华为防火墙-USG6000-全图化Web典型配置案例(V4.0)
华为 USG6000V虚拟综合业务网关 详版彩页
华为USG6000V虚拟综合业务网关随着云计算技术的广泛应用,IT与CT技术出现了快速融合的局面;公有云/私有云的部署,客户对业务快速上线,业务按需迁移,定制化防护等需求激增,传统的专有硬件业务网关慢慢无法适应云网络新架构的部署要求。
华为USG6000V(Universal Service Gateway)是基于NFV架构的虚拟综合业务网关,虚拟资源利用率高,资源虚拟化技术支持大量多租户共同使用,产品具备丰富的网关业务能力,如vFW,vIPSec,vLB,vIPS,vAV,vURL过滤等,可根据对虚拟网关的业务需求,按需使用,灵活部署。
USG6000V系列虚拟综合业务网关兼容多种主流虚拟化平台,提供标准的API接口,可以与华为FusionSphere云平台、Agile Controller控制器以及开源的Openstack平台共同构成开放的SDN数据中心解决方案。
USG6000V可以与传统硬件设备统一被Agile Controller控制器进行管理,构建统一的智能化云安全平台,实现业务灵活定制,资源弹性扩缩,网络可视化管理,满足企业业务快速上线、变化频繁,运维简单、高效等诉求。
产品特性与优势一机多能,精准管控具备丰富的特性功能,能够为数据中心提供虚拟层防护,也可为租户灵活提供安全增值业务。
• 一机多能:集传统防火墙、VPN、入侵防御、防病毒等功能于一身,简化部署,提高管理效率。
• 入侵防护(IPS):超过5000种漏洞特征的攻击检测和防御。
支持Web攻击识别和防护,如跨站脚本攻击、SQL注入攻击等。
• 防病毒(AV):高性能病毒引擎,可防护500万种以上的病毒和木马,病毒特征库每日更新。
• 上网行为管理:采用基于云的URL分类过滤,预定义的URL分类库已超过1.2亿,阻止员工访问恶意网站带来的威胁,满足合规要求。
并可对员工的发帖、FTP等上网行为进行控制。
可对上网记录进行审计。
• Anti-DDoS:可以识别和防范SYN flood、UDP flood等10+种DDoS攻击,识别500多万种病毒。
华为USG6000系列防火墙 硬盘使用指南
第14页
双硬盘场景下,更换1块硬盘或者同时更换2块硬盘的操作方法完全相同。
如何扩容硬盘?
第15页
不同场景下,硬盘扩容的操作方法不同,请特别注意,否则硬盘可能无法正常挂载。
选择场景
简要操作指导
1U,无硬盘→单硬盘 3U,无硬盘→单硬盘 3U,无硬盘→双硬盘 3U,单硬盘→双硬盘
1. 保存配置 2. 下电——因为1U设备的硬盘插卡不支持热插拔,所以必须下电安装 3. 安装硬盘插卡 4. 上电 5. 检查硬盘状态(display disk information)
第17页
硬盘挂载前后设备状态有什么不同?
1. 硬盘挂载后,Web界面面板上的设备资源信息增加“硬盘使用率”仪表盘。 2. 硬盘挂载前,通过display device命令查看硬盘状态,为Abnormal;挂载后为Normal。 3. 硬盘挂载前,通过display disk information命令查看硬盘文件系统状态,为Un-Mounted;
第12页
步骤1
步骤3
为什么双硬盘挂载这么慢?
如前所述,3U设备的双硬盘必须组成RAID1磁盘阵列,以提高数据安全性和读取性能。组成 RAID1的两块硬盘完全镜像,所以又称为Mirror或Mirroring(镜像)。RAID1的构建过程通常约 需要4~5个小时,有时甚至更久。
RAID1的构建过程主要是硬盘的读写过程。硬盘的读写速度与硬盘自身的速度、控制器的速度、 CPU的速度等多种因素有关。防火墙选用的是速度较快的SAS盘、LSI控制器(可检查display disk information输出信息的DiskIOC_Vendor字段)。
?流量日志?威胁日志?url日志?内容日志?操作日志?系统日志?用户活动日志?策略命中日志?邮件过滤日志?审计日志?报表定制?报表订阅?流量报表?威胁报表?url报表?策略命中报表?文件过滤报表?内容过滤报表?流量地图?威胁地图?策略冗余分析?策略命中分析?应用风险调优1流量报表中基于带宽策略的流量报表不依赖于硬盘
华为USG6000系列防火墙产品技术白皮书(总体)
华为USG6000系列防⽕墙产品技术⽩⽪书(总体)华为USG6000系列下⼀代防⽕墙技术⽩⽪书⽂档版本V1.1发布⽇期2014-03-12版权所有? 华为技术有限公司2014。
保留⼀切权利。
⾮经本公司书⾯许可,任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本⽂档提及的其他所有商标或注册商标,由各⾃的所有⼈拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本⽂档中描述的全部或部分产品、服务或特性可能不在您的购买或使⽤范围之内。
除⾮合同另有约定,华为公司对本⽂档内容不做任何明⽰或暗⽰的声明或保证。
由于产品版本升级或其他原因,本⽂档内容会不定期进⾏更新。
除⾮另有约定,本⽂档仅作为使⽤指导,本⽂档中的所有陈述、信息和建议不构成任何明⽰或暗⽰的担保。
华为技术有限公司地址:深圳市龙岗区坂⽥华为总部办公楼邮编:518129⽹址:/doc/38e0646559eef8c75fbfb3f8.html客户服务邮箱:ask_FW_MKT@/doc/38e0646559eef8c75fbfb3f8.html 客户服务电话:4008229999⽬录1 概述 (1)1.1 ⽹络威胁的变化及下⼀代防⽕墙产⽣ (1)1.2 下⼀代防⽕墙的定义 (1)1.3 防⽕墙设备的使⽤指南 (2)2 下⼀代防⽕墙设备的技术原则 (1)2.1 防⽕墙的可靠性设计 (1)2.2 防⽕墙的性能模型 (2)2.3 ⽹络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于⽤户的管控能⼒ (4)2.7 基于应⽤的管控能⼒ (4)2.8 应⽤层的威胁防护 (4)2.9 业务⽀撑能⼒ (4)2.10 地址转换能⼒ (5)2.11 攻击防范能⼒ (5)2.12 防⽕墙的组⽹适应能⼒ (6)2.13 VPN业务 (6)2.14 防⽕墙管理系统 (6)2.15 防⽕墙的⽇志系统 (7)3 Secospace USG6000系列防⽕墙技术特点 (1)3.1 ⾼可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防⽕墙技术 (16)3.8 业务⽀撑能⼒ (17)3.9 ⽹络地址转换 (18)3.10 丰富的攻击防御的⼿段 (21)3.11 优秀的组⽹适应能⼒ (23)3.12 完善的VPN功能 (25)3.13 应⽤层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的⽇志报表系统 (31)4 典型组⽹ (1)4.1 攻击防范 (1)4.2 地址转换组⽹ (2)4.3 双机热备份应⽤ (2)4.4 IPSec保护的VPN应⽤ (3)4.5 SSL VPN应⽤ (5)华为USG6000系列下⼀代防⽕墙产品技术⽩⽪书关键词:NGFW、华为USG6000、⽹络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要:本⽂详细介绍了下⼀代防⽕墙的技术特点、⼯作原理等,并提供了防⽕墙选择过程的⼀些需要关注的技术问题。
华为USG防火墙配置完整版
华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】华为USG2000防火墙配置USG2000防火墙基本设置:外观1个调试口(CONSOLE);2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一);1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。
初始配置GE0/0/0配置为路由接口,IP地址为防火墙访问IP为,登录用户名admin,密码Admin@123USG2000防火墙配置过程中注意事项:接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。
这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤一、配置防火墙的网络接口1.连接GE0/0/0端口,访问登录防火墙。
登录过程中出现证书错误,点击‘继续浏览此网站’继续。
输入用户名admin密码Admin@123登录防火墙。
登录后,弹出修改用户的初始密码的提示及快速向导。
初始密码尽量不要修改。
快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。
以上为USG2000基本配置界面。
现场配置所需要用到的只有网络和防火墙两个主菜单。
2.配置GE0/0/1端口选择菜单网络/接口,在GE0/0/1行最后点配置。
