华为防火墙USG2000实验文档

通过Web方式登录设备通过配置使终端通过Web方式登录设备，实现对设备的配置和管理。

操作步骤1.启动Web管理功能：a.执行命令system-view，进入系统视图。

b.执行命令web-manager { security enable port port-number | enable [ portport-number ] }，启动Web管理功能。

Web管理功能启动后，其后续配置才有效。

Web浏览器和Web服务器之间的交互报文为HTTP报文，默认端口号是80，如果选择port port-number，则Web服务器的监听端口修改为port-number。

2.配置Web用户：a.执行命令system-view，进入系统视图。

b.执行命令aaa，进入AAA视图。

c.执行命令local-user user-name password { simple | cipher } password，创建AAA本地用户。

d.执行命令local-user user-name service-type web，配置用户的类型为web。

e.执行命令local-user user-name level level，配置用户的级别。

任务示例∙配置USG的IP地址。

∙<USG> system-view∙[USG] interface GigabitEthernet 0/0/0∙[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 24∙[USG-GigabitEthernet0/0/0] quit∙配置PC的IP地址（略）。

∙启动Web管理功能。

[USG] web-manager enable∙配置Web用户。

∙[USG] aaa∙[USG-aaa] local-user webuser password simple Admin@123∙[USG-aaa] local-user webuser service-type web[USG-aaa] local-user webuser level 3∙检查配置结果。

USG2000/5000 系列防火墙负载分担配置，V300R001SPC900版本最多支持8条等价路由，在多出口时，可以实现多条等价路由的负载分担或依据带宽实现按比例负载分担，例如当有2个出口时，一个GE和一个FE接口，希望按带宽比例做负载分担，分担比为10:1。

