几分钟带你快速开“玩”华为防火墙
一、准备工作
首先你需要一个神器——华为eNSP模拟器(数通小伙伴)
接下就是再检查一下电脑里是否有 Microsoft KM-TEST 环回网络 适配器
在: < 控制面板 \网络和 Internet\网络连接 > 里查看
.png)
发现没有环回网络 适配器,那就老老实实 添加环 回网络 适配器 ( 为了 云设备 绑定网卡)
注意: eNSP 工具中的云代表通过各种网络技术连接起来的计算机网络环境,目前可实现的功能包括:仿真设备之间建立映射关系、绑定网卡与仿真设备之间进行通信,以及通过开放UDP端口方式与外部程序进行通信。
同时按键盘上的 Windows + X键以打开 < 快速访问> 菜单。从列表中选择 < 计算机管理 > 以打开 计算机管理界面
.png)
然后 <设备管理器> 展开 <网络适配器> 再点击 上面的 <操作 > 选择 “ 添加 过时硬件” 安装环回适配器。
.png)
进入“网络适配器”
.png)
找到 Microsoft 厂商下的 Microsoft KM-TEST环回适配器 安装就ok
.png)
然后可以再去看一波安装完成
.png)
准备工作结束后就正式进入
接下来主要步骤:
a. 设备的接入端口已配置IP地址。即防火墙g0/0/0端口配置IP地址,该IP地址需要保证和您本地计算机所在同一网段并且该地址未被使用。
b. 您的本地计算机已通过CLOUD设备与防火墙实现互通。
c. 设备正常运行,HTTP服务已正确配置。
d. 您的本地计算机上已安装浏览器软件。
1、配置环回适配器 在同一 IP地址
把 IP地址配在同一网络段将环回适配器的地址为192.168.0.0/24网段的地址,这里我们将环回适配器的地址配置为: 192.168.0.2 22 /24
配置方式如下图:
.png)
.png)
记住:到这里因为添加了新设备,一定要重新启动,要不然到时候cloud 里会没有生效的配置!!!
Topo图:
.png)
注意:防火墙选用 USG6000V 防火墙
.png)
设备先,然后你会发现 Cloud 连 不 上线,不要慌,之前不是说 Cloud可以 让 备之间 建立映射关系、绑定网卡与仿真设备之间进行通信,以及通过开放UDP端口方式与外部程序进行通信, 继续看下面为Cloud 添加端口才行
.png)
2、配置Cloud
1. 创建UDP端口
- 在“端口创建”区域框中,依据连接至云的设备接口类型选择相应的“端口类型”。
- “绑定信息”选择“UDP”。
- 单击“增加”。
注意: 创建UDP端口时, 不可勾选“开放UDP端口” 。
- 使用云进行网卡绑定时,请务必不要绑定公共网络使用的网卡,否则可能会引起动态地址池内网络故障,华为内部用户会涉及安全违规。
- 由于建立端口映射至少需要两个端口,可参考之前操作新建UDP端口即可。
系统会自动分配UDP 地址
.png)
2 . 根据已创建的端口信息,配置端口映射。
- 选择“端口类型”。
- 选择“入端口编号”和“出端口编号”。如配置“入端口编号”为“1”、“出端口编号”为“2”,则表示从“1”端口进入云的数据,都从“2”端口送出。
- 勾选“双向通道” ,即表示同时添加反向映射关系。
- 单击“增加”,即在“端口映射表”中显示相应的端口映射关系。
如下图所示:
.png)
设置完成后,返回到拓扑界面, 手动在 设备与“云”之间建立链路,此时云端将显示已创建的端口信息 , 连接防火墙和Cloud ( eNSP 防火墙设备现只支持g0/0/0端口登录web网管对设备进行管理和配置。 ) 开启所有设备 (得多等一会儿才会变绿)
进入防火墙的命令行视图, USG6000V 防火墙
默认的用户名是:admin
密码: Admin@123
第一次登录 就 提示更改密码;
.png)
查看当前端口的默认配置
dis ip int brief g0/0/0.png)