别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为‘access’,点击应用。
3.添加Vlan接口在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘’,子网掩码设置为‘’,最后点击应用。
如下图所示4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I区端口’。
注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到。
华为USG6000系列防火墙产品技术白皮书(总体)
华为USG6000系列下一代防火墙技术白皮书文档版本V1.1发布日期2014-03-12版权所有© 华为技术有限公司2014。
保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
商标声明和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,华为公司对本文档内容不做任何明示或暗示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
除非另有约定,本文档仅作为使用指导,本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司地址:深圳市龙岗区坂田华为总部办公楼邮编:518129网址:客户服务邮箱:ask_FW_MKT@客户服务电话:4008229999目录1 概述 (1)1.1 网络威胁的变化及下一代防火墙产生 (1)1.2 下一代防火墙的定义 (1)1.3 防火墙设备的使用指南 (2)2 下一代防火墙设备的技术原则 (1)2.1 防火墙的可靠性设计 (1)2.2 防火墙的性能模型 (2)2.3 网络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于用户的管控能力 (4)2.7 基于应用的管控能力 (4)2.8 应用层的威胁防护 (4)2.9 业务支撑能力 (4)2.10 地址转换能力 (5)2.11 攻击防范能力 (5)2.12 防火墙的组网适应能力 (6)2.13 VPN业务 (6)2.14 防火墙管理系统 (6)2.15 防火墙的日志系统 (7)3 Secospace USG6000系列防火墙技术特点 (1)3.1 高可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防火墙技术 (16)3.8 业务支撑能力 (17)3.9 网络地址转换 (18)3.10 丰富的攻击防御的手段 (21)3.11 优秀的组网适应能力 (23)3.12 完善的VPN功能 (25)3.13 应用层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的日志报表系统 (31)4 典型组网 (1)4.1 攻击防范 (1)4.2 地址转换组网 (2)4.3 双机热备份应用 (2)4.4 IPSec保护的VPN应用 (3)4.5 SSL VPN应用 (5)华为USG6000系列下一代防火墙产品技术白皮书关键词:NGFW、华为USG6000、网络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要:本文详细介绍了下一代防火墙的技术特点、工作原理等,并提供了防火墙选择过程的一些需要关注的技术问题。
华为防火墙操作手册
华为防火墙操作手册摘要:1.华为防火墙概述2.华为防火墙的配置方法3.华为防火墙的应用场景4.华为防火墙的优点与局限性5.总结正文:一、华为防火墙概述华为防火墙是一款高性能、高可靠性的网络安全设备,能够有效保护企业网络免受各种网络攻击的侵害。
华为防火墙具有强大的安全策略控制功能,支持多种安全协议和加密算法,能够满足不同企业的安全需求。
二、华为防火墙的配置方法1.增加一个pppoe 用户在防火墙上配置拨号上网,首先需要增加一个pppoe 用户。
可以通过以下命令来完成:```[usg6000v1]sysname,ppps,[ppps],user-manage,user,test```2.配置客户端客户端的配置主要包括以下几个方面:- 设置客户端的IP 地址、子网掩码和默认网关。
- 配置DNS 服务器地址。
- 设置客户端的MAC 地址和VLAN ID。
3.配置服务端服务端的配置主要包括以下几个方面:- 配置PPPoe 服务器的IP 地址和端口号。
- 设置PPPoe 服务器的用户名和密码。
- 配置VLAN ID 和PPPoe 协议。
三、华为防火墙的应用场景1.企业内部网络的安全防护华为防火墙可以有效防止外部网络的攻击,如DDoS 攻击、SYN 攻击等,保护企业内部网络的安全。
2.远程办公和分支机构的安全接入通过配置VPN 和PPPoe 等协议,华为防火墙可以实现远程办公和分支机构的安全接入,提高企业的工作效率。
四、华为防火墙的优点与局限性1.优点- 高性能和高可靠性,能够满足企业的高速网络需求。
- 支持多种安全协议和加密算法,能够有效保护企业网络的安全。
- 提供丰富的安全策略控制功能,可以针对不同的网络攻击进行有效的防范。
2.局限性- 配置较为复杂,需要专业的网络工程师进行安装和维护。
- 对网络带宽和存储空间有一定的要求,需要企业具备相应的网络资源。
五、总结华为防火墙是一款功能强大、性能稳定的网络安全设备,能够有效保护企业网络免受各种网络攻击的侵害。
网络安全之华为USG防火墙配置实例
网络安全之华为USG防火墙配置实例USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。
USG5500系列产品部署于网络出口处,有效阻止Internet 上的黑客入侵、DDoS攻击,阻止内网用户访问非法网站,限制带宽,为内部网络提供一个安全可靠的网络环境。
这里华迪教育以此为例,给同学们讲解防火墙配置实例。
华为USG防火墙配置内容:(1)内部网络通过防火墙访问外部网络(NAT)(2)外部网络能够访问内部服务器的映射网站主要配置命令如下:Step 1: 设置内、外网接口IPinterface GigabitEthernet0/0/1ip address 192.168.10.1 255.255.255.0interface GigabitEthernet0/0/8ip address 211.95.1.200 255.255.255.0Step 2: 指定内网信任区和外网非信任区firewall zone trustdetect ftp (启用FTP应用层转换)add interface GigabitEthernet0/0/1firewall zone untrustadd interface GigabitEthernet0/0/8step 3 : 开启内网FTP服务映射到外网,开通区域间的通信许可firewall interzone trust untrustdetect ftp (开启内网到外网的FTP服务映射)firewall packet-filter default permit allstep 4:定义NAT地址池、配置NAT Server发布内网站点服务nat address-group 1 211.95.1.200 211.95.1.200nat server zone untrust protocol tcp global 211.95.1.200 www inside 192.168.10.254 wwwnat server zone untrust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftpnat server zone trust protocol tcp global 211.95.1.200 www inside 192.168.10.254 wwwnat server zone trust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftpStep 5 :配置nat转换,使得内网可以访问外网nat-policy interzone trust untrust outboundpolicy 1action source-natpolicy source 192.168.10.0 0.0.0.255address-group 1Step 6: 配置源地址转换,强制要求内网用户须通过映射地址访问内部服务器nat-policy zone trustpolicy 1action source-natpolicy source 192.168.10.0 0.0.0.255policy destination 211.95.1.254 0 address-group 1。
华为USG6000系列下一代防火墙
攻击防不住:攻击越来越隐蔽,手段越来越多样,防护起来愈发吃力 性能撑不住:出口流量越来越大,威胁防护越来越复杂,开启防护后性能已经成为网络瓶颈
NGFW
3
目录