USG防火墙的负载分担配置十分简单，只有两条命令即可实现负载分担，在系统视图下配置负载分担，在接口视图下配置分担权重，（默认权重为1）即可实现。

192.168.1.1 vlanif1 192.168.1.2┌──eth2/0/1────────Router1──────┐PC1-------------USG2220 ========Internetgi0/0/0 └──gi0/0/1────────-Router2──────┘ 192.168.3.3192.168.2.1 192.168.2.2权重计算假设有n个出接口（n<=8），每个出接口权重依次为w1,w2,......wn；且有n条路由，则接口i（1=<i<=8）的流量分担比为wi/(w1+w2+w3+.....+wn)（1）逐包等价负载分担配置disp curinterface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0 //缺省权重为1#int vlanif 1 (包含ethernet2/0/1)ip address 192.168.1.1 255.255.255.0 //缺省权重为1#load-balance packet //逐包负载分担#ip route-static 0.0.0.0 0.0.0.0 192.168.2.2ip route-static 0.0.0.0 0.0.0.0 192.168.1.2#return[USG2220]在PC上持续发送变源IP的流量，验证结果如下：[USG2220]display interface GigabitEthernet 0/0/017:58:53 2012/06/23GigabitEthernet0/0/0 current state : UPLine protocol current state : UPGigabitEthernet0/0/0 current firewall zone : trustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.0.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 100000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 31936376 bits/s, 2776 packets/s //入流量每秒2776包Last 300 seconds output rate 24 bits/s, 0 packets/sInput: 1745827 packets, 2501973859 bytes2199 broadcasts, 1934 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:4187 packets, 4943435 bytes18 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220] disp int gi 0/0/1 //负载分担的出接口117:57:15 2012/06/23GigabitEthernet0/0/1 current state : UPLine protocol current state : UPGigabitEthernet0/0/1 current firewall zone : untrustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.2.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c9Media type is twisted pair, loopback not set, promiscuous mode not set1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 1000000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 15967824 bits/s, 1388 packets/s //出流量1388包约2766的一半Input: 20 packets, 1774 bytes6 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:699743 packets, 1006107662 bytes3 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]disp int vlan 1 //负载分担的出接口217:57:26 2012/06/23Vlanif1 current state : UPLine protocol current state : UPVlanif1 current firewall zone : dmzDescription : Huawei, USG2200 Series, Vlanif1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 192.168.1.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Physical is VLANIFLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 15962304 bits/s, 1387 packets/s //出流量1387包约2766的一半16 packets input, 1270 bytes, 0 drops720194 packets output, 1035542843 bytes, 24 drops[USG2220]disp int ethe 2/0/1 //VLAN 1 所含的物理接口17:57:37 2012/06/23Ethernet2/0/1 current state : UPLine protocol current state : UPDescription : Huawei, USG2200 Series, Ethernet2/0/1 Interface, Lan Switch PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)PVID:1Port link-type:accessVLAN ID:1Media type is twisted pair, loopback is not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 15983704 bits/s, 1389 packets/sInput: 41 packets, 6716 bytes5 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:739349 packets, 1063096373 bytes3 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]（2）逐包按比例负载分担配置disp curinterface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0route weight 10 //修改GE接口的权重为10#int vlanif 1 (包含ethernet2/0/1)ip address 192.168.1.1 255.255.255.0 //缺省权重为1#load-balance packet //逐包负载分担#ip route-static 0.0.0.0 0.0.0.0 192.168.2.2ip route-static 0.0.0.0 0.0.0.0 192.168.1.2#return[USG2220]disp int gi 0/0/018:04:19 2012/06/23GigabitEthernet0/0/0 current state : UPLine protocol current state : UPGigabitEthernet0/0/0 current firewall zone : trustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.0.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8 Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 100000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 39717672 bits/s, 3452 packets/s //入流量每秒3452包Last 300 seconds output rate 0 bits/s, 0 packets/sInput: 2863396 packets, 4108824781 bytes2297 broadcasts, 1996 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:4187 packets, 4943435 bytes18 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]display interface GigabitEthernet 0/0/1 //负载分担的出接口118:04:48 2012/06/23GigabitEthernet0/0/1 current state : UPLine protocol current state : UPGigabitEthernet0/0/1 current firewall zone : untrustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.2.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c9Media type is twisted pair, loopback not set, promiscuous mode not set1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 1000000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 35789288 bits/s, 3111 packets/s //GE接口权重为10 流量为总流量的10/11 Input: 21 packets, 1838 bytes7 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:1945061 packets, 2796873572 bytes3 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]display interface Vlanif 1 //负载分担的出接口218:04:39 2012/06/23Vlanif1 current state : UPLine protocol current state : UPVlanif1 current firewall zone : dmzDescription : Huawei, USG2200 Series, Vlanif1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 192.168.1.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Physical is VLANIFLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 3578312 bits/s, 311 packets/s //FE接口权重为1 流量只有总流量的1/1117 packets input, 1316 bytes, 0 drops1008589 packets output, 1450253475 bytes, 24 drops********************************************************************************************* （3）逐流等价负载分担配置disp curinterface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0 //缺省权重为1#int vlanif 1 (包含ethernet2/0/1)ip address 192.168.1.1 255.255.255.0 //缺省权重为1#load-balance flow hash source-ip //使用流分担方式，采用源IP哈希算法#ip route-static 0.0.0.0 0.0.0.0 192.168.2.2ip route-static 0.0.0.0 0.0.0.0 192.168.1.2#return验证结果：<USG2220>disp int gi 0/0/009:28:08 2012/06/24GigabitEthernet0/0/0 current state : UPLine protocol current state : UPGigabitEthernet0/0/0 current firewall zone : trustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.0.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 100000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 40081584 bits/s, 3484 packets/s //入口总流量每秒3484包Last 300 seconds output rate 8 bits/s, 0 packets/sInput: 5709388 packets, 8208644956 bytes451 broadcasts, 246 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:32 packets, 2338 bytes0 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants<USG2220>display interface GigabitEthernet 0/0/1 //负载分担的出接口109:28:16 2012/06/24GigabitEthernet0/0/1 current state : UPLine protocol current state : UPGigabitEthernet0/0/1 current firewall zone : untrustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.2.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c9Media type is twisted pair, loopback not set, promiscuous mode not set1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 1000000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 20119032 bits/s, 1748 packets/s //出口流量每秒1748包约3484的一半Input: 1 packets, 64 bytes0 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:2506159 packets, 3603855268 bytes1 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants<USG2220>display interface vlan 1 //负载分担的出接口209:28:37 2012/06/24Vlanif1 current state : UPLine protocol current state : UPVlanif1 current firewall zone : dmzDescription : Huawei, USG2200 Series, Vlanif1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 192.168.1.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Physical is VLANIFLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 19962864 bits/s, 1735 packets/s //出口流量每秒1735包约3484的一半2 packets input, 92 bytes, 0 drops2536472 packets output, 3646936530 bytes, 0 drops<USG2220> disp int ethe 2/0/1 //VLAN 1 所含的物理接口09:28:47 2012/06/24Ethernet2/0/1 current state : UPLine protocol current state : UPDescription : Huawei, USG2200 Series, Ethernet2/0/1 Interface, Lan Switch PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)PVID:1Port link-type:accessVLAN ID:1Media type is twisted pair, loopback is not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 19961176 bits/s, 1735 packets/sInput: 2 packets, 128 bytes2 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:2563893 packets, 3686357681 bytes0 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants********************************************************（4）逐流比例负载分担配置disp curinterface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0route weight 10 //权重为10#int vlanif 1 (包含ethernet2/0/1)ip address 192.168.1.1 255.255.255.0 //缺省权重为1#load-balance flow hash source-ip //使用流分担方式，采用源IP哈希算法#ip route-static 0.0.0.0 0.0.0.0 192.168.2.2ip route-static 0.0.0.0 0.0.0.0 192.168.1.2#[USG2220][USG2220]disp int gi 0/0/009:55:35 2012/06/24GigabitEthernet0/0/0 current state : UPLine protocol current state : UPGigabitEthernet0/0/0 current firewall zone : trustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.0.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 100000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 38260832 bits/s, 3326 packets/s //入流量每秒3326包Last 300 seconds output rate 8 bits/s, 0 packets/sInput: 11302814 packets, 16250808455 bytes804 broadcasts, 422 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:67 packets, 5158 bytes0 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]display interface GigabitEthernet 0/0/1 //负载分担的出接口109:55:42 2012/06/24GigabitEthernet0/0/1 current state : UPLine protocol current state : UPGigabitEthernet0/0/1 current firewall zone : untrustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.2.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c9Media type is twisted pair, loopback not set, promiscuous mode not set1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 1000000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 34809656 bits/s, 3026 packets/s //GE口出流量3026包约为3326包的10/11 Input: 3 packets, 192 bytes0 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:6535204 packets, 9397375195 bytes3 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]disp int vlan 1 //负载分担的出接口209:56:05 2012/06/24Vlanif1 current state : UPLine protocol current state : UPVlanif1 current firewall zone : dmzDescription : Huawei, USG2200 Series, Vlanif1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 192.168.1.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Physical is VLANIFLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 3451664 bits/s, 300 packets/s3 packets input, 138 bytes, 0 drops4068110 packets output, 5849251402 bytes, 0 drops[USG2220]display interface ethe 2/0/1 //VLAN 1 所含的物理接口09:55:54 2012/06/24Ethernet2/0/1 current state : UPLine protocol current state : UPDescription : Huawei, USG2200 Series, Ethernet2/0/1 Interface, Lan Switch PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)PVID:1Port link-type:accessVLAN ID:1Media type is twisted pair, loopback is not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 3450824 bits/s, 300 packets/s //FE口出流量300包约为3326包的1/11 Input: 3 packets, 192 bytes3 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:4073735 packets, 5857327222 bytes0 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants****************************************************注意以下几个个问题：1）分担比例不均匀，多出现在逐流分担情况，此时可调整哈希算法，由于流量统计需要5分钟才能统计准确，因此观察时不能少于5分钟。

