几分钟带你快速开“玩”华为防火墙

举报
Jack20 发表于 2021/08/07 09:40:25 2021/08/07
【摘要】 一、准备工作 先检查一下电脑里是否有 Microsoft KM-TEST 环回网络 适配器 在: < 控制面板 \网络和 Internet\网络连接 > 里查看 发现没有环回网络 适配器,那就老老实实 添加环 回网络 适配器 ( 为了 云设备 绑定网卡) 注意: eNSP 工具中的云代表通过各种网络技术连接起来的计算机网络环境,目前可实现的功能包括:仿真设备...

一、准备工作

首先你需要一个神器——华为eNSP模拟器(数通小伙伴)

接下就是再检查一下电脑里是否有 Microsoft KM-TEST 回网络 适配器

在: < 控制面板 \网络和 Internet\网络连接 > 里查看

发现没有环回网络 适配器,那就老老实实 添加环 回网络 适配器 为了 云设备 绑定网卡)

注意: eNSP 工具中的云代表通过各种网络技术连接起来的计算机网络环境,目前可实现的功能包括:仿真设备之间建立映射关系、绑定网卡与仿真设备之间进行通信,以及通过开放UDP端口方式与外部程序进行通信。

同时按键盘上的 Windows + X键以打开 < 快速访问> 菜单。从列表中选择 < 计算机管理 > 以打开 计算机管理界面

然后 <设备管理器> 展开 <网络适配器> 再点击 上面的 <操作 > 选择 添加 过时硬件” 安装环回适配器。

进入“网络适配器”

找到 Microsoft 厂商下的 Microsoft KM-TEST环回适配器 安装就ok

然后可以再去看一波安装完成

准备工作结束后就正式进入

接下来主要步骤:

a. 设备的接入端口已配置IP地址。即防火墙g0/0/0端口配置IP地址,该IP地址需要保证和您本地计算机所在同一网段并且该地址未被使用。

b. 您的本地计算机已通过CLOUD设备与防火墙实现互通。

c. 设备正常运行,HTTP服务已正确配置。

d. 您的本地计算机上已安装浏览器软件。


1、配置环回适配器 在同一 IP地址

IP地址配在同一网络段将环回适配器的地址为192.168.0.0/24网段的地址,这里我们将环回适配器的地址配置为: 192.168.0.2 22 /24

配置方式如下图:

记住:到这里因为添加了新设备,一定要重新启动,要不然到时候cloud 里会没有生效的配置!!!

Topo图:

注意:防火墙选用 USG6000V 防火墙

设备先,然后你会发现 Cloud 上线,不要慌,之前不是说 Cloud可以 备之间 建立映射关系、绑定网卡与仿真设备之间进行通信,以及通过开放UDP端口方式与外部程序进行通信, 继续看下面为Cloud 添加端口才行

2、配置Cloud

1. 创建UDP端口

  1.  在“端口创建”区域框中,依据连接至云的设备接口类型选择相应的“端口类型”。
  2.  “绑定信息”选择“UDP”。
  3. 单击“增加”。

注意: 创建UDP端口时, 不可勾选“开放UDP端口”

  • 使用云进行网卡绑定时,请务必不要绑定公共网络使用的网卡,否则可能会引起动态地址池内网络故障,华为内部用户会涉及安全违规。
  • 由于建立端口映射至少需要两个端口,可参考之前操作新建UDP端口即可。

系统会自动分配UDP 地址

2 . 根据已创建的端口信息,配置端口映射。

  1. 选择“端口类型”。
  2.  选择“入端口编号”和“出端口编号”。如配置“入端口编号”为“1”、“出端口编号”为“2”,则表示从“1”端口进入云的数据,都从“2”端口送出。
  3. 勾选“双向通道” ,即表示同时添加反向映射关系。
  4.  单击“增加”,即在“端口映射表”中显示相应的端口映射关系。

如下图所示:

设置完成后,返回到拓扑界面, 手动在 设备与“云”之间建立链路,此时云端将显示已创建的端口信息 连接防火墙和Cloud eNSP 防火墙设备现只支持g0/0/0端口登录web网管对设备进行管理和配置。 开启所有设备 (得多等一会儿才会变绿)

进入防火墙的命令行视图, USG6000V 防火墙

默认的用户名是:admin

密码: Admin@123

第一次登录 提示更改密码;

查看当前端口的默认配置

dis ip int brief g0/0/0

刚好和我们配置的网关在同一网络段 : 192.168.0.0/24


这时只需要 在G 0/0/0 端口实现防火墙 http\https\ping 策略放通

[Jack20]int g0/0/0

[Jack20-GigabitEthernet0/0/0]service-manage http permit

[Jack20-GigabitEthernet0/0/0]service-manage https permit

[Jack20-GigabitEthernet0/0/0]service-manage ping permit

日志会有 相应回显

查看当前端口下配置情况:

[Jack20-GigabitEthernet0/0/0]display this

测试:

由于刚刚放通了 ping ,所以在本机电脑上是可以正常 p ing 通模拟器中的防火墙的,说明所有配置都是对的

然后本地计算机打开浏览器软件(以火狐浏览器为例),在地址栏中输入“ https://192.168.0.1:8443 ”( 192.168.0.1 为示例,请以以太接口中实际配置的接入端口IP地址为准),按下回车键,显示Web网管的登录界面。

