USG2000,5000系列防火墙基础安装配置

天清汉马USG快速安装指南手册版本产品版本 2.6.3资料状态发行第1章软件安装 .................................................................................................. 1-2 1.1 准备条件 ........................................................................................................... 1-21.2 天清集中管理与数据分析中心安装过程 ....................................................... 1-21.2.1 MSDE数据库.................................................................................................................. 1-41.2.2 天清集中管理与数据分析中心................................................................................... 1-4 1.3 管理配置 ........................................................................................................... 1-71.3.1 配置数据库服务器....................................................................................................... 1-81.3.2 配置入库缓冲文件路径............................................................................................... 1-91.3.3 配置声音报警............................................................................................................. 1-10第2章软件卸载 ................................................................................................ 2-112.1 天清集中管理与数据分析中心卸载过程 ..................................................... 2-11第3章硬件安装 ................................................................................................ 3-123.1 准备条件 ......................................................................................................... 3-12 3.2 标识说明 ......................................................................................................... 3-123.3 设备安装 ......................................................................................................... 3-143.3.1 模块化设备安装......................................................................................................... 3-143.3.2 10000E设备安装........................................................................................................ 3-15第4章快速配置 ................................................................................................ 4-164.1 设备默认配置 ................................................................................................. 4-164.1.1 管理口的默认配置..................................................................................................... 4-164.1.2 默认管理员用户......................................................................................................... 4-16 4.2 Web快速配置.................................................................................................. 4-164.2.1 登录设备..................................................................................................................... 4-164.2.2 语言配置..................................................................................................................... 4-184.2.3 配置路由模式............................................................................................................. 4-194.2.4 配置桥模式................................................................................................................. 4-224.2.5 配置安全策略............................................................................................................. 4-244.2.6 配置NAT...................................................................................................................... 4-26 4.3 天清集中管理与数据分析中心快速配置 ..................................................... 4-274.3.1 登录天清集中管理与数据分析中心......................................................................... 4-274.3.2 添加USG设备............................................................................................................. 4-284.3.3 添加设备组................................................................................................................. 4-294.3.4 调整数据接收端口..................................................................................................... 4-294.3.5 查询数据..................................................................................................................... 4-30 4.4 天清集中管理与数据分析中心快速配置 ..................................................... 4-304.4.1 登录集中管理中心..................................................................................................... 4-304.4.2 添加设备/设备组....................................................................................................... 4-304.4.3 集中管理 ..................................................................................................................... 4-32 4.4.4 单机管理 ..................................................................................................................... 4-32 4.4.5 升级维护 ..................................................................................................................... 4-32第5章 软件升级 ................................................................................................ 5-34 5.1 通过Web 升级 ................................................................................................ 5-34第1章 软件安装1.1 准备条件硬件配置要求：PC 服务器／Pentium IV CPU ／2G 内存／200G 硬盘软件要求：操作系统：推荐使用Windows 2k sp4(中文版)、Windows 2003(中文版)、可以使用Windows XP sp3(中文版)，Vista ，windows 7。

通过Web方式登录设备通过配置使终端通过Web方式登录设备，实现对设备的配置和管理。

操作步骤1.启动Web管理功能：a.执行命令system-view，进入系统视图。

b.执行命令web-manager { security enable port port-number | enable [ portport-number ] }，启动Web管理功能。

Web管理功能启动后，其后续配置才有效。

Web浏览器和Web服务器之间的交互报文为HTTP报文，默认端口号是80，如果选择port port-number，则Web服务器的监听端口修改为port-number。

2.配置Web用户：a.执行命令system-view，进入系统视图。

b.执行命令aaa，进入AAA视图。

c.执行命令local-user user-name password { simple | cipher } password，创建AAA本地用户。

d.执行命令local-user user-name service-type web，配置用户的类型为web。

e.执行命令local-user user-name level level，配置用户的级别。

任务示例∙配置USG的IP地址。

∙<USG> system-view∙[USG] interface GigabitEthernet 0/0/0∙[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 24∙[USG-GigabitEthernet0/0/0] quit∙配置PC的IP地址（略）。

