华为USG2000防火墙配置
华为防火墙配置教程
华为防火墙配置教程华为防火墙是一种网络安全设备,用于帮助组织保护其网络免受各种网络威胁的攻击。
配置一个华为防火墙需要一些基本的步骤和设置。
下面是一个简单的华为防火墙配置教程,包含了一些基本的设置和注意事项。
1.连接防火墙:首先,将防火墙与网络连接。
使用合适的网络线缆将防火墙的WAN口连接到外部网络,将LAN口连接到内部网络。
2.配置管理接口:防火墙有一个管理接口,用于配置和管理设备。
通过连接到工作站,您可以使用web页面或命令行界面来配置防火墙。
您可以通过登录防火墙的管理接口来进行进一步的配置。
3.添加网络对象:在配置防火墙之前,您需要添加一些网络对象。
这些网络对象可以是主机、子网、IP地址范围或其他自定义对象。
这些网络对象将帮助您指定特定的网络流量,并根据自定义的规则进行处理。
4.创建安全策略:安全策略是防火墙的核心配置之一。
安全策略定义了允许或拒绝特定类型的网络流量通过防火墙的规则。
通过配置源和目标地址、端口和协议,您可以控制网络流量并确保只有授权用户可以访问特定的服务。
5.配置NAT:网络地址转换(NAT)用于在网络之间映射IP 地址。
通过配置NAT规则,您可以将内部IP地址映射到公共IP地址,从而使内部网络与外部网络进行通信。
6.配置VPN:如果您需要在不同地点或组织之间建立安全的连接,您可以配置虚拟专用网络(VPN)。
使用VPN,您可以通过互联网建立加密通道,以确保数据的安全性。
7.启用日志和监控:防火墙通常提供日志和监控功能,用于记录网络流量并检测异常活动。
通过启用日志和监控功能,您可以实时跟踪网络流量、检测入侵行为并及时采取措施。
8.定期更新:网络安全威胁不断演变,所以定期更新防火墙的固件和软件版本非常重要。
华为通常会发布补丁和更新,以修复已知的安全漏洞和提供新的功能。
总结:这个华为防火墙配置教程提供了一些基本的步骤和设置,以帮助您开始配置防火墙。
在实际配置防火墙时,可能还需要考虑其他方面,如安全策略的优化和防火墙的高可用性。
Secoway-USG-2000系列产品
Secoway USG 2000系列产品华为Secoway USG 2000系列统一安全网关是华为公司针对中小企业安全业务需求,推出的新一代多功能安全网关,可广泛应用于中小企业、大型企业分支机构、SOHO办公类用户、以及网吧出口网关等,华为Secoway USG 2000系列统一安全网关采用模块化设计,集安全、路由、交换、无线(WiFi、3G)等特性于一体,接口类型丰富,性能领先,能为中小企业、大型企业分支机构、SOHO办公类用户、以及网吧出口网关提供安全防护,并能提供集成的网络出口安全与互联解决方案,降低企业总所有成本TCO,提升企业的效率,是中等及中小型企业网络的理想安全防护设备!产品系列Secoway USG2110:采用固定接口形态,提供百兆位的性能和方便易用的可管理性,带1个固定的Untrust 10/100接口和4个固定的Trust 10/100接口。
Secoway USG2120 & 2130:是统一集成的防火墙/VPN/安全路由器/安全交换机系统,提供百兆位的性能、模块化架构、WIFI接入和丰富的路由器、交换机功能,带1个固定的Untrust 10/100接口和8个固定的Trust 10/100接口,并附加1个MIC扩展插槽,可灵活扩展广域网或局域网接口。
USG2130还额外支持一个Express接口,专门用来扩展3G接口。
Secoway USG2210 & 2220:是统一集成的防火墙/VPN/安全路由器/安全交换机系统,提供数百兆位的性能、模块化架构和丰富的路由器、交换机功能,带2个固定的10/100/1000接口。
USG2210附加1个FIC 扩展插槽和4个MIC扩展插槽,USG2220附加2个FIC扩展插槽和4个MIC扩展插槽,可灵活扩展广域网或局域网接口,并可以扩展支持WIFI接入。
产品特性业内首款集路由,交换,安全,无线(WiFi、3G)于一体的安全网关Secoway USG 2000系列集路由、交换、安全、无线(WiFi、3G)功能于一体,1台Secoway USG 2000系列 = 数台传统路由器+数台传统交换机+数台传统防火墙,能有效帮助企业提高效率、降低维护复杂度,降低企业总成本TCO。
防火墙usg2000(1)
防火墙usg2000(1)_lt;USG_gt; system-view[USG] interface GigabitEthernet 0/0/0[USG-Ethernet1/0/0] portswitch[USG-Ethernet1/0/0] port access vlan 200[USG-Ethernet1/0/0] quit[USG] interface Vlanif 200[USG-Vlanif200] ip address 10.1.1.1 24[USG-Vlanif200] quit[USG] firewall zone trust[USG-zone-trust] add interface Vlanif 200[USG] policy interzone trust local inbound[USG-policy-interzone-local-trust-inbound] policy 1[USG-policy-interzone-local-trust-inbound-1] policy source 10.1.1.2 0 [USG-policy-interzone-local-trust-inbound-1] action permit[USG-policy-interzone-local-trust-inbound-1] quit[USG-policy-interzone-local-trust-inbound] policy 1 enable[USG-policy-interzone-local-trust-inbound] quit[USG] policy interzone trust local outbound[USG-policy-interzone-local-trust-outbound] policy 2[USG-policy-interzone-local-trust-outbound-2] policy source 10.1.1.1 0 [USG-policy-interzone-local-trust-outbound-2] action permit[USG-policy-interzone-local-trust-outbound-2] quit[USG-policy-interzone-local-trust-outbound] policy 2 enable[USG-policy-interzone-local-trust-outbound] quit启动Web管理功能。
USG2000负载分担应用方法
USG2000/5000 系列防火墙负载分担配置,V300R001SPC900版本最多支持8条等价路由,在多出口时,可以实现多条等价路由的负载分担或依据带宽实现按比例负载分担,例如当有2个出口时,一个GE和一个FE接口,希望按带宽比例做负载分担,分担比为10:1。
USG防火墙的负载分担配置十分简单,只有两条命令即可实现负载分担,在系统视图下配置负载分担,在接口视图下配置分担权重,(默认权重为1)即可实现。