USG2000基本配置<USG2130BSR>lan c改变当前语言环境，确认切换？ [Y/N]y改变到中文模式。

<USG2130BSR>sys一.配置用户登录：[USG2130BSR]user-int vty 0 406-05-2010 [USG2130BSR-ui-vty0-4]user privilege level 3[USG2130BSR-ui-vty0-4]authentication-mode password[USG2130BSR-ui-vty0-4]set authentication password simple lds123 [USG2130BSR-ui-vty0-4]q二.配置限速（对vlan3的限速是7B网速）1配置vlan3[USG2130BSR] vlan 3[USG2130BSR-vlan3]q[USG2130BSR]int e1/0/1[USG2130BSR-Ethernet1/0/1]port link-type access[USG2130BSR-Ethernet1/0/1]port access vlan 3[USG2130BSR-Ethernet1/0/1]q[USG2130BSR]int e1/0/2[USG2130BSR-Ethernet1/0/2]port link-type access[USG2130BSR-Ethernet1/0/2]port access vlan 3[USG2130BSR-Ethernet1/0/2]q[USG2130BSR]int vlan 3[USG2130BSR-Vlanif3]ip add 192.168.0.1 255.255.255.0[USG2130BSR-Vlanif3]arp-proxy enableUSG2130BSR-Vlanif3]q[USG2130BSR]firewall zone trust[USG2130BSR-zone-trust]add int vlanif 3[USG2130BSR-zone-trust]qUSG2130BSR]ip route[USG2130BSR]ip route-static 192.168.0.0 255.255.255.0 vlanif 3 2 配置限速[USG2130BSR]acl 3002[USG2130BSR-acl-adv-3002]if-match acl 3002[USG2130BSR-acl-adv-3002]rule permit tcp[USG2130BSR-acl-adv-3002]q[USG2130BSR]traffic classifier class2[USG2130BSR-classifier-class2]if-match acl 3002[USG2130BSR-classifier-class2]q[USG2130BSR]traffic behavior behavior2[USG2130BSR-behavior-behavior2]car cir 14000000 cbs 28000000 ebs 0[USG2130BSR-behavior-behavior2]q[USG2130BSR]qos policy my1policy[USG2130BSR-qospolicy-my1policy]classifier class2 behavior behavior2[USG2130BSR-qospolicy-my1policy]q[USG2130BSR]int vlanif 3[USG2130BSR-Vlanif3]qos apply policy my1policy outbound[USG2130BSR-Vlanif3]q三.mac地址绑定[USG2130BSR]firewall mac-binding enable[USG2130BSR]firewall mac-binding 192.168.1.21 0021-97EB-8B77（mac地址地址是4位一体，共三体，用—连接）（%2010/6/5 11:51:33 USG2130BSR SEC/4/BIND: (vpn: public ) Mac地址<0021-97eb-8b77> 和IP地址<192.168.1.21>绑定）四.保存配置<USG2130BSR>save将把当前的配置保存到存储设备中.你确信吗?[Y/N]y将运行时的配置写入存储设备中........五.上网配置配置接口Ethernet 0/0/0的IP地址，并加入Untrust区域。