∙启动Web管理功能。

[USG] web-manager enable∙配置Web用户。

∙[USG] aaa∙[USG-aaa] local-user webuser password simple Admin@123∙[USG-aaa] local-user webuser service-type web[USG-aaa] local-user webuser level 3∙检查配置结果。

USG2000/5000 系列防火墙负载分担配置，V300R001SPC900版本最多支持8条等价路由，在多出口时，可以实现多条等价路由的负载分担或依据带宽实现按比例负载分担，例如当有2个出口时，一个GE和一个FE接口，希望按带宽比例做负载分担，分担比为10:1。

USG防火墙的负载分担配置十分简单，只有两条命令即可实现负载分担，在系统视图下配置负载分担，在接口视图下配置分担权重，（默认权重为1）即可实现。

192.168.1.1 vlanif1 192.168.1.2┌──eth2/0/1────────Router1──────┐PC1-------------USG2220 ========Internetgi0/0/0 └──gi0/0/1────────-Router2──────┘ 192.168.3.3192.168.2.1 192.168.2.2权重计算假设有n个出接口（n<=8），每个出接口权重依次为w1,w2,......wn；且有n条路由，则接口i（1=<i<=8）的流量分担比为wi/(w1+w2+w3+.....+wn)（1）逐包等价负载分担配置disp curinterface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0 //缺省权重为1#int vlanif 1 (包含ethernet2/0/1)ip address 192.168.1.1 255.255.255.0 //缺省权重为1#load-balance packet //逐包负载分担#ip route-static 0.0.0.0 0.0.0.0 192.168.2.2ip route-static 0.0.0.0 0.0.0.0 192.168.1.2#return[USG2220]在PC上持续发送变源IP的流量，验证结果如下：[USG2220]display interface GigabitEthernet 0/0/017:58:53 2012/06/23GigabitEthernet0/0/0 current state : UPLine protocol current state : UPGigabitEthernet0/0/0 current firewall zone : trustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.0.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 100000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 31936376 bits/s, 2776 packets/s //入流量每秒2776包Last 300 seconds output rate 24 bits/s, 0 packets/sInput: 1745827 packets, 2501973859 bytes2199 broadcasts, 1934 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:4187 packets, 4943435 bytes18 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220] disp int gi 0/0/1 //负载分担的出接口117:57:15 2012/06/23GigabitEthernet0/0/1 current state : UPLine protocol current state : UPGigabitEthernet0/0/1 current firewall zone : untrustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.2.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c9Media type is twisted pair, loopback not set, promiscuous mode not set1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 1000000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 15967824 bits/s, 1388 packets/s //出流量1388包约2766的一半Input: 20 packets, 1774 bytes6 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:699743 packets, 1006107662 bytes3 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]disp int vlan 1 //负载分担的出接口217:57:26 2012/06/23Vlanif1 current state : UPLine protocol current state : UPVlanif1 current firewall zone : dmzDescription : Huawei, USG2200 Series, Vlanif1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 192.168.1.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Physical is VLANIFLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 15962304 bits/s, 1387 packets/s //出流量1387包约2766的一半16 packets input, 1270 bytes, 0 drops720194 packets output, 1035542843 bytes, 24 drops[USG2220]disp int ethe 2/0/1 //VLAN 1 所含的物理接口17:57:37 2012/06/23Ethernet2/0/1 current state : UPLine protocol current state : UPDescription : Huawei, USG2200 Series, Ethernet2/0/1 Interface, Lan Switch PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)PVID:1Port link-type:accessVLAN ID:1Media type is twisted pair, loopback is not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 15983704 bits/s, 1389 packets/sInput: 41 packets, 6716 bytes5 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:739349 packets, 1063096373 bytes3 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]（2）逐包按比例负载分担配置disp curinterface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0route weight 10 //修改GE接口的权重为10#int vlanif 1 (包含ethernet2/0/1)ip address 192.168.1.1 255.255.255.0 //缺省权重为1#load-balance packet //逐包负载分担#ip route-static 0.0.0.0 0.0.0.0 192.168.2.2ip route-static 0.0.0.0 0.0.0.0 192.168.1.2#return[USG2220]disp int gi 0/0/018:04:19 2012/06/23GigabitEthernet0/0/0 current state : UPLine protocol current state : UPGigabitEthernet0/0/0 current firewall zone : trustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.0.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8 Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 100000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 39717672 bits/s, 3452 packets/s //入流量每秒3452包Last 300 seconds output rate 0 bits/s, 0 packets/sInput: 2863396 packets, 4108824781 bytes2297 broadcasts, 1996 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:4187 packets, 4943435 bytes18 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]display interface GigabitEthernet 0/0/1 //负载分担的出接口118:04:48 2012/06/23GigabitEthernet0/0/1 current state : UPLine protocol current state : UPGigabitEthernet0/0/1 current firewall zone : untrustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.2.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c9Media type is twisted pair, loopback not set, promiscuous mode not set1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 1000000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 35789288 bits/s, 3111 packets/s //GE接口权重为10 流量为总流量的10/11 Input: 21 packets, 1838 bytes7 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:1945061 packets, 2796873572 bytes3 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]display interface Vlanif 1 //负载分担的出接口218:04:39 2012/06/23Vlanif1 current state : UPLine protocol current state : UPVlanif1 current firewall zone : dmzDescription : Huawei, USG2200 Series, Vlanif1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 192.168.1.