192.168.1.1 vlanif1 192.168.1.2┌──eth2/0/1────────Router1──────┐PC1-------------USG2220 ========Internetgi0/0/0 └──gi0/0/1────────-Router2──────┘ 192.168.3.3192.168.2.1 192.168.2.2权重计算假设有n个出接口(n<=8),每个出接口权重依次为w1,w2,......wn;且有n条路由,则接口i(1=<i<=8)的流量分担比为wi/(w1+w2+w3+.....+wn)(1)逐包等价负载分担配置disp curinterface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0 //缺省权重为1#int vlanif 1 (包含ethernet2/0/1)ip address 192.168.1.1 255.255.255.0 //缺省权重为1#load-balance packet //逐包负载分担#ip route-static 0.0.0.0 0.0.0.0 192.168.2.2ip route-static 0.0.0.0 0.0.0.0 192.168.1.2#return[USG2220]在PC上持续发送变源IP的流量,验证结果如下:[USG2220]display interface GigabitEthernet 0/0/017:58:53 2012/06/23GigabitEthernet0/0/0 current state : UPLine protocol current state : UPGigabitEthernet0/0/0 current firewall zone : trustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.0.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 100000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 31936376 bits/s, 2776 packets/s //入流量每秒2776包Last 300 seconds output rate 24 bits/s, 0 packets/sInput: 1745827 packets, 2501973859 bytes2199 broadcasts, 1934 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:4187 packets, 4943435 bytes18 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220] disp int gi 0/0/1 //负载分担的出接口117:57:15 2012/06/23GigabitEthernet0/0/1 current state : UPLine protocol current state : UPGigabitEthernet0/0/1 current firewall zone : untrustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.2.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c9Media type is twisted pair, loopback not set, promiscuous mode not set1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 1000000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 15967824 bits/s, 1388 packets/s //出流量1388包约2766的一半Input: 20 packets, 1774 bytes6 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:699743 packets, 1006107662 bytes3 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]disp int vlan 1 //负载分担的出接口217:57:26 2012/06/23Vlanif1 current state : UPLine protocol current state : UPVlanif1 current firewall zone : dmzDescription : Huawei, USG2200 Series, Vlanif1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 192.168.1.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Physical is VLANIFLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 15962304 bits/s, 1387 packets/s //出流量1387包约2766的一半16 packets input, 1270 bytes, 0 drops720194 packets output, 1035542843 bytes, 24 drops[USG2220]disp int ethe 2/0/1 //VLAN 1 所含的物理接口17:57:37 2012/06/23Ethernet2/0/1 current state : UPLine protocol current state : UPDescription : Huawei, USG2200 Series, Ethernet2/0/1 Interface, Lan Switch PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)PVID:1Port link-type:accessVLAN ID:1Media type is twisted pair, loopback is not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 15983704 bits/s, 1389 packets/sInput: 41 packets, 6716 bytes5 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:739349 packets, 1063096373 bytes3 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220](2)逐包按比例负载分担配置disp curinterface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0route weight 10 //修改GE接口的权重为10#int vlanif 1 (包含ethernet2/0/1)ip address 192.168.1.1 255.255.255.0 //缺省权重为1#load-balance packet //逐包负载分担#ip route-static 0.0.0.0 0.0.0.0 192.168.2.2ip route-static 0.0.0.0 0.0.0.0 192.168.1.2#return[USG2220]disp int gi 0/0/018:04:19 2012/06/23GigabitEthernet0/0/0 current state : UPLine protocol current state : UPGigabitEthernet0/0/0 current firewall zone : trustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.0.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8 Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 100000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 39717672 bits/s, 3452 packets/s //入流量每秒3452包Last 300 seconds output rate 0 bits/s, 0 packets/sInput: 2863396 packets, 4108824781 bytes2297 broadcasts, 1996 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:4187 packets, 4943435 bytes18 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]display interface GigabitEthernet 0/0/1 //负载分担的出接口118:04:48 2012/06/23GigabitEthernet0/0/1 current state : UPLine protocol current state : UPGigabitEthernet0/0/1 current firewall zone : untrustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.2.