简介
防火墙是一种网络安全设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切,是有控制地隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙。
实验拓扑
命令行参数配置
密码配置
防火墙登录修改密码
默认用户名 admin 密码 Admin@123 请参考当前型号默认用户名密码文档
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: y
Please enter old password: 旧密码
Please enter new password: 新密码
Please confirm new password: 再次输入新密码
初始化防火墙
新设备无需重置命令操作
旧设备可使用Console 口使用
reset saved-configuration重置
接口IP配置
内网配置
interface GigabitEthernet1/0/3
undo shutdown
ip address 192.168.10.254 255.255.255.0
dhcp select interface
dhcp server dns-list 114.114.114.114外网配置
interface GigabitEthernet1/0/6
undo shutdown
ip address 192.168.50.134 255.255.255.0安全区域配置
firewall zone trust 配置内部区域
add interface GigabitEthernet1/0/3 添加接口3到内部区域
firewall zone untrust 配置外部区域
add interface GigabitEthernet1/0/6 添加接口6到外部区域静态路由配置
ip route-static 0.0.0.0 0.0.0.0 192.168.50.1 配置静态路由下一条是外部ip网关安全策略配置
security-policy 安全策略
rule name nei-to-wai 设置配置名称
source-zone local 源区域 本地
source-zone trust 源区域 内部
destination-zone untrust 目的区域 外部
action permit 行为 允许通行NAT配置
nat-policy nat策略
rule name nei-to-wai 策略名称
source-zone local 源区域本地区域 内部区域
source-zone trust
destination-zone untrust 目的区域 外部区域
action source-nat easy-ip 允许源地址转换到接口ip
WEB页面参数配置
配置接口IP 电脑的网卡也要配置一样的ip网段
开启https服务 以及其他服务
interface GigabitEthernet0/0/0 //进入接口
server-service-manage https permit //输入这条命令即可开启后详细配置
[USG6000V1]web-manager enable 开启web功能
interface GigabitEthernet0/0/0
undo shutdown
ip address 192.168.99.254 255.255.255.0
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit管理员admin 密码 huawei@123 跟命令行一样
图形界面配置上网
选择顶部菜单栏-网络-接口
外网配置
配置安全区域
配置连接类型
运营商给的固定ip选择静态ip
拨号上网选择第三个PPPoE
内网配置
配置是否内外访问web页面
DHCP配置
新建一个DHCP服务器-内网接口
静态路由配置
安全策略
新建一条新的安全策略 - 防火墙默认阻断所有报文
新策略取名称-内网访问外网允许通行
NAT策略
新建一条新的nat策略-防火墙默认阻断所有报文
新NAT策略取名称-内网访问外网允许通行
USG6000配置服务器映射(NAT Server)
(多媒体) USG6000配置服务器映射(NAT Server) - 华为 (huawei.com)