通过DHCP接入设备作为Client，通过DHCP协议向Server（运营商设备）申请IP地址，实现接入Internet。

组网需求如图1所示，USG作为出口网关，为局域网内PC提供接入Internet出口。

公司网络规划如下：∙局域网内所有PC都部署在10.1.1.0/24网段，均通过DHCP动态获得IP地址。

∙下行链路：使用LAN以太网接口，通过交换机连接公司内的所有PC。

∙上行链路：使用WAN以太网接口接入Internet。

同时，向运营商申请Internet接入服务。

运营商提供的Internet接入服务使用DHCP协议。

根据以上情况，需要将USG作为DHCP Client，向DHCP Server（运营商设备）获得IP地址、DNS 地址后，实现接入Internet。

图1 DHCP Client接入Internet组网图配置思路1.配置下行链路。

在Vlanif 1上开启DHCP Server服务，为PC动态分配IP地址，指定PC获得的网关和DNS服务器地址均为Vlanif 1接口。

PC上网通常需要解析域名，这就需要为其指定DNS服务器地址。

本例中采用USG作为DNS中继设备。

2.配置上行链路。

在GigabitEthernet 0/0/2上开启DHCP Client。

3.将接口加入到安全区域，并在域间配置NAT和包过滤。

将连接公司局域网的接口加入到高安全等级的区域（Trust），将连接Internet的上行接口加入到低安全等级的区域（Untrust）。

局域网内通常使用私网地址，访问Internet时，必须配置NAT。

本例中，因为上行接口通过拨号获得IP地址，每次拨号获得的IP地址可能不一样，所以采用Easy IP。

4.配置DNS代理。

指定DNS服务器地址为GigabitEthernet 0/0/2接口，从运营商处获得。

说明：设备从DHCP Server处获得IP地址后，通常DHCP Server也会发给DHCP Client缺省路由。

2009年9月HUAWEI TECHNOLOGIES CO., LTD.内部公开Secoway USG2000系列统一安全网关主打胶片目录中小企业所面临的安全问题中小企业面临的网络安全威胁终端用户无法下载蠕虫/木马中小型企业内网交换机数据服务器服务器用户终端网络边界缺乏安全防护，无法阻止入侵和攻击远程用户如何安全与机构内通讯机构内部没有安全域划分，无法阻止威胁扩散机构之间如何实现数据安全传输业务系统未作保护，导致数据失窃/被DDos 攻击/网页被纂改越来越多的威胁来自于网络内部大部分邮件都是垃圾P2P 下载占用带宽，网络出口堵塞员工电脑成为“肉鸡”，向外发DDoS攻击恶意攻击，破坏数据服务器遭受SQL 注入攻击，主页被篡改企业商业秘密随邮件泄漏访问反动、色情等不健康网站上班时间聊QQ/MSN ，工作效率低下上班时间玩网络游戏上网看电影，看新闻，炒股…USG 2000系列全面保护中小企业的安全•支持L2TP/GRE/IPSec/SSL/MPLS 完整VPN 解决方案•支持特征库检测，特征库1000+•支持5大协议的协议检查•特征库在线自动升级•SYN Flood •UDP Flood •ICMP Flood •DNS Flood •SMURF •CC •Land •Fraggle •WinNuke •ICMP 重定向•支持RBL 实时黑名单•QQ/MSN 控制•BT/迅雷/电驴/pplive 阻断和限流•游戏、股票软件控制•特征库在线自动升级•支持路由/透明/混合模式•支持ASPF/NAT/QoS/ACL•支持3G 无线上行•支持WiFi 无线下行Secoway 全系列安全网关USG3030/40USG5320/30/50/60USG9310/20中端千兆系列安全网关•10G-80G 性能•海量VPN 接入•分布式架构•NP 加多核处理器•2G-8G 性能•高密度接口•多核处理器•最佳DDoS 防护•1G-2G 性能•高密度接口•P2P 流量控制•E1/T1接口支持•UTM(IPS/反垃圾邮件/P2P阻断和限流/IM 控制)nUSG2000集防火墙+UTM 于一体，全面保护中小企业的网络安全高端万兆系列安全网关USG2220USG2210USG2230E1/CE1/SA/ADSL2+/IPSEC/L2TP/SSL VPNUSG2000系列全面保护中小企业的安全强大的攻击防范能力业务系统正常访问流量中小企业USG2000僵尸网络正常网络用户僵尸网络攻击流量僵尸网络僵尸网络僵尸网络UDP FloodSYN FloodICMP FloodCC 攻击SMURF…n 能防范多种DoS 和DDoS 攻击，可识别SYN Flood, UDP Flood, ICMP Flood 等多种攻击类型，能防御高达10万包/秒的DDoS 攻击动态黑名单主动防御技术支持智能动态黑名单主动防御技术，通过对报文的行为特征检测，可以实现：备USG2000与Secospace联动提高网络安全性分支机构Agent AgentAgentVPN 访问Agent SACG Agent内网认证后 域l l l lAgent：客户端代理 SACG：安全接入控制网关(防火墙) SPS: SRS: 安全策略服务器 安全修复服务器域管理 服务器SRS SPS防病毒 服务器 补丁服 务器安全管理员 安全审计员认证前域HUAWEI TECHNOLOGIES CO., LTD. PDF 文件使用 "pdfFactory Pro" 试用版本创建 Page 11完整的VPN方案保护数据安全传输机构总部内网Radius & CA性能 卓越 功能 丰富 方案 灵活 安全 可靠 维护 便捷–领先的VPN加密能力和VPN隧道数VPN ManagerUSG5000USG5000 L2TP/SSL VPN–全面VPN功能，支持SSL、IPSEC、MPLS、 GRE等VPN技术 –支持L2TP/IPSEC VPN多实例GRE/IPSEC/ MPLS VPNINTERNET–产品系列丰富，最佳性价比选择 –支持隧道数在线扩展，轻松扩展网络容量分支机构USG2000分支机构USG2000–专业硬件架构，支持热备高可靠特性电信级可 靠性 –支持CA安全特性、移动用户接入–支持VPN Manager集中业务管理 –系列产品支持CLI、WebUI、SNMPHUAWEI TECHNOLOGIES CO., LTD. PDF 文件使用 "pdfFactory Pro" 试用版本创建 Page 12USG2000系列 保护中小企业内网的安全HUAWEI TECHNOLOGIES CO., LTD. PDF 文件使用 "pdfFactory Pro" 试用版本创建 Page 13IPS-防御来自网络层和应用层的攻击•支持<特征签名＋协议异常检测>抵御来自网络和应用层的攻击 •支持特征库全球在线自动升级 •支持HTTP, SMTP, POP3, IMAP4, FTP等常用协议识别 •支持用户自定义规则蠕虫木马 DDoSInternet病毒间谍软件HUAWEI TECHNOLOGIES CO., LTD. PDF 文件使用 "pdfFactory Pro" 试用版本创建 Page 14Anti-Spam-过滤垃圾邮件•支持第三方维护的垃圾邮件发送者黑白名单（RBL）eInternete ! ee !e eHUAWEI TECHNOLOGIES CO., LTD. PDF 文件使用 "pdfFactory Pro" 试用版本创建 Page 15上网行为管理改善工作效率•有效阻断IM软件（QQ/MSN），控制IM病毒传播； •支持电驴/迅雷/BT等P2P软件阻断与限流Web规则库升级InternetHUAWEI TECHNOLOGIES CO., LTD. PDF 文件使用 "pdfFactory Pro" 试用版本创建 Page 16功能强大的P2P阻断和限流功能阻断 限制流量× × √ √ √ √员工老实上班 老板安心喝茶QQ MSN 电驴 BT Bitcomet(比特精灵) 迅雷√ √ √ √ √ √支持协议种类非常丰富，USG2000系列P2P支持的协议有BT. PPLIVE. Thunder. eDeM. FEIDIAN. QQlive. CCIPTV. GNUTELLA. Kazaa. PPSTREAM. COOLSTREAMING. DC. KUGOO. ORINNOAVBT. PPGou. POCO. BaiBao. Maze. TVAnts. UUSee. Vagaa. BBSEE. QQDownload. MYSEE. Filetopia. Soulseek. Sopcast. TVU. BearShare. KOOWO. FENGXING. PPFILM. DOPOOL. Flashget. PP365. BAIDUXIABA. QINGYL. FS2YOU. TVKOO。