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c9Media type is twisted pair, loopback not set, promiscuous mode not set1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 1000000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 35789288 bits/s, 3111 packets/s //GE接口权重为10 流量为总流量的10/11 Input: 21 packets, 1838 bytes7 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:1945061 packets, 2796873572 bytes3 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]display interface Vlanif 1 //负载分担的出接口218:04:39 2012/06/23Vlanif1 current state : UPLine protocol current state : UPVlanif1 current firewall zone : dmzDescription : Huawei, USG2200 Series, Vlanif1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 192.168.1.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Physical is VLANIFLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 3578312 bits/s, 311 packets/s //FE接口权重为1 流量只有总流量的1/1117 packets input, 1316 bytes, 0 drops1008589 packets output, 1450253475 bytes, 24 drops********************************************************************************************* (3)逐流等价负载分担配置disp curinterface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0 //缺省权重为1#int vlanif 1 (包含ethernet2/0/1)ip address 192.168.1.1 255.255.255.0 //缺省权重为1#load-balance flow hash source-ip //使用流分担方式,采用源IP哈希算法#ip route-static 0.0.0.0 0.0.0.0 192.168.2.2ip route-static 0.0.0.0 0.0.0.0 192.168.1.2#return验证结果:<USG2220>disp int gi 0/0/009:28:08 2012/06/24GigabitEthernet0/0/0 current state : UPLine protocol current state : UPGigabitEthernet0/0/0 current firewall zone : trustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.0.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 100000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 40081584 bits/s, 3484 packets/s //入口总流量每秒3484包Last 300 seconds output rate 8 bits/s, 0 packets/sInput: 5709388 packets, 8208644956 bytes451 broadcasts, 246 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:32 packets, 2338 bytes0 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants<USG2220>display interface GigabitEthernet 0/0/1 //负载分担的出接口109:28:16 2012/06/24GigabitEthernet0/0/1 current state : UPLine protocol current state : UPGigabitEthernet0/0/1 current firewall zone : untrustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.2.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c9Media type is twisted pair, loopback not set, promiscuous mode not set1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 1000000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 20119032 bits/s, 1748 packets/s //出口流量每秒1748包约3484的一半Input: 1 packets, 64 bytes0 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:2506159 packets, 3603855268 bytes1 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants<USG2220>display interface vlan 1 //负载分担的出接口209:28:37 2012/06/24Vlanif1 current state : UPLine protocol current state : UPVlanif1 current firewall zone : dmzDescription : Huawei, USG2200 Series, Vlanif1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 192.168.1.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Physical is VLANIFLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 19962864 bits/s, 1735 packets/s //出口流量每秒1735包约3484的一半2 packets input, 92 bytes, 0 drops2536472 packets output, 3646936530 bytes, 0 drops<USG2220> disp int ethe 2/0/1 //VLAN 1 所含的物理接口09:28:47 2012/06/24Ethernet2/0/1 current state : UPLine protocol current state : UPDescription : Huawei, USG2200 Series, Ethernet2/0/1 Interface, Lan Switch PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)PVID:1Port link-type:accessVLAN ID:1Media type is twisted pair, loopback is not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 19961176 bits/s, 1735 packets/sInput: 2 packets, 128 bytes2 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:2563893 packets, 3686357681 bytes0 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants********************************************************(4)逐流比例负载分担配置disp curinterface GigabitEthernet0/0/0ip address 192.168.0.