1 USG6000产品亮点 2 USG6000 硬件介绍 3 USG6000 应用场景
4
1
精 最 准的访问控制
-- 6维管控,应用识别“多、细、准、快”
白名单模式
80
VS
需要识别尽量多的应用。最小授权,仅有业务需要的应用被允许,无法识别的应用被阻断不会带来危害。典型的FW式管理方式更安全。
• Emule • Games
黑名单模式
80
仅识别少量的应用。无法识别的应用被放行可能带来危害。“上网行为管理”方式的NGFW,不够安全。
8
应用识别有什么用?
访问控制
业务感知
智能分析
URL IPS
策略下发
AV DLP
优化建议
Policy A:******** Policy B: ********** Policy C:********* Policy D:********** Policy E: ********
基于策略的流量学习,感知网络整体业务环境,基于业务和安全风险进行智能化 分析,最终自动生成策略建议。
12
IP位置
识别粒度:
• 中国:地市级别 • 美国:州级别 • 其他:国家级别 • 支持根据地址段自定义位置
应用场景:
• 流量地图:基于位置的流量统计分析报表 • 威胁地图:基于位置的威胁统计分析报表 • 位置策略:位置不同,访问权限不同
举例:
• 在公司总部可以访问的数据,在分公司不允 许访问
最新最全USG6000安全策略配置(DOC41页)
配置反病毒在企业网关设备上应用反病毒特性,保护内部网络用户和服务器免受病毒威胁。
组网需求某公司在网络边界处部署了NGFW作为安全网关。
内网用户需要通过Web服务器和POP3服务器下载文件和邮件,内网FTP服务器需要接收外网用户上传的文件。
公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络,保障内网用户和服务器的安全。
网络环境如图1所示。
其中,由于公司使用Netease邮箱作为工作邮箱,为了保证工作邮件的正常收发,需要放行Netease邮箱的所有邮件。
另外,内网用户在通过Web服务器下载某重要软件时失败,排查发现该软件因被NGFW判定为病毒而被阻断(病毒ID为8000),考虑到该软件的重要性和对该软件来源的信任,管理员决定临时放行该类病毒文件,以使用户可以成功下载该软件。
图1 配置反病毒组网图配置思路1.配置接口IP地址和安全区域,完成网络基本参数配置。
2.配置两个反病毒配置文件,一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响应动作,并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外,另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。
3.配置安全策略,在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件,实现组网需求。
操作步骤1.配置接口IP地址和安全区域,完成网络基本参数配置。
a.选择“网络> 接口”。
b.单击GE1/0/1,按如下参数配置。
c.单击“确定”。
d.参考上述步骤按如下参数配置GE1/0/2接口。
e.参考上述步骤按如下参数配置GE1/0/3接口。
2.配置反病毒配置文件。
a.选择“对象> 安全配置文件> 反病毒”。
b.单击“新建”,按下图完成针对HTTP和POP3协议的配置。
c.单击“确定”。
d.参考上述步骤按如下参数完成针对FTP协议的配置。
3.配置内网用户到外网服务器方向(Trust到Untrust方向)的安全策略。
第10话 客户端 L2TP over IPSec 接入 ( Android ) - 单本
HUAWEI USG6000系列V500R001全图化Web典型配置案例客户端L2TP over IPSec接入(Android)防火墙资料组出品LAC客户端通过Internet连接到公司总部的LNS侧。
出差员工使用搭载Android操作系统的手机(LAC)直接向LNS侧发起连接请求,与LNS的通讯数据通过隧道Tunnel传输。
先使用L2TP封装第二层数据,对身份进行认证;再使用IPSec对数据进行加密。
项目数据LNS L2TP配置组名:default用户名称:vpdnuser用户密码:Hello@123IPSec配置预共享密钥:Admin@123本端ID:IP地址对端ID:接受任意对端ID用户地址池100.1.1.2~100.1.1.100请确保总部设备和地址池中地址路由可达,路由下一跳指向防火墙连接总部内网的接口GE0/0/3。
LACIP地址10.1.1.254/24L2TP配置用户认证名称:vpdnuser用户认证密码:Hello@123IPSec配置预共享密钥:Admin@123对端地址:1.1.1.2/24总部Firewall( LNS )Server Android( LAC )10.1.1.254/24TrustUntrustL2TP over IPSec VPN 隧道GE0/0/11.1.1.2/24GE0/0/3192.168.1.1/241配置外网接口参数2345配置内网接口参数6123允许总部服务器访问外网允许防火墙与LAC 通信允许LAC 与防火墙通信允许LAC 访问总部服务器4576124新建L2TP 用户选择接入场景及认证类型本例中,用户登录名设置为vpdnuser ,密码设置为Hello@123 。
35客户端L2TP over IPSec 接入(Android )Step4 新建地址池12新建地址池,本例中地址池范围设置为100.1.1.2-100.1.1.10034客户端L2TP over IPSec 接入(Android)Step5 配置L2TP over IPSec123先选择场景,然后完成基本配置。
华为USG6000系列防火墙共享上网及组网基本配置
华为USG6000系列防火墙共享上网及组网基本配置公司各楼层通过交换机汇聚到楼宇核心交换机,楼宇核心汇聚到总核心,然后通过USG6000安全策略访问外网路由器实现共享上网功能。
楼宇核心:划分楼层VLAN 配置网关上一跳路由<Huawei>sys[huawei]sysname hexinjiaohuan[hexinjiaohuan]vlan batch 10 20 30 40[hexinjiaohuan]int vlan 10[hexinjiaohuan-Vlanif10]ip address 192.168.10.254 24 [hexinjiaohuan]int vlan 20[hexinjiaohuan-Vlanif20]ip address 192.168.20.254 24 [hexinjiaohuan]int vlan 30[hexinjiaohuan-Vlanif30]ip address 192.168.30.254 24 [hexinjiaohuan]int vlan 40[hexinjiaohuan-Vlanif40]ip address 192.168.60.1 30 [hexinjiaohuan]int g0/0/3[hexinjiaohuan-GigabitEthernet0/0/3]port link-type access [hexinjiaohuan-GigabitEthernet0/0/3]port default vlan 10 [hexinjiaohuan]int g0/0/1[hexinjiaohuan-GigabitEthernet0/0/1]port link-type access [hexinjiaohuan-GigabitEthernet0/0/1]port default vlan 20 [hexinjiaohuan]int g0/0/4[hexinjiaohuan-GigabitEthernet0/0/4]port link-type access [hexinjiaohuan-GigabitEthernet0/0/4]port default vlan 30 [hexinjiaohuan]int g0/0/2[hexinjiaohuan-GigabitEthernet0/0/2]port link-type access [hexinjiaohuan-GigabitEthernet0/0/2]port default vlan 40 [hexinjiaohuan]ip route-static 0.0.0.0 0.0.0.0 192.168.60.2<hexinjiaohuan>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y总核心交换机:配置上下访问端口和上下访问路由<Huawei>sys[Huawei]sysname zonghexin[zonghexin]vlan batch 40 50[zonghexin]int vlan 40[zonghexin-Vlanif40]ip address 192.168.60.2 30 [zonghexin]int g0/0/2[zonghexin-GigabitEthernet0/0/2]port link-type