信息安全技术之防火墙实验报告目录一、实验概述 (2)1. 实验目的 (2)2. 实验背景 (3)3. 实验要求 (4)二、实验环境搭建 (5)1. 实验硬件环境 (6)1.1 设备配置与连接 (6)1.2 设备选型及原因 (7)2. 实验软件环境 (8)2.1 系统软件安装与配置 (9)2.2 防火墙软件安装与配置 (10)三、防火墙配置与实现 (12)1. 防火墙策略制定 (12)1.1 访问控制策略 (13)1.2 数据加密策略 (15)1.3 安全审计策略 (16)2. 防火墙具体配置步骤 (17)2.1 配置前准备工作 (18)2.2 配置过程详述 (19)2.3 配置结果验证 (21)四、实验结果与分析 (22)1. 实验结果展示 (23)1.1 防火墙运行日志分析 (24)1.2 网络安全状况分析 (25)2. 结果分析 (27)2.1 防火墙效果分析 (28)2.2 网络安全风险评估与应对方案讨论 (29)五、实验总结与展望 (30)一、实验概述随着信息技术的迅猛发展，网络安全问题日益凸显其重要性。

作为保障网络安全的重要手段之一，防火墙技术广泛应用于各类网络环境中，用以保护内部网络免受外部网络的攻击和威胁。

本次实验旨在通过搭建实验环境，深入理解和掌握防火墙的基本原理、配置方法以及其在实际应用中的重要作用。

在本次实验中，我们将模拟一个企业内部网络环境，并设置相应的防火墙设备。

通过搭建这一实验环境，我们将能够模拟真实的网络安全场景，从而更好地理解防火墙在保障网络安全方面的作用和价值。

通过实验操作，我们将更加深入地掌握防火墙的基本配置方法和步骤，为今后的网络安全工作打下坚实的基础。

通过本次实验，我们还将学习到如何针对不同的网络威胁和攻击类型，合理配置和使用防火墙，以保障网络系统的安全性和稳定性。

这对于提高我们的网络安全意识和技能水平具有重要意义。

1. 实验目的本次实验旨在通过实际操作，深入理解防火墙的工作原理、配置方法及其在网络安全防护中的关键作用。

第一部分华为防火墙基本初始化LAB1 子接口初始化一、实验拓扑二、基本配置SW:[SW]vlan 2[SW-vlan2]description Untrust[SW-vlan2]vlan 3[SW-vlan3]description Trust[SW-vlan3]vlan 4[SW-vlan4]description DMZ[SW]int g0/0/9[SW-GigabitEthernet0/0/8]port link-type access[SW-GigabitEthernet0/0/8]port default vlan 3[SW-GigabitEthernet0/0/8]int g0/0/3[SW-GigabitEthernet0/0/3]port link-type access[SW-GigabitEthernet0/0/3]port default vlan 3[SW]int g0/0/9[SW-GigabitEthernet0/0/9]port link-type trunk[SW-GigabitEthernet0/0/9]port trunk allow-pass vlan 1 2 4 [SW]int g0/0/1[SW-GigabitEthernet0/0/1]port link-type access [SW-GigabitEthernet0/0/1]port default vlan 2[SW-GigabitEthernet0/0/1]int g0/0/2[SW-GigabitEthernet0/0/2]port link-type access[SW-GigabitEthernet0/0/2]port default vlan 4三、防火墙配置system-viewEnter system view, return user view with Ctrl+Z.[SRG][SRG]sysname HWFW[HWFW]int g0/0/0[HWFW-GigabitEthernet0/0/0]alias Trust ===配置接口描述[HWFW-GigabitEthernet0/0/0]ip add 192.168.1.10 24 [HWFW]int g0/0/1.2[HWFW-GigabitEthernet0/0/1.2]vlan-type dot1q 2 ====封装VLAN [HWFW-GigabitEthernet0/0/1.2]alias Untrust[HWFW-GigabitEthernet0/0/1.2]ip add 202.100.1.10 24[HWFW-GigabitEthernet0/0/1.2]interface GigabitEthernet0/0/1.4 [HWFW-GigabitEthernet0/0/1.4]alias DMZ[HWFW-GigabitEthernet0/0/1.4]vlan-type dot1q 4[HWFW-GigabitEthernet0/0/1.4]ip add 172.16.1.10 24测试：[HWFW]ping -c 2 192.168.1.119:26:33 2014/05/26PING 192.168.1.1: 56 data bytes, press CTRL_C to breakReply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=80 msReply from 192.168.1.1: bytes=56 Sequence=2 ttl=255 time=580 ms [HWFW]ping -c 2 202.100.1.119:26:55 2014/05/26PING 202.100.1.1: 56 data bytes, press CTRL_C to breakRequest time outRequest time out[HWFW]ping -c 2 172.16.1.119:27:14 2014/05/26PING 172.16.1.1: 56 data bytes, press CTRL_C to breakRequest time outRequest time out为什么直连不通？因为默认不同zone之间流量是不允许访问的，可以通过以下命令查看：[HWFW]display current-configurationfirewall zone trustset priority 85add interface GigabitEthernet0/0/0为了测试，可以将防火墙其它两个两口放入相同的zone[HWFW] firewall zone trust[HWFW-zone-trust]add interface g0/0/1.2[HWFW-zone-trust]add interface GigabitEthernet0/0/1.4[HWFW]ping -c 2 202.100.1.119:32:39 2014/05/26PING 202.100.1.1: 56 data bytes, press CTRL_C to breakReply from 202.100.1.1: bytes=56 Sequence=1 ttl=255 time=70 ms Reply from 202.100.1.1: bytes=56 Sequence=2 ttl=255 time=700 ms --- 202.100.1.1 ping statistics ---2 packet(s) transmitted2 packet(s) received0.00% packet lossround-trip min/avg/max = 70/385/700 ms[HWFW]ping -c 2 172.16.1.119:32:45 2014/05/26PING 172.16.1.1: 56 data bytes, press CTRL_C to breakReply from 172.16.1.1: bytes=56 Sequence=1 ttl=255 time=70 ms Reply from 172.16.1.1: bytes=56 Sequence=2 ttl=255 time=560 ms --- 172.16.1.1 ping statistics ---2 packet(s) transmitted2 packet(s) received0.00% packet lossround-trip min/avg/max = 70/315/560 mssave ===保存配置19:37:09 2014/05/26The current configuration will be written to the device.Are you sure to continue?