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Physical is VLANIFLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 3578312 bits/s, 311 packets/s //FE接口权重为1 流量只有总流量的1/1117 packets input, 1316 bytes, 0 drops1008589 packets output, 1450253475 bytes, 24 drops********************************************************************************************* （3）逐流等价负载分担配置disp curinterface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0 //缺省权重为1#int vlanif 1 (包含ethernet2/0/1)ip address 192.168.1.1 255.255.255.0 //缺省权重为1#load-balance flow hash source-ip //使用流分担方式，采用源IP哈希算法#ip route-static 0.0.0.0 0.0.0.0 192.168.2.2ip route-static 0.0.0.0 0.0.0.0 192.168.1.2#return验证结果：<USG2220>disp int gi 0/0/009:28:08 2012/06/24GigabitEthernet0/0/0 current state : UPLine protocol current state : UPGigabitEthernet0/0/0 current firewall zone : trustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.0.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 100000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 40081584 bits/s, 3484 packets/s //入口总流量每秒3484包Last 300 seconds output rate 8 bits/s, 0 packets/sInput: 5709388 packets, 8208644956 bytes451 broadcasts, 246 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:32 packets, 2338 bytes0 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants<USG2220>display interface GigabitEthernet 0/0/1 //负载分担的出接口109:28:16 2012/06/24GigabitEthernet0/0/1 current state : UPLine protocol current state : UPGigabitEthernet0/0/1 current firewall zone : untrustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.2.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c9Media type is twisted pair, loopback not set, promiscuous mode not set1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 1000000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 20119032 bits/s, 1748 packets/s //出口流量每秒1748包约3484的一半Input: 1 packets, 64 bytes0 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:2506159 packets, 3603855268 bytes1 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants<USG2220>display interface vlan 1 //负载分担的出接口209:28:37 2012/06/24Vlanif1 current state : UPLine protocol current state : UPVlanif1 current firewall zone : dmzDescription : Huawei, USG2200 Series, Vlanif1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 192.168.1.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Physical is VLANIFLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 19962864 bits/s, 1735 packets/s //出口流量每秒1735包约3484的一半2 packets input, 92 bytes, 0 drops2536472 packets output, 3646936530 bytes, 0 drops<USG2220> disp int ethe 2/0/1 //VLAN 1 所含的物理接口09:28:47 2012/06/24Ethernet2/0/1 current state : UPLine protocol current state : UPDescription : Huawei, USG2200 Series, Ethernet2/0/1 Interface, Lan Switch PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)PVID:1Port link-type:accessVLAN ID:1Media type is twisted pair, loopback is not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 19961176 bits/s, 1735 packets/sInput: 2 packets, 128 bytes2 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:2563893 packets, 3686357681 bytes0 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants********************************************************（4）逐流比例负载分担配置disp curinterface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0route weight 10 //权重为10#int vlanif 1 (包含ethernet2/0/1)ip address 192.168.1.1 255.255.255.0 //缺省权重为1#load-balance flow hash source-ip //使用流分担方式，采用源IP哈希算法#ip route-static 0.0.0.0 0.0.0.0 192.168.2.2ip route-static 0.0.0.0 0.0.0.0 192.168.1.2#[USG2220][USG2220]disp int gi 0/0/009:55:35 2012/06/24GigabitEthernet0/0/0 current state : UPLine protocol current state : UPGigabitEthernet0/0/0 current firewall zone : trustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.0.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 100000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 38260832 bits/s, 3326 packets/s //入流量每秒3326包Last 300 seconds output rate 8 bits/s, 0 packets/sInput: 11302814 packets, 16250808455 bytes804 broadcasts, 422 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:67 packets, 5158 bytes0 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]display interface GigabitEthernet 0/0/1 //负载分担的出接口109:55:42 2012/06/24GigabitEthernet0/0/1 current state : UPLine protocol current state : UPGigabitEthernet0/0/1 current firewall zone : untrustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.2.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c9Media type is twisted pair, loopback not set, promiscuous mode not set1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 1000000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 34809656 bits/s, 3026 packets/s //GE口出流量3026包约为3326包的10/11 Input: 3 packets, 192 bytes0 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:6535204 packets, 9397375195 bytes3 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]disp int vlan 1 //负载分担的出接口209:56:05 2012/06/24Vlanif1 current state : UPLine protocol current state : UPVlanif1 current firewall zone : dmzDescription : Huawei, USG2200 Series, Vlanif1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 192.168.1.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Physical is VLANIFLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 3451664 bits/s, 300 packets/s3 packets input, 138 bytes, 0 drops4068110 packets output, 5849251402 bytes, 0 drops[USG2220]display interface ethe 2/0/1 //VLAN 1 所含的物理接口09:55:54 2012/06/24Ethernet2/0/1 current state : UPLine protocol current state : UPDescription : Huawei, USG2200 Series, Ethernet2/0/1 Interface, Lan Switch PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)PVID:1Port link-type:accessVLAN ID:1Media type is twisted pair, loopback is not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 3450824 bits/s, 300 packets/s //FE口出流量300包约为3326包的1/11 Input: 3 packets, 192 bytes3 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:4073735 packets, 5857327222 bytes0 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants****************************************************注意以下几个个问题：1）分担比例不均匀，多出现在逐流分担情况，此时可调整哈希算法，由于流量统计需要5分钟才能统计准确，因此观察时不能少于5分钟。