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0route weight 10 //权重为10#int vlanif 1 (包含ethernet2/0/1)ip address 192.168.1.1 255.255.255.0 //缺省权重为1#load-balance flow hash source-ip //使用流分担方式,采用源IP哈希算法#ip route-static 0.0.0.0 0.0.0.0 192.168.2.2ip route-static 0.0.0.0 0.0.0.0 192.168.1.2#[USG2220][USG2220]disp int gi 0/0/009:55:35 2012/06/24GigabitEthernet0/0/0 current state : UPLine protocol current state : UPGigabitEthernet0/0/0 current firewall zone : trustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/0 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.0.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Media type is twisted pair, loopback not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 100000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 38260832 bits/s, 3326 packets/s //入流量每秒3326包Last 300 seconds output rate 8 bits/s, 0 packets/sInput: 11302814 packets, 16250808455 bytes804 broadcasts, 422 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:67 packets, 5158 bytes0 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]display interface GigabitEthernet 0/0/1 //负载分担的出接口109:55:42 2012/06/24GigabitEthernet0/0/1 current state : UPLine protocol current state : UPGigabitEthernet0/0/1 current firewall zone : untrustDescription : Huawei, USG2200 Series, GigabitEthernet0/0/1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)Internet Address is 192.168.2.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c9Media type is twisted pair, loopback not set, promiscuous mode not set1000Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableQoS max-bandwidth : 1000000 KbpsOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Frag queue : Size/Length/Discards) 0/1000/0Output queue : (Protocol queue : Size/Length/Discards) 0/1000/0Output queue : (FIFO queue : Size/Length/Discards) 0/256/0Last 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 34809656 bits/s, 3026 packets/s //GE口出流量3026包约为3326包的10/11 Input: 3 packets, 192 bytes0 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:6535204 packets, 9397375195 bytes3 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants[USG2220]disp int vlan 1 //负载分担的出接口209:56:05 2012/06/24Vlanif1 current state : UPLine protocol current state : UPVlanif1 current firewall zone : dmzDescription : Huawei, USG2200 Series, Vlanif1 Interface, Route PortThe Maximum Transmit Unit is 1500 bytesInternet Address is 192.168.1.1/24IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 0022-a100-f3c8Physical is VLANIFLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 3451664 bits/s, 300 packets/s3 packets input, 138 bytes, 0 drops4068110 packets output, 5849251402 bytes, 0 drops[USG2220]display interface ethe 2/0/1 //VLAN 1 所含的物理接口09:55:54 2012/06/24Ethernet2/0/1 current state : UPLine protocol current state : UPDescription : Huawei, USG2200 Series, Ethernet2/0/1 Interface, Lan Switch PortThe Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)PVID:1Port link-type:accessVLAN ID:1Media type is twisted pair, loopback is not set, promiscuous mode not set100Mb/s-speed mode, Full-duplex mode, link type is auto negotiationflow control is disableLast 300 seconds input rate 0 bits/s, 0 packets/sLast 300 seconds output rate 3450824 bits/s, 300 packets/s //FE口出流量300包约为3326包的1/11 Input: 3 packets, 192 bytes3 broadcasts, 0 multicasts0 errors, 0 runts, 0 giants, 0 FCS0 length error, 0 code error, 0 align errorsOutput:4073735 packets, 5857327222 bytes0 broadcasts, 0 multicasts0 errors, 0 collisions, 0 late collisions0 ex. collisions, 0 FCS error0 deferred, 0 runts, 0 giants****************************************************注意以下几个个问题:1)分担比例不均匀,多出现在逐流分担情况,此时可调整哈希算法,由于流量统计需要5分钟才能统计准确,因此观察时不能少于5分钟。
