USG6000防火墙配置

网络防火墙是网络中主要的安全设备,各厂家的防火墙设备的配置大同小异,大概的配置流程是:组网配置--接口配置--安全区域配置--网络对象定义--路由配置--NAT配置--策略配置。以下是以USG6000防火墙在eNSP环境的配置举例。

一、初始化向导配置:

首次登录会弹出配置向导,一步步点就可以了。


系统时间配置一定要填好,以方便我们查看系统日志。

接入方式按网络运营商给的参数配置。


局域网接口按规划配置。


填好后有个核对的页面。



有CLI控制台可以用,大部分情况用不到。

二、完成向导后我们看下防火墙的基本配置:

在策略页面我们看到向导创建了个默认策略,是所有流量全部允许,这个之后我会改成全部禁止,这条默认策略是不能删除的,它会在所有配置策略的最下面,也就是如果所有策略都未匹配的流量会按默认策略匹配。我们希望没配置的流量都禁止,所以要改成禁止。

向导创建了源NAT,用来代理内网IP使用防火墙的出口地址访问互联网。

向导创建了到0.0.0.0网络的默认路由,下一跳是运营商给的网关,我这里用10.0.0.1举例。

系统版本信息,一般情况首次配置防火墙要先升级系统到最新稳定版本。

三、配置防火墙接口和对象:

1、配置接口:

在 网络--接口 页面可以看到物理接口和vlan接口等,可以新建vlan接口、子接口等,向导已经把上下联的接口配置好,我们可以按实际情况添加接口。

2、配置安全区域:

安全区域是定义接口属于哪个安全域,默认是四个安全区域是不能删除的,然后优先级是决定信任程度的,高优先级可以访问低优先级的安全区域,低优先级的不能访问高优先级的安全区域。当然,如果我们在策略中把默认策略设置成全部禁止,这个优先级的参数也就无所谓了。需要注意的是,华为的USG6000的这个版本两个安全区域不能配置相同的优先级。

我们把内网接口和互联网接口从默认的安全区域中删除,分别加入新建的安全区域,如下图:

3、配置对象:

新建地址对象:

建立服务对象:

例如:我们局域网有台ERP服务器,我把它需要开放的端口加到服务对象 ERP服务 中。

四、配置防火墙策略:

默认是配置是通过防火墙的流量不需要用户认证,这个友友们按需设置。

先把默认策略改成全部禁止,然后再创建一条“代理上网”的策略,填入源目的安全区域、源目的地址,动作是“允许”。

创建ERP服务器的策略,例如:ERP服务器IP是192.168.100.1,用32位掩码表示一个IP。

在策略中填入源目的信息。

点击右上角保存按钮,保存配置。策略的匹配方式是由上到下逐条匹配,如未匹配到,则按安全区域的优先级决定允许或禁止。需要注意的是现在市面的主流防火墙都是状态检测防火墙,对于同一流量的首包如果匹配的策略是允许,就会为该会话建立会话表,首包后面的包就直接放行以提高传输效率,而且只需配置主动方向的策略,需要双向通信的流量如视频会议等才需要配置双向策略。

以上就是USG6000防火墙配置的简单介绍,能力有限,水平一般,欢迎友友们一起交流。整理不易,欢迎友友们转评赞!!!

举报