USG2000基础配置手册初始化设备：reset saved-configurationREBOOTNY1.# 进入系统视图。

<USG> system-view# 进入Ethernet 0/0/0视图。

[USG A] interface Ethernet 0/0/0# 配置Ethernet 0/0/0（公网）的IP地址。

[USG A-Ethernet0/0/0] ip address 61.163.165.108 255.255.255.128 #公网IP，运营商提供# 退回系统视图。

[USG A-Ethernet0/0/0] quit2.# 进入Ethernet 0/0/1视图。

[USG A] interface Ethernet 0/0/1# 配置内部局域网Ethernet 0/0/1的IP地址。

[USG A-Ethernet0/0/1] ip address 192.168.0.1 255.255.255.0[USG A-Ethernet0/0/1] dhcp select interface# 退回系统视图。

[USG A-Ethernet0/0/1] quit3.# 进入Trust区域视图。

[USG A] firewall zone trust# 配置Ethernet 0/0/1加入Trust区域。

#通常内网在trust区域[USG A-zone-trust] add interface Ethernet 0/0/1# 退回系统视图。

[USG A-zone-trust] quit# 进入Untrust区域视图。

[USG A] firewall zone untrust# 配置Ethernet 0/0/0加入Untrust区域。

#通常外网在untrust区域[USG A-zone-untrust] add interface Ethernet 0/0/0# 退回系统视图。

[USG A-zone-untrust] quit4.#配置需要上网的ACL[USG] acl 2000[USG-acl-basic-2000] rule permit[USG-acl-basic-2000] quit5.# 配置NAT地址池。