华为防火墙配置使用手册(自己写)[1]
![华为防火墙配置使用手册(自己写)[1]](https://img.taocdn.com/s3/m/1f828b87970590c69ec3d5bbfd0a79563c1ed4b8.png)
华为防火墙配置使用手册(自己写)[USGxxxx] interface GigabitEthernet 0/0/1 [USGxxxx-GigabitEthernet0/0/1] ip address 192.168.1.1 24 [USGxxxx-GigabitEthernet0/0/1] quit[USGxxxx] saveThe current configuration will be written to the device.Are you sure to continue? [Y/N]:YInfo: Please input the filename(*.cfg,*.zip)[vrpcfg.zip]:(To leave the existing filename unchanged, press the enter key):It will take several minutes to save configuration file, please wt......Configuration file had been saved successfullyNote: The configuration file will take effect after being activated网络 > 接口 > 物理接口 > 编辑 > 基本信息 >华为防火墙配置使用手册一、概述二、功能介绍防火墙功能:根据用户定义的安全策略,对进出网络的数据包进行允许或拒绝的动作,实现网络隔离和访问控制。
入侵防御功能:通过内置或外置的入侵防御系统(IPS),对网络流量进行深度分析,识别并阻断各种已知或未知的攻击行为,如端口扫描、拒绝服务、木马、漏洞利用等。
反病毒功能:通过内置或外置的反病毒引擎,对网络流量中的文件和进行扫描,检测并清除各种病毒、蠕虫、木马等恶意代码。
内容过滤功能:通过内置或外置的内容过滤引擎,对网络流量中的网页、、即时通信等应用层内容进行过滤,阻止不良或违规的信息传输,如色情、暴力、赌博等。
华为USG2000(2110)防火墙MISGtae
华为USG2000防火墙维护文档目录1关于防火墙的登录 (2)2具体应用 (2)2.1登录 (2)2.2接口 (3)2.3本地策略 (5)2.4服务 (6)2.5转发策略 (7)1关于防火墙的登录登录防火墙出厂默认LAN口的IP为192.168.0.1,通过IE访问:http:// 192.168.0.1用户名:amdin;密码:Admin@1232具体应用华为USG2000实现misgate单向通讯LAN口接MISGate服务器;LAN口IP:192.168.1.1/255.255.255.0 WAN0接MISGate客户端WAN0口IP:192.168.10.1/255.255.255.0 防火墙接口的IP是PC机网卡与防火墙通讯网卡的网关。
2.1登录由于LAN口的IP更改为192.168.1.1了;所以登录防火墙LAN口的IP为192.168.0.1,通过IE访问:http:// 192.168.1.1用户名:amdin;密码:Admin@1232.2接口网络--->接口--->接口,配置LAN口IP网络--->接口--->接口,配置WAN0口IP2.3本地策略防火墙--->安全策略--->本地策略trust、untrust动作改为permit2.4服务防火墙--->服务--->自定义服务;新建TCP/UDP服务,指定1285端口,命名为test。
2.5转发策略防火墙--->安全策略--->转发策略;新建trust--->untrust动作为permit 服务选择为test(上一步新建的)选择服务(重要)选择动作为permit。
华为usg防火墙基本配置命令有哪些.doc
华为usg防火墙基本配置命令有哪些华为usg防火墙基本配置命令登陆缺省配置的防火墙并修改防火墙的名称防火墙和路由器一样,有一个Console接口。
使用console 线缆将console接口和计算机的com口连接在一块。
使用windows 操作系统自带的超级终端软件,即可连接到防火墙。
防火墙的缺省配置中,包括了用户名和密码。
其中用户名为admin、密码Admin@123,所以登录时需要输入用户名和密码信息,输入时注意区分大小写。
修改防火墙的名称的方法与修改路由器名称的方法一致。
另外需要注意的是,由于防火墙和路由器同样使用了VRP 平台操作系统,所以在命令级别、命令帮助等,与路由器上相应操作相同。
sys13:47:28 2014/07/04Enter system view, return user view withCtrl+Z.[SRG]sysname FW13:47:32 2014/07/04修改防火墙的时间和时区信息默认情况下防火墙没有定义时区,系统保存的时间和实际时间可能不符。
使用时应该根据实际的情况定义时间和时区信息。
实验中我们将时区定义到东八区,并定义标准时间。
clock timezone 1 add 08:00:0013:50:57 2014/07/04dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00clock datetime 13:53:442014/07/0421:53:29 2014/07/03dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00修改防火墙登录标语信息默认情况下,在登陆防火墙,登陆成功后有如下的标语信息。
Please Press ENTER.Login authenticationUsername:adminPassword:*********NOTICE:This is a private communicationsystem.Welcome to USG5500You are logining insystem Please do not delete system config filesNOTICE:This is a private communicationsystem.Unauthorized access or use may lead to prosecution.注意,默认达到NOTICE信息一般都会存在,不会消失或被代替。
华为usg防火墙基本配置命令有哪些.doc
华为usg防火墙基本配置命令有哪些修改防火墙的时间和时区信息默认情况下防火墙没有定义时区,系统保存的时间和实际时间可能不符。
使用时应该根据实际的情况定义时间和时区信息。
实验中我们将时区定义到东八区,并定义标准时间。
clock timezone 1 add 08:00:0013:50:57 2014/07/04dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00clock datetime 13:53:442014/07/0421:53:29 2014/07/03dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00修改防火墙登录标语信息默认情况下,在登陆防火墙,登陆成功后有如下的标语信息。
Please Press ENTER.Login authenticationUsername:adminPassword:*********NOTICE:This is a private communicationsystem.Unauthorized access or use may lead to prosecution.防火墙设备以此信息警告非授权的访问。
