华为防火墙2110调试

防火墙说明文档

一

使用串口转USB加串口转网口组合，网口在防火墙端接入console口，在笔记本电脑中打开CRT选择端口后，链接到防火墙配置

输入dis cu 查看防火墙基本配置，按住空格显示更多配置，查看完后输入sys 进入配置[USG2110]抬头下进行网口配置

输入interface ethernet1/0/0/6 表示进入LAN6口的端口

具体端口表示多少号需要在查询防火墙配置中找到相关端口名称例如1/0/1或者2/0/0等如果该端口没有网线接口使用需要关闭接口

输入shutdown就可以成功关闭端口

然后用一根网线用笔记本接入到LAN1口，LAN1口是进入WEB配置界面的口，通常情况下不要当做通讯接口使用。

在前面查询防火墙配置的时候就能看的WEB界面的IP端口，通常都是192.168.0.1 （不要以下图IP为例）

用户名admin

密码Admin@123

进入之后首先修改密码进入左侧的“系统”——“管理员”——“管理员”点击修改将密码统一改为Fglyc_01 “应用”“返回”

进入左侧的“网络”——安全区域——安全区域点trust的修改按钮

在描述中填入描述例如此防火墙用于一二区就填“安全一区”并将不用的lan 口选中并删除留需要用lan口的和lan7口lan7口用于调试

然后点“应用”、“返回”

同样方法修改untrust区域如果多条链路接口不够用也可以增加lan口到untrust区

再进入左侧“网络”——“接口”-“接口”中修改wan0口

选择“交换”然后修改Access VLAN ID 为2 （lan0和wan0他们为一条通路时，将wan0和lan0都设同样的值就可以，这里设置为2）然后“应用”“返回”

同样方法修改lan0 “应用”“返回”

如果多条链路就将Access VLAN ID值依次增加即可保证一条链路两个口的Access VLAN ID值相同即可

在防火墙中找到安全策略中转发策略，新建添加两个策略

Trust-untrust

Untrust-trust两条策略

如下图配置

2.10 安全防护

2.10.1 攻击防范

1. 流量型

（1）SYN Flood：启用。配置见下图：

（2）UDP Flood：启用，配置见下图：

（3）ICMP Flood：启用，配置见下图：

（4）ARP Flood：启用，配置见下图：

2. 应用层

（1）SIP Flood：启用，配置见下图：

（2）HTTP Flood：启用，配置见下图：

（3）Connection Flood：启用，配置见下图：

3. 扫描类

配置见下图：

4. 畸形报文类

配置见下图：

5. 特殊报文控制类

配置见下图：

2.10.2 黑名单

配置见下图：

2.10.3 白名单

不配置。

2.10.4 IP-MAC地址绑定

配置见下图：

2.11 日志配置

不使用。

2.12 其它配置

无。

2.13 保存配置

以上所有配置测试通过后，尽管这些配置立即生效，但若未保存将在掉电重启或复位后丢失，因此必须保存。