您的位置:360文档中心› 华为防火墙部署及配置指南

华为防火墙部署及配置指南

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

防火墙二层模式部署在互联网出口,运行在双机热备的主备模式下。

上连出口网关路由器,下连入侵防御系统,对接沙箱和CIS ,按等保三级“安全区域边界”相关控制点配置策略。

CIS 、SecoManager 一般部署在“运维管理区”,如果用户网络没有按分域架构部署,CIS 、SecoManager 可直接连接核心交换机,保证USG 和CIS 、SecoManager 路由可达即可。

1 防火墙部署及配置指南1.1 方案描述
1.2 网络规划
1.3 配置思路
1.完成防火墙基本网络配置,包括接口和安全区域。

2.配置防火墙双机。

3.配置安全策略,放通OSPF协议流量和内部服务器对外提供服务的流量,禁止其
他流量通过。

4.配置路由器和交换机OSPF。

数据规划参考2.2.2 网络规划,配置操作请参考相关
路由器与交换机产品文档。

5.参考本手册后续章节完成与FireHunter、SecManager、CIS、日志服务器的对接和
业务配置。

1.4 配置详情
1.完成网络基本配置。

2.配置双机热备功能。

3.在FW_A上配置安全策略。

双机热备状态成功建立后,FW_A的安全策略配置会
自动备份到FW_B上。

# 配置安全策略,允许上下行路由器交互的OSPF报文通过FW。

当FW的业务接口工作在二层时,上下行设备之间的OSPF报文需要通过FW。

OSPF报文受
firewall packet-filter basic-protocol enable命令控制。

缺省情况下,firewall packet-filter basic-
protocol enable处于开启状态,即OSPF报文受安全策略控制,需要在上行业务接口所在安全区
域与下行业务接口所在安全区域之间配置安全策略,允许协议类型为OSPF的报文通过。

本例以
firewall packet-filter basic-protocol enable开启为例进行介绍。

HRP_M[FW_A] security-policy
HRP_M[FW_A-policy-security] rule name policy_ospf_1
HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-zone trust
HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-zone untrust
HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-address 10.3.0.1 32
HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-address 10.3.1.1 32
HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-address 10.3.0.2 32
HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-address 10.3.1.2 32
HRP_M[FW_A-policy-security-rule-policy_ospf_1] action permit
HRP_M[FW_A-policy-security-rule-policy_ospf_1] quit
HRP_M[FW_A-policy-security] rule name policy_ospf_2
HRP_M[FW_A-policy-security-rule-policy_ospf_2] source-zone untrust
HRP_M[FW_A-policy-security-rule-policy_ospf_2] destination-zone trust
HRP_M[FW_A-policy-security-rule-policy_ospf_2] source-address 10.3.0.2 32
HRP_M[FW_A-policy-security-rule-policy_ospf_2] source-address 10.3.1.2 32
HRP_M[FW_A-policy-security-rule-policy_ospf_2] destination-address 10.3.0.1 32
HRP_M[FW_A-policy-security-rule-policy_ospf_2] destination-address 10.3.1.1 32
HRP_M[FW_A-policy-security-rule-policy_ospf_2] action permit
HRP_M[FW_A-policy-security-rule-policy_ospf_2] quit
# 配置安全策略,允许外部访问内部服务器的服务端口。

HRP_M[FW_A] security-policy
HRP_M[FW_A-policy-security] rule name service
HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-zone untrust
HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-zone trust
HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-address
192.168.0.100 32
HRP_M[FW_A-policy-security-rule-policy_ospf_1] service protocol tcp
destination-port 8081
HRP_M[FW_A-policy-security-rule-policy_ospf_1] action permit
HRP_M[FW_A-policy-security-rule-policy_ospf_1] quit
1.5 使用限制及注意事项
本场景中用到防火墙各功能特性的使用限制及注意事项详见防火墙产品文档。

相关文档
最新文档