华为USG2000防火墙维护文档目录1关于防火墙的登录 (2)2具体应用 (2)2.1登录 (2)2.2接口 (3)2.3本地策略 (5)2.4服务 (6)2.5转发策略 (7)1关于防火墙的登录登录防火墙出厂默认LAN口的IP为192.168.0.1，通过IE访问：http:// 192.168.0.1用户名：amdin；密码：Admin@1232具体应用华为USG2000实现misgate单向通讯LAN口接MISGate服务器；LAN口IP：192.168.1.1/255.255.255.0 WAN0接MISGate客户端WAN0口IP：192.168.10.1/255.255.255.0 防火墙接口的IP是PC机网卡与防火墙通讯网卡的网关。

2.1登录由于LAN口的IP更改为192.168.1.1了；所以登录防火墙LAN口的IP为192.168.0.1，通过IE访问：http:// 192.168.1.1用户名：amdin；密码：Admin@1232.2接口网络--->接口--->接口,配置LAN口IP网络--->接口--->接口,配置WAN0口IP2.3本地策略防火墙--->安全策略--->本地策略trust、untrust动作改为permit2.4服务防火墙--->服务--->自定义服务；新建TCP/UDP服务，指定1285端口，命名为test。

2.5转发策略防火墙--->安全策略--->转发策略；新建trust--->untrust动作为permit 服务选择为test（上一步新建的）选择服务（重要）选择动作为permit。

华为usg防火墙基本配置命令有哪些修改防火墙的时间和时区信息默认情况下防火墙没有定义时区，系统保存的时间和实际时间可能不符。

使用时应该根据实际的情况定义时间和时区信息。

实验中我们将时区定义到东八区，并定义标准时间。

clock timezone 1 add 08:00:0013:50:57 2014/07/04dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00clock datetime 13:53:442014/07/0421:53:29 2014/07/03dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00修改防火墙登录标语信息默认情况下，在登陆防火墙，登陆成功后有如下的标语信息。

Please Press ENTER.Login authenticationUsername:adminPassword:*********NOTICE:This is a private communicationsystem.Unauthorized access or use may lead to prosecution.防火墙设备以此信息警告非授权的访问。

实际使用中，管理员可以根据需要修改默认的登陆标语信息Please Press ENTER.Welcome to USG5500Login authenticationUsername:adminPassword:*********Welcome to USG5500You are logining insystem Please do not delete system config filesNOTICE:This is a private communicationsystem.Unauthorized access or use may lead to prosecution.注意，默认达到NOTICE信息一般都会存在，不会消失或被代替。

华为路由器usg2000说明书
USG2000&5000配置策略路由方式如下：
1.组网需求
为满足部门A和部门B的需求，公司申请了两条接入Internet 的链路ISP1和ISP2来分担链路流量，并互为备份，以保证链路持续不中断。

详细需求如下：
a。

部门A所在网段为10.1.0.0/16，该部门访问Internet的报文正常情况下流入链路ISP1.
b。

部门B所在网段为20.1.0.0/16，该部门访问Internet的报文正常情况下流入链路ISP2.
c。

部门A和部门B所在链路互为备份，当某部门的链路（以下称主链路）出现故障时，流量切换到另一部门所在的链路（以下称备链路）上。

2.配置思路
策略路由和IP-Link联动配置思路如下：
a。

为实现不同链路分担不同流量，需要配置基于源地址的策略路由，使来自部门A的访问Internet报文流向链路ISP1，来自部门B的访问Internet报文流向链路ISP2.
b。