[Y/N]y2014-05-26 19:37:11 HWFW �M/4/SAVE(l): When deciding whether to save configuration to the device, the user chose Y.Do you want to synchronically save the configuration to the startupsaved-configuration file on peer device?[Y/N]:yNow saving the current configuration to the device..Info:The current configuration was saved to the device successfully.reset saved-configuration ?reset saved-configuration ====清空配置19:37:26 2014/05/26The action will delete the saved configuration in thedevice.The configuration will be erased to reconfigure.Are you sure?[Y/N]yNow clearing the configuration in the device.2014-05-26 19:37:28 HWFW �M/4/RST_CFG(l): When deciding whether to reset the saved configuration, the user chose Y.Error:The config file does not exist!LAB2:三接口初始化一、基本配置[SW]vlan batch 2 to 4port link-type accessport default vlan 2interface GigabitEthernet0/0/8port link-type accessport default vlan 2interface GigabitEthernet0/0/3port link-type accessport default vlan 3interface GigabitEthernet0/0/10port link-type accessport default vlan 3interface GigabitEthernet0/0/2port link-type accessport default vlan 4interface GigabitEthernet0/0/9port link-type accessport default vlan 4二、防火墙配置[HWFW]undo interface g0/0/1.2 ===删除子接口[HWFW]undo interface g0/0/1.4ip address 202.100.1.10 255.255.255.0interface GigabitEthernet0/0/1ip address 172.16.1.10 255.255.255.0interface GigabitEthernet0/0/2ip address 192.168.1.10 255.255.255.0测试：[HWFW]ping -c 1 202.100.1.120:01:23 2014/05/26PING 202.100.1.1: 56 data bytes, press CTRL_C to breakReply from 202.100.1.1: bytes=56 Sequence=1 ttl=255 time=950 ms [HWFW]ping -c 1 172.16.1.120:01:59 2014/05/26PING 172.16.1.1: 56 data bytes, press CTRL_C to breakReply from 172.16.1.1: bytes=56 Sequence=1 ttl=255 time=180 ms [HWFW]ping -c 1 192.168.1.120:02:27 2014/05/26PING 192.168.1.1: 56 data bytes, press CTRL_C to breakReply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=780 ms安全区域概述：安全区域（Security Zone），或者简称为区域（Zone），是一个安全概念，大部分的安全策略都基于安全区域实施。

华为USG防火墙配置手册1. 简介本手册旨在指导用户进行华为USG防火墙的配置和使用。

华为USG防火墙是一款功能强大的网络安全设备，可用于保护企业网络免受网络攻击和安全威胁。

2. 配置步骤2.1 硬件连接在配置USG防火墙之前，请确保正确连接好相关硬件设备，包括USG防火墙、路由器和服务器等。

2.2 登录USG防火墙使用SSH客户端等工具，输入USG防火墙的IP地址和管理员账号密码进行登录。

2.3 配置基本参数登录USG防火墙后，根据实际需求配置以下基本参数：- 设置管理员密码- 配置IP地址和子网掩码- 设置DNS服务器地址2.4 配置网络地址转换（NAT）根据实际网络环境，配置网络地址转换（NAT）功能。

NAT 功能可以将内部IP地址转换为合法的公网IP地址，实现内网和外网的通信。

2.5 配置访问控制策略配置访问控制策略可以限制网络流量的访问权限，确保只有授权的用户或设备可以访问特定网络资源。

2.6 配置安全服务华为USG防火墙提供多种安全服务功能，例如防病毒、入侵检测和内容过滤等。

根据实际需求，配置相应的安全服务功能。

2.7 配置远程管理和监控配置远程管理和监控功能，可以通过远程管理工具对USG防火墙进行实时监控和管理。

3. 常见问题解答3.1 如何查看防火墙日志？登录USG防火墙的Web界面，找到"日志"选项，可以查看防火墙的各种日志信息，包括安全事件、连接记录等。

3.2 如何升级USG防火墙固件版本？4. 其他注意事项- 在配置USG防火墙之前，请先备份原有的配置文件，以防配置错误或损坏设备。

- 请勿将USG防火墙暴露在不安全的网络环境中，以免受到未授权的访问和攻击。

以上是华为USG防火墙的配置手册，希望能帮助到您。

如有其他问题，请随时联系我们的技术支持。

华为USG防火墙基本配置-电脑资料学习目的掌握登陆USG防火墙的方法掌握修改防火墙设备名的方法掌握对防火墙的时间、时区进行修改的方法掌握修改防火墙登陆标语信息的方法掌握修改防火墙登陆密码的方法掌握查看、保存和删除防火墙配置的方法掌握在防火墙上配置vlan、地址接口、测试基本连通性的方法拓扑图学习任务步骤一.登陆缺省配置的防火墙并修改防火墙的名称防火墙和路由器一样，有一个Console接口，。