access [zonghexin-GigabitEthernet0/0/2]port default vlan 40 [zonghexin]int vlan 50[zonghexin-Vlanif50]ip address 192.100.50.2 30 [zonghexin]int g0/0/1[zonghexin-GigabitEthernet0/0/1]port link-type access [zonghexin-GigabitEthernet0/0/1]port default vlan 50 [zonghexin]ip route-static 192.168.10.0 255.255.255.0 192.168.60.1 [zonghexin]ip route-static 192.168.20.0 255.255.255.0 192.168.60.1[zonghexin]ip route-static 192.168.30.0 255.255.255.0 192.168.60.1 [zonghexin]ip route-static 0.0.0.0 0.0.0.0 192.100.50.1<zonghexin>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y防火墙USG6000:配置访问策略允许内网所有PC访问外网(路由器)地址Username:adminPassword: (默认密码Admin@123)The password needs to be changed. Change now? [Y/N]: yPlease enter old password: (默认密码Admin@123)Please enter new password: 新密码Please confirm new password: 新密码确认[USG6000V1]int g1/0/1 //配置内网端口[USG6000V1-GigabitEthernet1/0/1]ip address 192.100.50.1 255.255.255.252 [USG6000V1-GigabitEthernet1/0/1]service-manage http permit[USG6000V1-GigabitEthernet1/0/1]service-manage https permit[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit[USG6000V1]int g1/0/0 //配置外网端口[USG6000V1-GigabitEthernet1/0/0]ip address 10.128.60.5 255.255.255.252 [USG6000V1]firewall zone trust //把端口加入到安全域[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1[USG6000V1]firewall zone untrust //把端口加入到非安全域[USG6000V1-zone-untrust]add interface GigabitEthernet1/0/0[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 10.128.60.6[USG6000V1]ip route-static 192.168.10.0 255.255.255.0 192.100.50.2[USG6000V1]ip route-static 192.168.20.0 255.255.255.0 192.100.50.2[USG6000V1]ip route-static 192.168.30.0 255.255.255.0 192.100.50.2[USG6000V1]security-policy //访问策略[USG6000V1-policy-security]rule name "trust to untrust"[USG6000V1-policy-security-rule-trust to untrust][USG6000V1-policy-security-rule-trust to untrust]source-zone trust[USG6000V1-policy-security-rule-trust to untrust]destination-zone untrust [USG6000V1-policy-security-rule-trust to untrust] action permit[USG6000V1-policy-security-rule-trust to untrust] rule name local[USG6000V1-policy-security-rule-local]source-zone local[USG6000V1-policy-security-rule-local]destination-zone trust[USG6000V1-policy-security-rule-local]action permit<USG6000V1>save路由器:[Huawei]int g0/0/1[Huawei-GigabitEthernet0/0/1]ip address 10.128.60.6 255.255.255.252 [Huawei]ip route-static 0.0.0.0 0.0.0.0 10.128.60.5<Huawei>savepc>ping 10.128.60.6Ping 10.128.60.6: 32 data bytes, Press Ctrl_C to breakFrom 10.128.60.6: bytes=32 seq=1 ttl=252 time=765 ms From 10.128.60.6: bytes=32 seq=2 ttl=252 time=141 ms From 10.128.60.6: bytes=32 seq=3 ttl=252 time=78 msFrom 10.128.60.6: bytes=32 seq=4 ttl=252 time=78 msFrom 10.128.60.6: bytes=32 seq=5 ttl=252 time=78 msPC机测试通过基本功能实现。
使用ensp模拟器中的防火墙(USG6000V)配置NAT(网页版)
使⽤ensp模拟器中的防⽕墙(USG6000V)配置NAT(⽹页版)使⽤ensp模拟器中的防⽕墙(USG6000V)配置NAT(⽹页版)⼀、NAT介绍NAT(Network Address Translation,⽹络地址转换):简单来说就是将内部私有地址转换成公⽹地址。
在NAT中,涉及到内部本地地址、内部全局地址、外部本地地址、外部全局地址。
它们的含义是:内部本地地址:内⽹中设备所使⽤的 IP 地址,此地址通常是⼀个私有地址。
内部全局地址:公有地址,通常是 ISP 所提供的,由内⽹设备与外⽹设备通信时所使⽤到的。
外部本地地址:外⽹中设备所使⽤的地址,这个地址是在⾯向内⽹设备时所使⽤的,它不⼀定是⼀个公⽹地址。
外部全局地址:外⽹设备所使⽤的真正的地址,是公⽹地址。
NAT的分类:根据转化⽅式的不同,NAT可以分为三类:源NAT:源地址转化的NAT。
如NO—PAT, NAPT, Easy_ip⽬的NAT:将⽬的地址进⾏转化的NAT。
如NAT-Server双向NAT:即将源地址和⽬的地址都做NAT转换。
NAT的优缺点:优点:1、减缓了可⽤的IP地址空间的枯竭。
2、隐藏了内部⽹络的⽹络结构,避免了来⾃外部的⽹络攻击。
缺点:1、⽹络监控的难度加⼤2、限制了某些具体应⽤NAT所⾯临的问题:1、NAT违反了IP地址结构模型的设计原则。
因为IP地址结构模型的基础是每个IP地址均标识了⼀个⽹络的连接,⽽NAT使得有很多主机可能同时使⽤相同的地址。
2、NAT使得IP协议从⾯向⽆连接变成⾯向连接。
NAT必须维护专⽤IP地址与公⽤IP地址以及端⼝号的映射关系。
在TCP/IP协议体系中,如果⼀个路由器出现故障,不会影响到TCP协议的执⾏。
⽽当存在NAT时,最初设计的TCP/IP协议过程将发⽣变化,Internet可能变得⾮常脆弱。
3、NAT违反了基本的⽹络分层结构模型的设计原则。
因为在传统的⽹络分层结构模型中,第N层是不能修改第N+1层的报头内容的。
华为USG6000V虚拟服务网关数据手册说明书