为实现部门A和部门B所在链路互为备份，保证链路不中断，需要配置如下：
1）。

配置策略路由和IP-Link联动，由IP-Link来观察部门A 和部门B各自主链路的可达性。

当主链路出现故障时，策略路由失效，设备将查找备份路由，以保持业务的持续流通。

2）。

配置部门A到链路ISP2的静态路由和部门B到链路ISP1的静态路由，作为部门A和部门B的备份路由。

同时，将静态路由与IP-Link联动，由IP-Link来观察部门A和部门B各自备链路的可达性。

华为USG防火墙基本配置-电脑资料学习目的掌握登陆USG防火墙的方法掌握修改防火墙设备名的方法掌握对防火墙的时间、时区进行修改的方法掌握修改防火墙登陆标语信息的方法掌握修改防火墙登陆密码的方法掌握查看、保存和删除防火墙配置的方法掌握在防火墙上配置vlan、地址接口、测试基本连通性的方法拓扑图学习任务步骤一.登陆缺省配置的防火墙并修改防火墙的名称防火墙和路由器一样，有一个Console接口，。

使用console线缆将console接口和计算机的com口连接在一块。

使用windows操作系统自带的超级终端软件，即可连接到防火墙。

防火墙的缺省配置中，包括了用户名和密码。

其中用户名为admin、密码Admin@123，所以登录时需要输入用户名和密码信息，输入时注意区分大小写。

修改防火墙的名称的方法与修改路由器名称的方法一致。

另外需要注意的是，由于防火墙和路由器同样使用了VRP平台操作系统，所以在命令级别、命令帮助等，与路由器上相应操作相同。

sys13:47:28 2014/07/04Enter system view, return user view withCtrl+Z.[SRG]sysname FW13:47:32 2014/07/04步骤二.修改防火墙的时间和时区信息默认情况下防火墙没有定义时区，系统保存的时间和实际时间可能不符。

使用时应该根据实际的情况定义时间和时区信息。

实验中我们将时区定义到东八区，并定义标准时间。

clock timezone 1 add 08:00:0013:50:57 2014/07/04dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00clock datetime 13:53:442014/07/0421:53:29 2014/07/03dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00步骤三。

通过Web方式登录设备通过配置使终端通过Web方式登录设备，实现对设备的配置和管理。

操作步骤1.启动Web管理功能：a.执行命令system-view，进入系统视图。

b.执行命令web-manager { security enable port port-number | enable [ portport-number ] }，启动Web管理功能。

Web管理功能启动后，其后续配置才有效。

Web浏览器和Web服务器之间的交互报文为HTTP报文，默认端口号是80，如果选择port port-number，则Web服务器的监听端口修改为port-number。

2.配置Web用户：a.执行命令system-view，进入系统视图。

b.执行命令aaa，进入AAA视图。

c.执行命令local-user user-name password { simple | cipher } password，创建AAA本地用户。

d.执行命令local-user user-name service-type web，配置用户的类型为web。

e.执行命令local-user user-name level level，配置用户的级别。

任务示例∙配置USG的IP地址。

∙<USG> system-view∙[USG] interface GigabitEthernet 0/0/0∙[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 24∙[USG-GigabitEthernet0/0/0] quit∙配置PC的IP地址（略）。

∙启动Web管理功能。

[USG] web-manager enable∙配置Web用户。

∙[USG] aaa∙[USG-aaa] local-user webuser password simple Admin@123∙[USG-aaa] local-user webuser service-type web[USG-aaa] local-user webuser level 3∙检查配置结果。