实际使用中,管理员可以根据需要修改默认的登陆标语信息Please Press ENTER.Welcome to USG5500Login authenticationUsername:adminPassword:*********Welcome to USG5500You are logining insystem Please do not delete system config filesNOTICE:This is a private communicationsystem.Unauthorized access or use may lead to prosecution.注意,默认达到NOTICE信息一般都会存在,不会消失或被代替。
华为USG防火墙基本配置-电脑资料
华为USG防火墙基本配置-电脑资料学习目的掌握登陆USG防火墙的方法掌握修改防火墙设备名的方法掌握对防火墙的时间、时区进行修改的方法掌握修改防火墙登陆标语信息的方法掌握修改防火墙登陆密码的方法掌握查看、保存和删除防火墙配置的方法掌握在防火墙上配置vlan、地址接口、测试基本连通性的方法拓扑图学习任务步骤一.登陆缺省配置的防火墙并修改防火墙的名称防火墙和路由器一样,有一个Console接口,。
使用console线缆将console接口和计算机的com口连接在一块。
使用windows操作系统自带的超级终端软件,即可连接到防火墙。
防火墙的缺省配置中,包括了用户名和密码。
其中用户名为admin、密码Admin@123,所以登录时需要输入用户名和密码信息,输入时注意区分大小写。
修改防火墙的名称的方法与修改路由器名称的方法一致。
另外需要注意的是,由于防火墙和路由器同样使用了VRP平台操作系统,所以在命令级别、命令帮助等,与路由器上相应操作相同。
sys13:47:28 2014/07/04Enter system view, return user view withCtrl+Z.[SRG]sysname FW13:47:32 2014/07/04步骤二.修改防火墙的时间和时区信息默认情况下防火墙没有定义时区,系统保存的时间和实际时间可能不符。
使用时应该根据实际的情况定义时间和时区信息。
实验中我们将时区定义到东八区,并定义标准时间。
clock timezone 1 add 08:00:0013:50:57 2014/07/04dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00clock datetime 13:53:442014/07/0421:53:29 2014/07/03dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00步骤三。
华为USG2000防火墙恢复出厂设置密码
华为USG2000防火墙恢复出厂设置密码华为USG2000防火墙恢复出厂设置密码通过console口联接设备到台式电脑或笔记本电脑上具体设置如下:通过Console口进行本地登录简介通过交换机Console口进行本地登录是登录交换机的最基本的方式,也是配置通过其他方式登录交换机的基础。
缺省情况下,S2000-MI系列以太网交换机只能通过Console口进行本地登录。
交换机Console口的缺省配置如下。
表2-1 交换机Console口缺省配置用户终端的通信参数配置要和交换机Console口的配置保持一致,才能通过Console口登录到以太网交换机上。
用户登录到交换机上后,可以对AUX用户界面进行相关的配置,请参见2.3 配置Console口登录方式的属性。
通过Console口登录交换机第一步:如图2-1所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。
图2-1 通过Console口搭建本地配置环境第二步:在PC机上运行终端仿真程序(如Windows 3.X的Terminal或Windows9X/Windows 2000/Windows XP的超级终端等,以下配置以Windows XP为例),选择与交换机相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-2至图2-4所示。
图2-2 新建连接图2-3 连接端口设置图2-4 端口通信参数设置第三步:以太网交换机上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如),如图2-5所示。
图2-5 以太网交换机配置页面1、将设备进行重启2、当设备重启时提示“Press Ctrl+B按住Ctrl+B 输入密码:O&m15213,登录到boot menu,选择<3> File Manage Menu…选项进入下级菜单,选择<3>Delete File选项,在输入框中输入‘falsh:/vrpcfg.zip’回车。
华为防火墙配置使用手册
华为防火墙配置使用手册摘要:一、华为防火墙配置概述二、华为防火墙基本配置1.登录华为防火墙2.配置管理IP地址3.配置接口地址4.配置路由5.配置访问控制列表(ACL)三、高级配置1.配置NAT2.配置DHCP3.配置防火墙策略4.配置安全策略5.配置入侵检测和防御四、故障排除与维护1.常见故障排除2.防火墙性能优化3.安全策略调整4.系统升级与维护五、总结正文:华为防火墙配置使用手册华为防火墙是一款高性能的网络防火墙,能够有效保护企业网络免受各种网络攻击。
本文将详细介绍华为防火墙的配置使用方法。
一、华为防火墙配置概述华为防火墙配置主要包括基本配置和高级配置两部分。
基本配置包括管理IP地址、接口地址、路由等设置;高级配置包括NAT、DHCP、防火墙策略等设置。
二、华为防火墙基本配置1.登录华为防火墙使用Console口或Telnet方式登录华为防火墙。
2.配置管理IP地址进入系统视图,设置管理IP地址。
例如:```[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.1255.255.255.0```3.配置接口地址进入接口视图,设置接口地址。
例如:```[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.2255.255.255.0```4.配置路由设置路由表,使防火墙能够进行路由转发。
例如:```[Huawei-ip route-table]ip route 192.168.1.0 24 192.168.1.2```5.配置访问控制列表(ACL)设置ACL,以限制网络流量。
例如:```[Huawei-GigabitEthernet0/0/0]acl number 2000[Huawei-GigabitEthernet0/0/0]acl 2000 rule 0 permit ip source 192.168.1.1 0```三、高级配置1.配置NAT设置NAT地址转换,使内部网络设备能够访问外部网络。
华为H3C防火墙配置手册
[huawei-acl-basic-2000]quit
专注高端,技术为王
[huawei]firewall interzone trust dianxin
[huawei-interzone-trust-dianxin]packet-filter 2000 outbound
[huawei-interzone-trust-dianxin]nat outbound 2000 interface GigabitEthernet 0/0/0
批注 [canhong22]: 配置包过 滤,允许 dianxin 、yidong 与 local 、trust 之间的入方向和 出方向。没有允许的话,则外 网无法 PING 通防火墙的出接 口。
验证: 内网 192.168.1.2 分别 PING 电信与网通. inside#ping 202.100.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 202.100.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 ms inside#ping 202.200.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 202.200.1.2, timeout is 2 seconds: !!!!!