Gateway DatasheetHuawei Technologies Co., Ltd.Copyright © Huawei Technologies Co., Ltd. 2018. All rights reserved.No part of this document may be reproduced or transmitted in any form or by any means without prior written consent of Huawei Technologies Co., Ltd.Trademarks and Permissionsand other Huawei trademarks are trademarks of Huawei Technologies Co., Ltd.All other trademarks and trade names mentioned in this document are the property of their respective holders.NoticeThe purchased products, services and features are stipulated by the contract made between Huawei and the customer. All or part of the products, services and features described in this document may not be within the purchase scope or the usage scope. Unless otherwise specified in the contract, all statements, information, and recommendations in this document are provided "AS IS" without warranties, guarantees or representations of any kind, either express or implied.The information in this document is subject to change without notice. Every effort has been made in the preparation of this document to ensure accuracy of the contents, but all statements, information, and recommendations in this document do not constitute a warranty of any kind, express or implied.Huawei Technologies Co., Ltd.Address: Huawei Industrial BaseBantian, LonggangShenzhen 518129People's Republic of ChinaWebsite: Email: ******************With wide application of cloud computing technology, IT and CT are rapidly converged. Consequently, requirements for public and private cloud deployment, quick service provisioning, on-demand service migration, and tailored attack defense increase sharply. Conventional service gateways with dedicated hardware can hardly meet the deployment requirements of the cloud network architecture.Huawei USG6000V is a virtual (software-based) service gateway based on the network functions virtualization (NFV). It features high virtual resource usage because the virtualization technology allows a large number of tenants to concurrently use the resources. In addition, the USG6000V provides abundant virtualized gateway services, such as vFW, vIPsec, vLB, vIPS, vA V, and vURL Remote Query. It can be flexibly deployed to meet service requirements.Huawei USG6000V series virtual service gateway is compatible with most of mainstream virtual platforms. It provides standard application platform interfaces (APIs), together with the OpenStack cloud platform, SDN Controller, and MANO to achieve intelligent solutions for cloud security. It meets the requirements of flexible service customization, elastic and on-demand resource allocation, visualized network management, rapid rollout and frequent changes of security service, and simple and efficient O&M.HighlightsIntegrated functions and fine-grained managementThe USG6000V provides multiple functions, including security protection to data centers at the virtualization layer and value-added security services for tenants.●Multi-purpose: The USG6000V integrates the traditional firewall, VPN, intrusionprevention, antivirus, data leak prevention, bandwidth management, and online behaviormanagement functions all in one device, simplifying device deployment and improvingmanagement efficiency.●IPS: The USG6000V can detect and defend against over 5000 vulnerabilities. It canidentify and defend against web application attacks, such as cross-site scripting and SQLinjection attacks.●Antivirus: The high-performance antivirus engine of the USG6000V can defend againstover five million viruses and Trojan horse. The virus signature database is updated daily.●Anti-DDoS: The USG6000V can identify and defend against over 5 million viruses andover 10 types of DDoS attacks, such as SYN flood and UDP flood attacks.●Online behavior management: The USG6000V implements cloud-based URL categoryfiltering to prevent threats caused by users' access to malicious websites and control users'online behavior, such as posting. The USG6000V has a predefined URL category databasethat contains over 120 million URLs. In addition, the USG6000V audits users' networkaccess records, such as posting and FTP operations.