使用console线缆将console接口和计算机的com口连接在一块。

使用windows操作系统自带的超级终端软件，即可连接到防火墙。

防火墙的缺省配置中，包括了用户名和密码。

其中用户名为admin、密码Admin@123，所以登录时需要输入用户名和密码信息，输入时注意区分大小写。

修改防火墙的名称的方法与修改路由器名称的方法一致。

另外需要注意的是，由于防火墙和路由器同样使用了VRP平台操作系统，所以在命令级别、命令帮助等，与路由器上相应操作相同。

sys13:47:28 2014/07/04Enter system view, return user view withCtrl+Z.[SRG]sysname FW13:47:32 2014/07/04步骤二.修改防火墙的时间和时区信息默认情况下防火墙没有定义时区，系统保存的时间和实际时间可能不符。

使用时应该根据实际的情况定义时间和时区信息。

实验中我们将时区定义到东八区，并定义标准时间。

clock timezone 1 add 08:00:0013:50:57 2014/07/04dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00clock datetime 13:53:442014/07/0421:53:29 2014/07/03dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00步骤三。

通过Web方式登录设备通过配置使终端通过Web方式登录设备，实现对设备的配置和管理。

操作步骤1.启动Web管理功能：a.执行命令system-view，进入系统视图。

b.执行命令web-manager { security enable port port-number | enable [ portport-number ] }，启动Web管理功能。

Web管理功能启动后，其后续配置才有效。

Web浏览器和Web服务器之间的交互报文为HTTP报文，默认端口号是80，如果选择port port-number，则Web服务器的监听端口修改为port-number。

2.配置Web用户：a.执行命令system-view，进入系统视图。

b.执行命令aaa，进入AAA视图。

c.执行命令local-user user-name password { simple | cipher } password，创建AAA本地用户。

d.执行命令local-user user-name service-type web，配置用户的类型为web。

e.执行命令local-user user-name level level，配置用户的级别。

任务示例∙配置USG的IP地址。

∙<USG> system-view∙[USG] interface GigabitEthernet 0/0/0∙[USG-GigabitEthernet0/0/0] ip address 10.1.1.1 24∙[USG-GigabitEthernet0/0/0] quit∙配置PC的IP地址（略）。

∙启动Web管理功能。

[USG] web-manager enable∙配置Web用户。

∙[USG] aaa∙[USG-aaa] local-user webuser password simple Admin@123∙[USG-aaa] local-user webuser service-type web[USG-aaa] local-user webuser level 3∙检查配置结果。

华赛Secospace USG2000系列统一安全网关<产品概述>华赛Secospace USG2000系列统一安全网关（下称USG2000）是华赛公司针对中小企业安全业务需求，推出的新一代高性能中低端统一安全网关，USG2000系列采用华赛VRP软件平台，集防火墙、防DDOS、入侵保护（IPS）、反垃圾邮件、P2P阻断和限流、IM软件控制、无线局域网WiFi（802.11a/b/g/n混合模式）、3G接入、L2TP/IPSEC/SSL/MPLS VPN等特性于一体,能为中小企业、大型企业分支机构网络、以及网吧出口网关提供高性能的安全防护，帮助企业提升工作效率，是中等及中小型企业网络的理想安全防护设备！<产品系列><产品特点>中低端统一安全网关的集大成者---一机多能，提高效率，节省投资USG2000系列集防火墙、防DDOS、入侵保护（IPS）、反垃圾邮件、P2P软件阻断和限流、IM软件控制、L2TP/IPSEC/SSL/MPLS VPN于一体，真正把主流安全功能集成在一台设备上，有效帮助用户提高安全防护能力，提高办公效率，节省投资。

领先的嵌入式多核架构---高性能的用户体验USG2000采用领先的嵌入式多核架构，性能远远领先于其他普通架构，确保IPS/反垃圾邮件/P2P阻断与限流/NAT/ASPF/防DDoS/VPN等多种业务高速并行处理，特别是为UTM功能的流畅使用提供了性能保证。

完整的VPN解决方案---适应多种业务加密传输要求USG2000系列为用户提供了GRE、L2TP、IPSec、SSL、MPLS等多种VPN 组网技术，同时，USG2000系列内置了高性能硬件加解密芯片，使产品加密性能在同档次产品中处于领先位置；USG2000系列支持DES、3DES、AES等多种加密算法，能够为用户提供高强度的加密传输保障，同时，USG2200支持IKEv2协议，强化了用户认证、报文认证、NAT穿越等功能，消除了中间人攻击和拒绝服务攻击隐患。

以太网链路接入如果您购买了宽带上网服务，从运营商处获得了一个固定IP，并希望利用USG通过网线接入Internet，请阅读此节。

组网需求某企业（或家庭）从运营商处购买了宽带上网服务，获得的固定IP位置为202.98.215.1/30，网关的IP位置为202.98.215.2/30，DNS服务器的IP位置为202.106.0.20/24。

企业（或家庭）的用户希望利用USG通过以太网链路接入Internet。

图1 以太网链路接入配置思路1.如图1所示，用网线连接USG上的三层以太网接口和运营商的入户宽带接口。

用网线连接USG上的二层以太网接口和交换机（交换机连接企业或家庭的所有电脑）。

2.接入Internet首先要获取IP位置，因此需要在GigabitEthernet 6/0/2接口上配置从运营商获取的固定IP位置。

3.为了能够组建企业内部局域网，局域网内的电脑需要从USG获取IP位置和DNS服务器的IP位置，因此需要将USG的二层以太网接口加入VLAN，并在Vlanif上配置IP位置和DHCP功能。