[huawei]firewall zone name Yidong [huawei-zone-yidong]set priority 3 [huawei-zone-yidong]add interface GigabitEthernet 0/0/1 [huawei-zone-yidong]quit [huawei]acl number 2000 [huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
华为USG防火墙详细配置步骤
华为USG防火墙详细配置步骤
本文将介绍华为USG防火墙的详细配置步骤,包括以下几个方面:
1. 确认设备连接
- 确保USG防火墙已经正确连接至网络设备,可以通过网线或者光纤进行连接。
- 确认USG防火墙的电源已经连接并启动。
2. 登录管理界面
- 在计算机上打开浏览器,输入USG防火墙的管理界面地址。
- 输入正确的用户名和密码,登录到USG防火墙的管理界面。
3. 配置基本网络设置
- 在管理界面中,找到并点击“网络设置”选项。
- 在基本网络设置页面,根据网络需求配置IP地址、子网掩码、默认网关等基本网络参数。
4. 配置防火墙策略
- 在管理界面中,找到并点击“安全策略”或“防火墙策略”选项。
- 根据实际需求,配置防火墙策略,包括允许或禁止某些应用、网络服务或IP地址的访问。
5. 配置端口转发
- 在管理界面中,找到并点击“端口映射”或“端口转发”选项。
- 根据需要,配置端口映射规则,将外部请求的端口映射到内
部服务器的端口。
6. 配置虚拟专用网络(VPN)
- 在管理界面中,找到并点击“VPN”选项。
- 根据需求,配置VPN连接,包括设置加密方式、身份验证等
参数。
7. 保存配置并重启
- 在管理界面中,保存所有配置,并重启USG防火墙。
以上就是华为USG防火墙的详细配置步骤。
根据实际需求,可以进行相应的调整和扩展。
配置过程中,应注意安全设置和正确性,以确保USG防火墙的正常运行和网络的安全性。
华为USG2000防火墙恢复出厂设置密码
华为USG2000防火墙恢复出厂设置密码通过console口联接设备到台式电脑或笔记本电脑上具体设置如下:通过Console口进行本地登录简介通过交换机Console口进行本地登录是登录交换机的最基本的方式,也是配置通过其他方式登录交换机的基础。
缺省情况下,S2000-MI系列以太网交换机只能通过Console口进行本地登录。
交换机Console口的缺省配置如下。
表2-1 交换机Console口缺省配置用户终端的通信参数配置要和交换机Console口的配置保持一致,才能通过Console口登录到以太网交换机上。
用户登录到交换机上后,可以对AUX用户界面进行相关的配置,请参见2.3 配置Console口登录方式的属性。
通过Console口登录交换机第一步:如图2-1所示,建立本地配置环境,只需将PC机(或终端)的串口通过配置电缆与以太网交换机的Console口连接。
图2-1 通过Console口搭建本地配置环境第二步:在PC机上运行终端仿真程序(如Windows 3.X的Terminal或Windows 9X/Windows 2000/Windows XP的超级终端等,以下配置以Windows XP为例),选择与交换机相连的串口,设置终端通信参数:传输速率为9600bit/s、8位数据位、1位停止位、无校验和无流控,如图2-2至图2-4所示。
图2-2 新建连接图2-3 连接端口设置图2-4 端口通信参数设置第三步:以太网交换机上电,终端上显示设备自检信息,自检结束后提示用户键入回车,之后将出现命令行提示符(如<Quidway>),如图2-5所示。
图2-5 以太网交换机配置页面1、将设备进行重启2、当设备重启时提示“Press Ctrl+B按住Ctrl+B 输入密码:O&m15213,登录到boot menu,选择<3> File Manage Menu…选项进入下级菜单,选择<3>Delete File选项,在输入框中输入‘falsh:/vrpcfg.zip’回车。
华为防火墙配置使用手册(自己写)
华为防火墙配置使用手册防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin@123一、配置案例1.1 拓扑图GE 0/0/1:10.10.10.1/24GE 0/0/2:220.10.10.16/24GE 0/0/3:10.10.11.1/24WWW服务器:10.10.11.2/24(DMZ区域)FTP服务器:10.10.11.3/24(DMZ区域)1.2 Telnet配置配置VTY 的优先级为3,基于密码验证。
# 进入系统视图。
<USG5300> system-view# 进入用户界面视图[USG5300] user-interface vty 0 4# 设置用户界面能够访问的命令级别为level 3[USG5300-ui-vty0-4] user privilege level 3配置Password验证# 配置验证方式为Password验证[USG5300-ui-vty0-4] authentication-mode password# 配置验证密码为lantian[USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123配置空闲断开连接时间# 设置超时为30分钟[USG5300-ui-vty0-4] idle-timeout 30[USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。