●Secure interconnection: The USG6000V supports various VPN features, such as IPsec,SSL, L2TP, MPLS, and GRE VPN to ensure high-availability and secure interconnectionbetween enterprise headquarters and branch offices.●QoS management: The USG6000V flexibly controls upper and lower traffic thresholds andimplements policy-based routing and QoS marking by application. It supports QoSmarking for URL categories. For example, the packets for accessing financial websites areassigned a higher priority.●Load balancing: The USG6000V supports server load balancing. In a multi-egress scenario,the USG6000V can implement load balancing with the egresses for applications accordingto link quality, bandwidth, and weights.Flexible deployments of services achieved by elastic and on-demand principlesVirtualization: The USG6000V supports the virtualization of many security services, such as firewall, intrusion prevention, antivirus, and VPN. Users can separately conduct personal managements on the same physical device. The USG6000V8 can be divided to 500 virtual systems to achieve one-to-many virtualization. It requires less investment from small-scale tenants by providing fine-grained service resources.Automation: It supports such plug-ins as NETCONF and OpenStack, and connects to Agile Controller or Openstack cloud platform through standard interfaces. With one-click configuration and delivery of network parameters on the portal, it spares users the nuisances of configuring complicated commands of specific network devices.It achieves seamless orchestration among computing, storage, and network by providing faster deployment of network resources. Network services roll out within minutes with manual configuration being reduced by 90%.Service provisioning process of Huawei DCN security solutionIntegrated management and visualized O&M●Security policy management: Users configure security service rules based on security groups.The Agile Controller generates and automatically delivers security policies.●Visualized O&M: It provides topology visibility for network-wide virtual and physicalresources to quickly locate network fails. It also provides visualized network management based on tenants to meet compliance requirements of visualized network topology, quota, traffic, and alarms.Visualized Agile Controller management of Huawei DCN security solutionBuilding an ecosystem available to be integrated widelyBy adopting standard APIs, it achieves zero transportation and zero cable layouts in the deployment of data centers. With this effortless deployment experience, it accelerates service deployments and supports migration among multiple virtual platforms. It provides automatic service scheduling and other functions by supporting comprehensive northbound interface protocols to realize wide connection to various kinds of standard controllers.●Various virtualization platforms: Supports mainstream virtualization platforms, such asthe VMware, KVM, XEN, Hyper-V, and Huawei FusionSphere, as well as inst allation of bare machine.●Multiple file formats: Supports software packages in multiple formats(including .vmdk, .iso, .qcow2, and .ovf) for deployment in various environments.●API friendliness:Supports the management using NETCONF and RESTCONF NBIsand the OpenStack platform for NFV interconnection.●Solutions: Supports solutions of Huawei DCN.