刚好和我们配置的网关在同一网络段 : 192.168.0.0/24
这时只需要 在G 0/0/0 端口实现防火墙 http\https\ping 策略放通
[Jack20]int g0/0/0
[Jack20-GigabitEthernet0/0/0]service-manage http permit
[Jack20-GigabitEthernet0/0/0]service-manage https permit
[Jack20-GigabitEthernet0/0/0]service-manage ping permit日志会有 相应回显
.png)
查看当前端口下配置情况:
[Jack20-GigabitEthernet0/0/0]display this.png)
测试:
由于刚刚放通了 ping ,所以在本机电脑上是可以正常 p ing 通模拟器中的防火墙的,说明所有配置都是对的
.png)
然后本地计算机打开浏览器软件(以火狐浏览器为例),在地址栏中输入“ https://192.168.0.1:8443 ”( 192.168.0.1 为示例,请以以太接口中实际配置的接入端口IP地址为准),按下回车键,显示Web网管的登录界面。
.png)
点击WEB页面中的 <高级> 按钮 同意即可
.png)
1. 输入登录信息。
a. 选择语言
目前支持 多种语言 。
.png)
b. 输入用户名和密码。
缺省用户名为 admin ,缺省密码为 Admin@123 。 这里 密码为上面改过的新密码
c. 单击“ 登录”,进入操作页面。
注意: 用户登录成功后,在固定时间内未进行任何操作(缺省超时时间为10分钟),系统自动注销当前登录。单击“确定”后,重新返回到登录页面。
登陆后会有一个 快速向导将帮助您完成设备基础配置并连接到互联网 (和真机一毛一样)
.png)
.png)
很全面的基本情况管理显示
.png)
.png)
还有 很多 全面的可视化配置,大家都可以自己上手自己体验一波
最后融入到实际的项目设计中
比如:
.png)
后面有时间会给大家讲这个 超综合 的案例
知识总结
华为防火墙具有三种工作模式:路由模式、透明模式、混合模式。
防火墙通过区域区分安全网络和不安全网络,在华为防火墙上安全区域是一个或者多个接口的集合。防火墙通过安全区域来划分网络,并基于这些区域控制区域间的报文传递。当数据报文在不同的安全区域之间传递时,将会出发安全策略检查。
注意:
• 安全区域的优先级必须唯一,即每个安全区域都需要对应不同的优先级,因为防火墙会 宫根据 优先级大小来确定网络的受信任级别。
• 华为防火墙中,一个接口只能加入一个安全区域。
USG6000V防火墙支持的特性总结
| 特性 |
子特性 |
|
| 网络层安全防护 |
包过滤 |
支持基于策略的包过滤。 |
| NAT |
支持对报文源、目的IP地址和端口进行转换。 支持 将私网 IP地址和端口映射为公网IP地址和端口,使内网服务器可以对外提供网络服务。 支持对多通道协议报文的载荷中协商的IP地址和端口进行自动转换。 |
|
| DDoS攻击防范 |
防范多种DoS和DDoS攻击: • 协议报文DDoS:SYN Flood、UDP Flood、ICMP Flood、ARP Flood • 应用层DDoS:HTTP Flood、HTTPS Flood、DNS Flood、SIP Flood |
|
| 单包攻击防范 |
防范多种单包攻击,进行报文合法性检查:IP Spoofing、LAND攻击、Smurf攻击、 Fraggle 攻击、 WinNuke 、Ping of Death、Tear Drop、地址扫描、端口扫描、IP Option控制、IP分片报文控制、TCP标记合法性检查、ICMP报文控制、ICMP重定向报文控制、ICMP不可达报文控制、TRACERT报文控制。 |
|
| 黑白名单 |
支持通过基于IP地址的黑白名单,对报文进行快速过滤。 |