4.为了局域网用户和Internet间的流量通过，需要将Vlanif和GigabitEthernet 6/0/2接口加入相应的安全区域，并配置域间包过滤规则。

5.为了确保局域网用户访问Internet时路由可达，需要配置下一跳为202.98.215.2的缺省路由。

6.为了实现多个局域网用户能够同时访问Internet，需要配置基于接口的NAT。

操作步骤1.配置三层以太网接口的IP位置，使设备能够接入Internet。

IP位置由企业（或家庭）从运营商处获取。

2.<USG> system-view3.[USG] interface GigabitEthernet 6/0/2[USG-GigabitEthernet6/0/2] ip address 202.98.215.1 255.255.255.2524.配置Vlanif（下行接口），通过DHCP给局域网的电脑分配IP位置和DNS位置。

内网:配置GigabitEthernet 0/0/1加入Trust区域［USG5300］firewall zone trust[USG5300-zone—untrust］ add interface GigabitEthernet 0/0/1外网：配置GigabitEthernet 0/0/2加入Untrust区域[USG5300］firewall zone untrust［USG5300—zone—untrust］ add interface GigabitEthernet 0/0/2DMZ：［USG5300］firewall zone dmz[USG5300—zone—untrust] add interface GigabitEthernet 0/0/3［USG5300-zone—untrust］quit1。

4.1 Trust和Untrust域间：允许内网用户访问公网policy 1：允许源地址为10.10.10。

0/24的网段的报文通过［USG5300］policy interzone trust untrust outbound［USG5300—policy—interzone-trust—untrust-outbound］ policy 1［USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10。

10。

10。

0 0。

0。

0.255［USG5300-policy-interzone-trust—untrust-outbound-1］action permit[USG5300—policy—interzone-trust-untrust—outbound-1] quit如果是允许所有的内网地址上公网可以用以下命令：[USG2100]firewall packet-filter default permit interzone trust untrust direction outbound //必须1.4。

华为赛门铁克USG2000系列防火墙/UTM产品USG2000系列产品是华为公司面向中小型企业/分支机构设计的新一代防火墙/UTM （United Threat Management，统一威胁管理）设备。

USG2000基于业界领先的软、硬件体系架构，基于用户的安全策略融合了传统防火墙、VPN、入侵检测、防病毒、URL 过滤、应用程序控制、邮件过滤等行业领先的专业安全技术，可精细化管理1200余种网络应用，全面支持IPv6协议，为用户提供强大、可扩展、持续的安全能力。

在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。

华为安全金牌代理，北京开元辉煌科技有限公司，袁存杰。

USG2000系列产品包括：USG2130，USG2160，USG2210，USG2210E，USG2220，USG2220E，USG2230，USG2230E，USG2250，USG2250E等十个型号产品。

均为模块化设备，提供多个扩展槽，支持多种I/O模块选配。

专业安全，全面防护完善的防火墙功能：提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表（ACL）和攻击防范等基本功能，还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。

能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、DNS flood、地址扫描和端口扫描等多种恶意攻击。

华为安全金牌代理，北京开元辉煌科技有限公司，袁存杰。

实时的病毒防护：采用赛门铁克公司国际一流的防病毒技术，病毒检出率达到99%，从而迅速、准确查杀网络流量中的病毒等恶意代码。

精准的入侵防御：基于赛门铁克基于特征的入侵检测技术，实现零误报，精确识别并实时防范各种网络攻击和滥用行为。

丰富的VPN特性：支持IPSec VPN、L2TP VPN、SSL VPN、MPLS VPN及GRE VPN 等远程安全接入方式，同时CPU集成硬件加密引擎，提供超群的VPN处理性能。

Secoway USG 2000系列产品华为Secoway USG 2000系列统一安全网关是华为公司针对中小企业安全业务需求，推出的新一代多功能安全网关，可广泛应用于中小企业、大型企业分支机构、SOHO办公类用户、以及网吧出口网关等，华为Secoway USG 2000系列统一安全网关采用模块化设计，集安全、路由、交换、无线（WiFi、3G）等特性于一体，接口类型丰富，性能领先，能为中小企业、大型企业分支机构、SOHO办公类用户、以及网吧出口网关提供安全防护，并能提供集成的网络出口安全与互联解决方案，降低企业总所有成本TCO，提升企业的效率，是中等及中小型企业网络的理想安全防护设备！产品系列Secoway USG2110：采用固定接口形态，提供百兆位的性能和方便易用的可管理性，带1个固定的Untrust 10/100接口和4个固定的Trust 10/100接口。

Secoway USG2120 & 2130：是统一集成的防火墙/VPN/安全路由器/安全交换机系统，提供百兆位的性能、模块化架构、WIFI接入和丰富的路由器、交换机功能，带1个固定的Untrust 10/100接口和8个固定的Trust 10/100接口，并附加1个MIC扩展插槽，可灵活扩展广域网或局域网接口。

USG2130还额外支持一个Express接口，专门用来扩展3G接口。

Secoway USG2210 & 2220：是统一集成的防火墙/VPN/安全路由器/安全交换机系统，提供数百兆位的性能、模块化架构和丰富的路由器、交换机功能，带2个固定的10/100/1000接口。

USG2210附加1个FIC 扩展插槽和4个MIC扩展插槽，USG2220附加2个FIC扩展插槽和4个MIC扩展插槽，可灵活扩展广域网或局域网接口，并可以扩展支持WIFI接入。

产品特性业内首款集路由，交换，安全，无线（WiFi、3G）于一体的安全网关Secoway USG 2000系列集路由、交换、安全、无线（WiFi、3G）功能于一体，1台Secoway USG 2000系列 = 数台传统路由器+数台传统交换机+数台传统防火墙，能有效帮助企业提高效率、降低维护复杂度，降低企业总成本TCO。