-time-range-T]period-range0800to1800working-day//设置周期时间为,工作日为周一到周五的8点到18点 [USG6000-time-range-T]absolute-range08002021/04/02to18002020/12/30//设置绝对时间 [USG6000-time-range-T]undoabsolute-rangeall//删除上一条命令 [USG6000-time-range-T]displaythis
配置安全策略时使用刚才创建的组
[USG6000]security-policy [USG6000-policy-security]rulenameUT03//创建或者是进入条目UT03编辑 [USG6000-policy-security-rule-UT03]serviceS//指定服务组为S [USG6000-policy-security-rule-UT03]destination-addressaddress-setA//指定目标地址为地址组A [USG6000-policy-security-rule-UT03]time-rangeT//设置时间组为T [USG6000-policy-security-rule-UT03]undotime-range//删除上一条命令 [USG6000-policy-security-rule-UT03]actionpermit//动作允许
查看路由及设置默认路由
[USG6000]iproute-static0.0.0.00.0.0.0172.16.10.3//设置默认路由 [USG6000]undoiproute-static0.0.0.00.0.0.0//删除上一条命令 [USG6000]iproute-static0.0.0.00.0.0.0GigabitEthernet1/0/0172.16.10.3//设置默认路由,并指定出去的接口 [USG6000]displayiprouting-table//查看路由表
设置接口为交换口
[USG6000]interfaceGigabitEthernet1/0/1//进入接口模式 [USG6000-GigabitEthernet1/0/1]portswitch//设置接口为交换口 [USG6000-GigabitEthernet1/0/1]portlink-typeaccess//设置接口类型为接入接口 [USG6000-GigabitEthernet1/0/1]undoportswitch//取消上一条命令,即接口恢复为路由口
查看防火墙会话表
[USG6000]displayfirewallsessiontable//查看会话表简要信息 [USG6000]displayfirewallsessiontableverbose//查看会话表详细信息 [USG6000]displayfirewallserver-map//查看server-map信息
将ASPF检测FTP流量的端口改为其他端口
防火墙默认是开启ASPF检测的,针对多协议服务,如FTP服务,ASPF会针对FTP服务临时开放安全策略
[USG6000]acl2001//创建ACL编号2001 [USG6000-acl-basic-2001]rulepermitsource10.21.50.100.0.0.0//允许该源地址 [USG6000]port-mappingFTPport2121acl2001//将关于ASFP检测的FTP服务转移到2121端口,ACL条目是2001 [USG6000]undofirewalldetectftp//关闭aspf检测ftp浏览
番外:SSH方式连接华为USG2000防火墙报错
SecureCRT使用SSH方式连接华为USG2000防火墙报错如下:
Theclienthasdisconnectedfromtheserver.Reason: MessageAuthenticationCodedidnotverify(packet#4).Dataintegrityhasbeen compromised.
解决方法:
改为使用SSH1协议登录即可
通过telnet该地址的22端口可以看出SSH使用的版本是1.9
华为USG防火墙重置密码
以下操作会初始化华为USG防火墙,所有配置清空哦
通电情况下,用圆珠笔按住reset按钮10秒,笔记本接好console口,等待画面,出现提示按ctrl+B,输入默认密码O&m15213 然后选择对应的数字“Reset Factory Configuration”,返回后选择数字1,启动系统,然后输入默认的用户名admin,默认密码Admin@123 网页登录地址是https://192.168.0.1:8443 用户名密码也是admin和Admin@123
总结
其实防火墙本身的管理web也是有漏洞的,可以通过只让某一个IP地址能够访问来增加安全性,但也不能保证绝对安全,我这边的做法是,单独留一个接口,用与web管理,当然弊端就是配置防火墙需要到现场用笔记本接上那个保留的接口才能配置,好处就是黑客想入侵,必须要通过社工的方式,接触到这台设备。说实话有点异想天开了,首先问问自己,你的设备值不值得别人这样做,简直是拿高射炮去打蚊子,没人会去干这种蠢事的。
审核编辑:汤梓红
-
华为
+关注
关注
215文章
33628浏览量
247159 -
Web
+关注
关注
2文章
1238浏览量
68465 -
WINDOWS
+关注
关注
3文章
3440浏览量
87144 -
防火墙
+关注
关注
0文章
406浏览量
35419 -
命令
+关注
关注
5文章
638浏览量
21849
原文标题:华为USG防火墙配置命令
文章出处:【微信号:网络技术干货圈,微信公众号:网络技术干货圈】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
评论