|
| IP与MAC地址绑定 |
支持将用户主机的IP地址与MAC地址进行绑定,防范IP地址仿冒。 |
|
| 流量管理 |
基于IP的带宽管理 |
可以限制IP的最大带宽。 |
| 基于IP的连接 数管理 |
可以限制IP的最大连接数。 |
|
| 基于接口的带宽管理 |
可以限制接口的最大带宽。 |
|
| 智能选路 |
DNS透明代理 |
支持修改DNS请求报文的目的地址,将DNS请求分发到不同的ISP,以实现流量负载分担。 |
| 策略路由 |
支持从应用、服务、入接口、源安全区域、源/目的IP地址、时间段等维度决定如何转发报文。 支持单出口和多出口,当策略路由为多出口时,可以基于链路带宽、链路权重、链路质量或链路优先级进行智能选路。 |
|
| 全局选路策略 |
支持基于等价缺省路由的智能选路,可以根据链路带宽、链路权重、链路优先级进行选路。 |
|
| 运营商地址库选路 |
支持基于目的地址所在运营商网络选择相应的出接口。 |
|
| 链路健康检查 |
支持基于多种协议对链路可用性进行探测。 |
|
| 路由交换与报文转发 |
交换协议 |
支持ARP、VLAN、PPP/ PPPoE 等常用链路层协议。 |
| 路由协议 |
支持静态路由、策略路由、路由策略、RIP、IS-IS、OSPF、BGP、组播等常用路由协议。 |
|
| IP转发 |
支持DNS、DHCP、ICMP、URPF等基本IP协议。 |
|
| IPv6 |
IPv6基础技术 |
支持IPv6报文的解析与转发,支持IPv6的静态路由、策略路由、路由策略以及 RIPng 、OSPFv3、BGP4+、IS-ISv6等IPv6动态路由协议。 |
| IPv6网络的安全防护 |
支持基于IPv6地址部署安全策略,进行IPv6网络的安全防护。可以基于IPv6地址对网络主机的 报文进 行包过滤和内容安全的检测处理,所能实现的功能和达到的防护效果与IPv4一致。 |
|
| VPN |
IPSec /IKE |
支持IKE的v1和v2 两个 版本。 支持DES、3DES、AES等多种加密算法,支持MD5、SHA1等多种校验算法。提供完整的报文加密与验证能力。 支持L2TP over IPSec 、GRE over IPSec 。 |
| L2TP |
支持作为LAC或者LNS。 |
|
| GRE |
支持通过GRE跨网传播RIP、OSPF和BGP。 |
|
| 可靠性 |
双 机热备 |
支持VRRP、VGMP、HRP等双 机热备 协议。提供完善的双 机热备处理 机制,保证主机发生故障时,业务可以自动平滑切换到备机上运行。 |
| 链路状态检测 |
支持通过ICMP探测、ARP探测等方式对链路连接状况进行实时检测,在链路故障时及时倒换流量。 |
|
| 虚拟系统 |
功能虚拟化 |
实现了主要功能的完全虚拟化。每个虚拟系统都拥有各自的配置、表项以及资源。 |
| 虚拟管理员 |
支持创建虚拟管理员,每个管理员可以分配特定虚拟系统。每个管理员都有各自的配置界面,可以独立对设备进行维护操作。不同虚拟系统间相互隔离,配置不会产生冲突。 |
|
| 可视化管理与维护 |
全新设计的Web界面 |
全新设计的Web界面提供了丰富、易用的可视化管理和维护功能,在Web界面可以轻松查看日志报表、进行配置管理和故障诊断。使用Web 界面中的快速向导可以轻松完成部分重要特性的常用配置。 |
| 多种远程管理方式 |
支持Web、CLI(虚拟机软件平台、Telnet、SSH)、网管(SNMP)、SDN Controller(Netconf协议)等多种管理方式。 |
|
| 远程管理 |
支持通过虚拟机软件平台、 Telent 、SSH、Web等多种方式登录设备进行管理。 支持SNMP协议,可以使用标准网管软件进行管理。 支持Syslog格式日志,可以使用日志服务器进行日志收集和管理。 支持NQA。 |
- 点赞
- 收藏
- 关注作者
评论(0)