●Public cloud platform: Supports public cloud platforms of AWS, Azure and Huawei. Typical Application ScenarioHuawei DCN security solutionTenants subscribe to value-added services on the service portal; MANO deploys the USG6000V; the Agile Controller predefines the network and delivers security policies based on Layer 4 through 7. All of the procedures for rolling out the services are automated. The USG6000V deployed on the border of the VPC of tenants provides such services as remote access, value-added security, and load balancing. It protects the north-south traffic among tenants from threat transmissions emanated from the data center.The USG6000V supports as many as 500 virtual systems. It provides fine-grained security resources based on virtual systems to small-scale tenants, greatly lowering the threshold for investment.Specifications1. VM resources refer to resources provided by deployed VMs, including vCPUs, memory, hard disks, and virtual interfaces.2. The vCPU indicates the logical CPU virtualized by the Intel x86 64-bit CPU that supports VT. One core corresponds to two vCPUs.3. All performance indicators are tested under the specified hardware environment, namely, RH2288, V3, X86 series-3200MHz-1.8V-64bit-135000mW-Haswell EP Xeon E5-2667 v3-8Core-with heatsink.4. In SR-IOV mode, the SR-IOV technology is used, and the test environment is the KVM platform. In vSwitch mode, the USG6000V is connected to the vSwitch, and the test environment is the VMware platform.5. The maximum throughput is obtained by testing 1518-byte or 1420-byte packets in ideal conditions. The specifications may vary depending on live network environments.6. The maximum throughput is obtained by testing 64-byte packets in ideal conditions. The specifications may vary depending on live network environmentsOrdering Guide2018-11-3Huawei Confidential Page11 of 11About the PublicationThe publication is for reference only and does not constitute a warranty of any kind, express or implied. All trademarks, pictures, logos, and brands in this publication are the property of Huawei Technologies Co., Ltd. or an authorized third party.Copyright © Huawei Technologies Co., Ltd. 2017. All rights reserved.。
华为防火墙web配置教程-华为防火墙典型案例PPT课件
11
Example2:通过PPPoE接入互联网
2 1
4 配置外网接口参数
-
Ste
12
Example2:通过PPPoE接入互联网
1 2
3
-
Step2 配置
4 配置内网接口GE1/0/2的 DHCP服务,使其为局域 内的PC分配IP地址
13
Example2:通过PPPoE接入互联网
2 1
1 配置登录PC自动获取IP地址
2 在浏览器中输入https://接口IP地址:port
3 输入用户名/
-
3
Example1:通过静态IP接入互联网
局域网内所有PC都部署在10.3.0.0/24网段,均通过DHCP动态获得IP地址。 企业从运营商处获取的固定IP地址为1.1.1.1/24。企业需利用防火墙接入互联网。
向运营商获取。
18
Example3:内外网用户同时通过公网IP访问FTP服务器
Ste
2 1
46配置外网接口 Nhomakorabea配
参数
参
-
19
Example3:内外网用户同时通过公网IP访问FTP服务器
2 1
3
4 配置允许内网用户访问 Internet的安全策略
Step2 配
5 配置允许Internet用户 内网FTP服务器的安
-
1
目录
登录Web配置界面
Example1:通过静态IP接入互联网
Example2:通过PPPoE接入互联网 Example3:内外网用户同时通过公网IP访问FTP服务器
Example4:点到点IPSec隧道
Example5:点到多点IPSec隧道(策略模板) Example6:客户端L2TP over IPSec接入(VPN Client/Windows/Mac OS/Android/iOS )
华为防火墙USG配置【范本模板】
内网:配置GigabitEthernet 0/0/1加入Trust区域[USG5300]firewall zone trust[USG5300-zone—untrust] add interface GigabitEthernet 0/0/1外网:配置GigabitEthernet 0/0/2加入Untrust区域[USG5300]firewall zone untrust[USG5300—zone—untrust] add interface GigabitEthernet 0/0/2DMZ:[USG5300]firewall zone dmz[USG5300—zone—untrust] add interface GigabitEthernet 0/0/3[USG5300-zone—untrust]quit1。
4.1 Trust和Untrust域间:允许内网用户访问公网policy 1:允许源地址为10.10.10。
0/24的网段的报文通过[USG5300]policy interzone trust untrust outbound[USG5300—policy—interzone-trust—untrust-outbound] policy 1[USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10。
10。
10。
0 0。
0。
0.255[USG5300-policy-interzone-trust—untrust-outbound-1]action permit[USG5300—policy—interzone-trust-untrust—outbound-1] quit如果是允许所有的内网地址上公网可以用以下命令:[USG2100]firewall packet-filter default permit interzone trust untrust direction outbound //必须1.4。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文档版本V4.0发布日期2016-01-20登录Web 配置界面Example9:应用控制(限制P2P 流量、禁用QQ )Example8:基于用户的带宽管理Example7:SSL VPN 隧道接入(网络扩展)Example6:客户端L2TP over IPSec 接入(VPN Client/Windows/Mac OS/Android/iOS )Example5:点到多点IPSec 隧道(策略模板)Example4:点到点IPSec 隧道Example3:内外网用户同时通过公网IP 访问FTP 服务器Example2:通过PPPoE 接入互联网Example1:通过静态IP 接入互联网目录341118263651116131141组网图缺省配置管理接口 GE0/0/0IP 地址 192.168.0.1/24 用户名/密码admin/Admin@123登录Web 配置界面6~810及以上配置登录PC 自动获取IP 地址1在浏览器中输入https://接口IP 地址:port2输入用户名/密码3Firewall192.168.0.*GE0/0/0192.168.0.1/24网口局域网内所有PC都部署在10.3.0.0/24网段,均通过DHCP动态获得IP地址。
企业从运营商处获取的固定IP地址为1.1.1.1/24。
企业需利用防火墙接入互联网。
项目数据说明DNS服务器 1.2.2.2/24 向运营商获取。