基于用户名和密码验证user-interface vty 0 4authentication-mode aaaaaalocal-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!local-user admin service-type telnetlocal-user admin level 3firewall packet-filter default permit interzone untrust local direction inbound如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。
华为赛门铁克USG2000系列防火墙UTM产品
华为赛门铁克USG2000系列防火墙/UTM产品USG2000系列产品是华为公司面向中小型企业/分支机构设计的新一代防火墙/UTM (United Threat Management,统一威胁管理)设备。
USG2000基于业界领先的软、硬件体系架构,基于用户的安全策略融合了传统防火墙、VPN、入侵检测、防病毒、URL 过滤、应用程序控制、邮件过滤等行业领先的专业安全技术,可精细化管理1200余种网络应用,全面支持IPv6协议,为用户提供强大、可扩展、持续的安全能力。
在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。
华为安全金牌代理,北京开元辉煌科技有限公司,袁存杰。
USG2000系列产品包括:USG2130,USG2160,USG2210,USG2210E,USG2220,USG2220E,USG2230,USG2230E,USG2250,USG2250E等十个型号产品。
均为模块化设备,提供多个扩展槽,支持多种I/O模块选配。
专业安全,全面防护完善的防火墙功能:提供安全区域划分、静态/动态黑名单功能、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本功能,还提供基于状态的检测过滤、虚拟防火墙、VLAN透传等功能。
能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、SYN flood、DNS flood、地址扫描和端口扫描等多种恶意攻击。
华为安全金牌代理,北京开元辉煌科技有限公司,袁存杰。
实时的病毒防护:采用赛门铁克公司国际一流的防病毒技术,病毒检出率达到99%,从而迅速、准确查杀网络流量中的病毒等恶意代码。
精准的入侵防御:基于赛门铁克基于特征的入侵检测技术,实现零误报,精确识别并实时防范各种网络攻击和滥用行为。
丰富的VPN特性:支持IPSec VPN、L2TP VPN、SSL VPN、MPLS VPN及GRE VPN 等远程安全接入方式,同时CPU集成硬件加密引擎,提供超群的VPN处理性能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为USG2000防火墙配置
USG2000防火墙基本设置:
外观
1个调试口(CONSOLE);
2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一);
1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。
初始配置
GE0/0/0配置为路由接口,IP地址为192.168.0.1
防火墙访问IP为192.168.0.1,登录用户名admin,密码Admin@123
USG2000防火墙配置过程中注意事项:
接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。
这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤
一、配置防火墙的网络接口
1.连接GE0/0/0端口,访问19
2.168.0.1登录防火墙。
登录过程中出现证书错误,点击‘继续浏览此网站’继续。
输入用户名admin密码Admin@123登录防火墙。
登录后,弹出修改用户的初始密码的提示及快速向导。
初始密码尽量不要修改。
快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。
以上为USG2000基本配置界面。
现场配置所需要用到的只有网络和防火墙两个主菜单。
2.配置GE0/0/1端口
选择菜单网络/接口,在GE0/0/1行最后点配置。
别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为‘access’,点击应用。
3.添加Vlan接口
在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID 设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘192.168.1.100’,子网掩码设置为‘255.255.0.0’,最后点击应用。
如下图所示
4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I区端口’。
注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到192.168.0.1。
5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访问192.168.1.100。
修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口成员中。
二、配置实现防火墙的IP地址和地址组
1.配置IP地址
登录防火墙后,在‘防火墙->地址->地址’中新建IP地址。
如下图地址分类的基本原则:
只要访问设备或允许访问设备不完全相同的就需要分开,常规分组如下➢I区监控主机
➢I区远动主机
➢I区测控装置
➢I区保护装置
➢II区综合应用服务器
➢II区网关机
➢II区一体化电源装置、在线监测和电能采集器等
➢II故障录波装置。