___USG防火墙配置实例详解
本文档将详细介绍如何配置___USG防火墙。

以下是一个设置示例，供参考：
环境准备
首先，确保你已经具备以下条件和环境：
1. 一台已经安装好___USG防火墙的设备。

2. 一台连接到防火墙的电脑。

3. 拥有管理员权限的账户。

配置步骤
步骤一：登录防火墙
打开你的浏览器，输入防火墙的IP地址。

在登录页面上输入你的用户名和密码，然后点击登录。

步骤二：创建安全策略
在防火墙的管理界面中，点击“安全策略”选项。

然后，点击
“新建”按钮来创建一个新的安全策略。

步骤三：配置安全策略规则
在安全策略页面上，点击“新建”按钮，开始配置安全策略规则。

1. 首先，选择要应用该规则的接口。

可以选择输入接口、输出
接口或者双向接口。

2. 然后，配置规则动作。

你可以选择允许、拒绝或者指定其他
动作。

3. 接下来，配置源地址、目的地址、协议和端口范围等信息。

4. 最后，为该规则指定一个描述信息，并点击“完成”。

步骤四：保存并生效
在安全策略页面上，点击“保存”按钮来保存你的配置。

然后，
点击“生效”按钮来使配置生效。

步骤五：验证配置
验证防火墙的配置是否生效，通过向设备发送相应的流量，并查看防火墙的日志是否记录了相应的事件。

总结
通过本文档的配置示例，你可以学习如何使用___USG防火墙进行基本的安全策略配置。

请根据自己的需求和网络环境进行相应的配置调整。

华为USG防火墙详细配置步骤
本文将介绍华为USG防火墙的详细配置步骤，包括以下几个方面：
1. 确认设备连接
- 确保USG防火墙已经正确连接至网络设备，可以通过网线或者光纤进行连接。

- 确认USG防火墙的电源已经连接并启动。

2. 登录管理界面
- 在计算机上打开浏览器，输入USG防火墙的管理界面地址。

- 输入正确的用户名和密码，登录到USG防火墙的管理界面。

3. 配置基本网络设置
- 在管理界面中，找到并点击“网络设置”选项。

- 在基本网络设置页面，根据网络需求配置IP地址、子网掩码、默认网关等基本网络参数。

4. 配置防火墙策略
- 在管理界面中，找到并点击“安全策略”或“防火墙策略”选项。

- 根据实际需求，配置防火墙策略，包括允许或禁止某些应用、网络服务或IP地址的访问。

5. 配置端口转发
- 在管理界面中，找到并点击“端口映射”或“端口转发”选项。

- 根据需要，配置端口映射规则，将外部请求的端口映射到内
部服务器的端口。

6. 配置虚拟专用网络（VPN）
- 在管理界面中，找到并点击“VPN”选项。

- 根据需求，配置VPN连接，包括设置加密方式、身份验证等
参数。

7. 保存配置并重启
- 在管理界面中，保存所有配置，并重启USG防火墙。

以上就是华为USG防火墙的详细配置步骤。

根据实际需求，可以进行相应的调整和扩展。

配置过程中，应注意安全设置和正确性，以确保USG防火墙的正常运行和网络的安全性。

华赛Secospace USG2000系列统一安全网关<产品概述>华赛Secospace USG2000系列统一安全网关（下称USG2000）是华赛公司针对中小企业安全业务需求，推出的新一代高性能中低端统一安全网关，USG2000系列采用华赛VRP软件平台，集防火墙、防DDOS、入侵保护（IPS）、反垃圾邮件、P2P阻断和限流、IM软件控制、无线局域网WiFi（802.11a/b/g/n混合模式）、3G接入、L2TP/IPSEC/SSL/MPLS VPN等特性于一体,能为中小企业、大型企业分支机构网络、以及网吧出口网关提供高性能的安全防护，帮助企业提升工作效率，是中等及中小型企业网络的理想安全防护设备！<产品系列><产品特点>中低端统一安全网关的集大成者---一机多能，提高效率，节省投资USG2000系列集防火墙、防DDOS、入侵保护（IPS）、反垃圾邮件、P2P软件阻断和限流、IM软件控制、L2TP/IPSEC/SSL/MPLS VPN于一体，真正把主流安全功能集成在一台设备上，有效帮助用户提高安全防护能力，提高办公效率，节省投资。

领先的嵌入式多核架构---高性能的用户体验USG2000采用领先的嵌入式多核架构，性能远远领先于其他普通架构，确保IPS/反垃圾邮件/P2P阻断与限流/NAT/ASPF/防DDoS/VPN等多种业务高速并行处理，特别是为UTM功能的流畅使用提供了性能保证。

完整的VPN解决方案---适应多种业务加密传输要求USG2000系列为用户提供了GRE、L2TP、IPSec、SSL、MPLS等多种VPN 组网技术，同时，USG2000系列内置了高性能硬件加解密芯片，使产品加密性能在同档次产品中处于领先位置；USG2000系列支持DES、3DES、AES等多种加密算法，能够为用户提供高强度的加密传输保障，同时，USG2200支持IKEv2协议，强化了用户认证、报文认证、NAT穿越等功能，消除了中间人攻击和拒绝服务攻击隐患。