网关地址 1.1.1.254/24 向运营商获取。
23配置外网接口 参数45配置内网接口参数6123配置内网接口GE1/0/2的DHCP 服务,使其为局域网内的PC 分配IP 地址412134配置允许内网IP地址访问外网241新建源NAT ,实现内网用户正常访问Internet531、检查接口GigabitEthernet 1/0/1(上行链路)的连通性。
1查看接口状态是否为Up。
2、在内网PC上执行命令ipconfig /all,PC正确分配到IP地址和DNS地址。
3、局域网内PC能通过域名访问Internet。
项目数据说明GigabitEthernet 1/0/1安全区域:Untrust通过拨号向PPPoE Server (运营商设备)拨号获得IP 地址、DNS 地址。
•拨号用户名:user•拨号密码:Password@GigabitEthernet 1/0/2 IP 地址:10.3.0.1/24 安全区域:Trust 通过DHCP ,给局域网内PC 动态分配IP 地址。
DNS 服务器1.2.2.2/24向运营商获取。
局域网内所有PC 都部署在10.3.0.0/24网段,均通过DHCP 动态获得IP 地址。
设备作为Client ,通过PPPoE 协议向Server (运营商设备)拨号后获得IP 地址,实现接入Internet 。
23配置外网接口参数45配置内网接口参数6123配置内网接口GE1/0/2的DHCP 服务,使其为局域网内的PC 分配IP 地址412134配置允许内网IP地址访问外网2 31新建源NAT,实现内网用户正常访问Internet541、检查接口GigabitEthernet 1/0/1(上行链路)的连通性。
1查看接口状态是否为Up,连接类型是否为PPPoE2、在内网PC上执行命令ipconfig /all, PC正确分配到IP地址和DNS地址。
3、局域网内PC能通过域名访问Internet。
项目数据说明GigabitEthernet 1/0/2 安全区域:Trust - GigabitEthernet 1/0/1 安全区域:Untrust- FTP 服务器 对外公布的公网地址:1.1.1.2 公网端口:2121 -DNS 服务器 1.2.2.2/24 向运营商获取。
网关地址1.1.1.254/24向运营商获取。
企业内网用户和FTP 服务器均在同一网段10.3.0.0/24,且均放在Trust 安全区域。
企业采用上行接入Internet (固定IP 方式),IP 地址向ISP 申请获得。
内网用户和外网用户均通过公网地址1.1.1.2和端口2121访问FTP 服务器,内网用户通过公网地址1.1.1.1访问Internet 。
23配置外网接口参数45配置内网接口参数6123配置允许内网用户访问Internet 的安全策略41配置允许Internet 用户访问内网FTP 服务器的安全策略5241 3配置源NAT ,实现内网用户使用公网地址访问Internet524配置源NAT ,实现内网用户使用公网地址访问FTP 服务器6132134配置FTP服务器的私网地址映射为公网地址1.1.1.213241. 内网PC能访问Internet。
2. Internet上的用户可以通过公网地址1.1.1.2和端口2121访问FTP服务器。
3. 内网用户可以通过公网地址1.1.1.2和端口2121访问FTP服务器。
Example4:点到点IPSec隧道组网图Firewall_A和Firewall_B分别是网络A和网络B的出口网关,Firewall_A和Firewall_B采用固定IP地址接入Internet。
在Firewall_A和Firewall_B之间建立IKE协商方式的点到点IPSec隧道,使两个网络中的设备都可以主动发起连接。
项目Firewall_A Firewall_B场景点到点点到点对端地址 1.1.5.1 1.1.3.1认证方式预共享密钥预共享密钥预共享密钥Admin@123 Admin@123本端ID IP地址IP地址对端ID IP地址IP地址23 配置外网接口参数。
45配置内网接口参数。
61允许网络A 中的私网IP 地址访问网络B 中的私网IP 地址。
34允许网络B 中的私网IP 地址访问网络A 中的私网IP 地址。
5允许Firewall_B 的公网IP 地址访问Firewall_A 自身。
612允许Firewall_A 自身访问Firewall_B 的公网IP 地址。
71234配置到网络B中私网IP地址的路由。
此处假设Firewall_A到Internet的下一跳IP地址为1.1.3.2。
2 3先选择场景,然后完成基本配置。
45增加待加密的数据流。
67配置IPSec安全提议。
8本例中安全提议参数全部使用缺省值,如果您对参数有明确要求,请修改,并注意与Firewall_B上的配置保持一致。
123 配置外网接口参数。
45配置内网接口参数。
61允许网络B 中的私网IP 地址访问网络A 中的私网IP 地址。
34允许网络A 中的私网IP 地址访问网络B 中的私网IP 地址。
5允许Firewall_A 的公网IP 地址访问Firewall_B 自身。
612允许Firewall_B 自身访问Firewall_A 的公网IP 地址。
71234配置到网络A中私网IP地址的路由。
此处假设Firewall_B到Internet的下一跳IP地址为1.1.5.2。
2 3先选择场景,然后完成基本配置。
45增加待加密的数据流。
67配置IPSec安全提议。
8本例中安全提议参数全部使用缺省值,如果您对参数有明确要求,请修改,并注意与Firewall_A上的配置保持一致。
1Example4:点到点IPSec隧道 Step9 结果验证配置成功后,查看IPSec策略列表和IPSec监控信息,能够看到建立的IPSec隧道。
网络A中的主机访问网络B中的主机或服务器,能够成功访问;同样网络B中的主机也能够成功访问网络A中的主机或服务器。
Firewall_A的IPSec策略列表和IPSec隧道监控信息Firewall_B的IPSec策略列表和IPSec隧道监控信息配置完成后如果IPSec隧道没有成功建立,请单击“诊断”查看错误原因和解决办法。
Example5:点到多点IPSec隧道(策略模板)组网图Firewall_A是总部的出口网关,Firewall_B和Firewall_C分别是分支机构1和分支机构2的出口网关,Firewall_A采用固定IP地址接入Internet,Firewall_B和Firewall_C采用动态获取到的IP地址接入Internet。
在Firewall_A和Firewall_B之间、Firewall_A和Firewall_C之间分别建立IPSec隧道,使分支机构1和分支机构2的设备能主动发起到总部的连接(总部不能主动发起到分支机构的连接)。
项目Firewall_A (总部)Firewall_B(分支1)Firewall_C (分支2)场景点到多点点到点点到点对端地址不指定对端网关地址 1.1.3.1 1.1.3.1认证方式预共享密钥预共享密钥预共享密钥预共享密钥Admin@123 Admin@123 Admin@123本端ID IP地址IP地址IP地址对端ID 接受任意对端ID IP地址IP地址23 配置外网接口参数。
45配置内网接口参数。
61允许总部的私网IP 地址访问分支1和分支2的私网IP 地址。
34允许分支1和分支2的私网IP 地址访问总部的私网IP 地址。
5允许分支1和分支2的公网IP 地址访问Firewall_A 自身。
由于分支的公网IP 地址不固定,因此不配置源地址。
612允许Firewall_A 自身访问分支1和分支2的公网IP 地址。
由于分支的公网IP 地址不固定,因此不配置目的地址。
74512配置到分支1私网IP 地址的路由。
此处假设Firewall_A 到Internet 的下一跳IP 地址为1.1.3.2。
配置到分支2私网IP 地址的路由。
此处假设Firewall_A 到Internet 的下一跳IP 地址为1.1.3.2。
32 31配置IPSec策略。
4如果没有按照Step3配置到分支的静态路由,请勾选“待加密的数据流”中的“反向路由注入”,表示总部自动生成到分支私网的路由。
5增加待加密的数据流(总部到分支1)。
6增加待加密的数据流(总部到分支2)。
723 配置外网接口参数。
此处假设连接类型为DHCP 。
45配置内网接口参数。
61允许分支1中的私网IP 地址访问总部的私网IP 地址。
34允许总部的私网IP 地址访问分支1的私网IP 地址。
512允许总部的公网IP 地址访问Firewall_B 自身。
由于分支1的公网IP 地址不固定,因此不配置目的地址。
6允许Firewall_B 自身访总部的公网IP地址。
由于分支1的公网IP 地址不固定,因此不配置源地址。
71234配置到总部私网IP地址的路由。
2 3先选择场景,然后完成基本配置。
45增加待加密的数据流(分支1到总部)。
67配置IPSec安全提议。
8本例中安全提议参数全部使用缺省值,如果您对参数有明确要求,请修改。