以太网链路接入如果您购买了宽带上网服务，从运营商处获得了一个固定IP，并希望利用USG通过网线接入Internet，请阅读此节。

组网需求某企业（或家庭）从运营商处购买了宽带上网服务，获得的固定IP位置为202.98.215.1/30，网关的IP位置为202.98.215.2/30，DNS服务器的IP位置为202.106.0.20/24。

企业（或家庭）的用户希望利用USG通过以太网链路接入Internet。

图1 以太网链路接入配置思路1.如图1所示，用网线连接USG上的三层以太网接口和运营商的入户宽带接口。

用网线连接USG上的二层以太网接口和交换机（交换机连接企业或家庭的所有电脑）。

2.接入Internet首先要获取IP位置，因此需要在GigabitEthernet 6/0/2接口上配置从运营商获取的固定IP位置。

3.为了能够组建企业内部局域网，局域网内的电脑需要从USG获取IP位置和DNS服务器的IP位置，因此需要将USG的二层以太网接口加入VLAN，并在Vlanif上配置IP位置和DHCP功能。

4.为了局域网用户和Internet间的流量通过，需要将Vlanif和GigabitEthernet 6/0/2接口加入相应的安全区域，并配置域间包过滤规则。

5.为了确保局域网用户访问Internet时路由可达，需要配置下一跳为202.98.215.2的缺省路由。

6.为了实现多个局域网用户能够同时访问Internet，需要配置基于接口的NAT。

操作步骤1.配置三层以太网接口的IP位置，使设备能够接入Internet。

IP位置由企业（或家庭）从运营商处获取。

2.<USG> system-view3.[USG] interface GigabitEthernet 6/0/2[USG-GigabitEthernet6/0/2] ip address 202.98.215.1 255.255.255.2524.配置Vlanif（下行接口），通过DHCP给局域网的电脑分配IP位置和DNS位置。

天清汉马USG防火墙快速安装指南USG防火墙是一种网络安全设备，可保护企业网络不受来自互联网的攻击和威胁。

USG防火墙具有强大的功能，包括入侵检测和防范、URL过滤、VPN等。

下面是天清汉马USG防火墙的快速安装指南。

1.准备工作-确保您已购买了天清汉马USG防火墙并收到了所有所需的配件。

-查找一个安全的位置来放置USG防火墙，离电源插座和网络设备近。

2.连接设备-将USG防火墙的电源插头插入电源插座，并将另一端连接到USG防火墙上的电源端口。

- 使用Ethernet电缆将USG防火墙的LAN端口连接到您的网络交换机或路由器的可用端口。

- 使用另一条Ethernet电缆将USG防火墙的WAN端口连接到您的互联网入口设备，例如光猫或宽带调制解调器。

3. 访问Web界面- 打开您的Web浏览器，并键入USG防火墙的默认管理IP地址（通常为192.168.1.1）。

- 输入默认的用户名和密码进行登录（通常为admin/admin）。

4.配置网络参数- 在Web界面中，导航到"网络"或"接口"选项卡，并选择WAN口。

-根据您的网络提供商的要求，配置WAN口的IP地址和其他相关参数，例如子网掩码、默认网关和DNS服务器。

-保存更改并应用配置。

5.配置防火墙规则- 在Web界面中，导航到"防火墙"或"安全"选项卡，并选择"规则"子选项卡。

-根据您的安全需求，配置防火墙规则以允许或拒绝特定的网络流量。

-保存更改并应用配置。

6.配置VPN- 在Web界面中，导航到"VPN"或"安全"选项卡，并选择"VPN"子选项卡。

-根据您的需求，配置VPN连接，例如设置远程访问、站点到站点VPN等。

-保存更改并应用配置。

7.配置其他功能-根据您的需求，配置其他USG防火墙功能，例如入侵检测和防范、URL过滤等。