点击WEB页面中的 <高级> 按钮 同意即可

1. 输入登录信息。

a. 选择语言

目前支持 多种语言 。

b. 输入用户名和密码。

缺省用户名为 admin ,缺省密码为 Admin@123 。 这里 密码为上面改过的新密码

c. 单击“ 登录”,进入操作页面。

注意: 用户登录成功后,在固定时间内未进行任何操作(缺省超时时间为10分钟),系统自动注销当前登录。单击“确定”后,重新返回到登录页面。

登陆后会有一个 快速向导将帮助您完成设备基础配置并连接到互联网 (和真机一毛一样)

很全面的基本情况管理显示

还有 很多 全面的可视化配置,大家都可以自己上手自己体验一波

最后融入到实际的项目设计中

比如:

后面有时间会给大家讲这个 超综合 的案例

知识总结

华为防火墙具有三种工作模式:路由模式、透明模式、混合模式。

      防火墙通过区域区分安全网络和不安全网络,在华为防火墙上安全区域是一个或者多个接口的集合。防火墙通过安全区域来划分网络,并基于这些区域控制区域间的报文传递。当数据报文在不同的安全区域之间传递时,将会出发安全策略检查。

注意:

安全区域的优先级必须唯一,即每个安全区域都需要对应不同的优先级,因为防火墙会 宫根据 优先级大小来确定网络的受信任级别。

华为防火墙中,一个接口只能加入一个安全区域。

USG6000V防火墙支持的特性总结

特性

子特性

网络层安全防护






包过滤

支持基于策略的包过滤。

NAT

支持对报文源、目的IP地址和端口进行转换。

支持 将私网 IP地址和端口映射为公网IP地址和端口,使内网服务器可以对外提供网络服务。

支持对多通道协议报文的载荷中协商的IP地址和端口进行自动转换。

DDoS攻击防范

防范多种DoS和DDoS攻击:

协议报文DDoS:SYN Flood、UDP Flood、ICMP Flood、ARP Flood

应用层DDoS:HTTP Flood、HTTPS Flood、DNS Flood、SIP Flood

单包攻击防范

防范多种单包攻击,进行报文合法性检查:IP Spoofing、LAND攻击、Smurf攻击、 Fraggle 攻击、 WinNuke 、Ping of Death、Tear Drop、地址扫描、端口扫描、IP Option控制、IP分片报文控制、TCP标记合法性检查、ICMP报文控制、ICMP重定向报文控制、ICMP不可达报文控制、TRACERT报文控制。

黑白名单

支持通过基于IP地址的黑白名单,对报文进行快速过滤。

IP与MAC地址绑定

支持将用户主机的IP地址与MAC地址进行绑定,防范IP地址仿冒。

流量管理



基于IP的带宽管理

可以限制IP的最大带宽。

基于IP的连接 数管理

可以限制IP的最大连接数。

基于接口的带宽管理

可以限制接口的最大带宽。

智能选路





DNS透明代理

支持修改DNS请求报文的目的地址,将DNS请求分发到不同的ISP,以实现流量负载分担。

策略路由

支持从应用、服务、入接口、源安全区域、源/目的IP地址、时间段等维度决定如何转发报文。

支持单出口和多出口,当策略路由为多出口时,可以基于链路带宽、链路权重、链路质量或链路优先级进行智能选路。

全局选路策略

支持基于等价缺省路由的智能选路,可以根据链路带宽、链路权重、链路优先级进行选路。

运营商地址库选路

支持基于目的地址所在运营商网络选择相应的出接口。

链路健康检查

支持基于多种协议对链路可用性进行探测。

路由交换与报文转发



交换协议

支持ARP、VLAN、PPP/ PPPoE 等常用链路层协议。

路由协议

支持静态路由、策略路由、路由策略、RIP、IS-IS、OSPF、BGP、组播等常用路由协议。

IP转发

支持DNS、DHCP、ICMP、URPF等基本IP协议。

IPv6


IPv6基础技术

支持IPv6报文的解析与转发,支持IPv6的静态路由、策略路由、路由策略以及 RIPng 、OSPFv3、BGP4+、IS-ISv6等IPv6动态路由协议。

IPv6网络的安全防护

支持基于IPv6地址部署安全策略,进行IPv6网络的安全防护。可以基于IPv6地址对网络主机的 报文进 行包过滤和内容安全的检测处理,所能实现的功能和达到的防护效果与IPv4一致。

VPN



IPSec /IKE

支持IKE的v1和v2 两个 版本。

支持DES、3DES、AES等多种加密算法,支持MD5、SHA1等多种校验算法。提供完整的报文加密与验证能力。

支持L2TP over IPSec 、GRE over IPSec 。

L2TP

支持作为LAC或者LNS。

GRE

支持通过GRE跨网传播RIP、OSPF和BGP。

可靠性


双 机热备

支持VRRP、VGMP、HRP等双 机热备 协议。提供完善的双 机热备处理 机制,保证主机发生故障时,业务可以自动平滑切换到备机上运行。

链路状态检测

支持通过ICMP探测、ARP探测等方式对链路连接状况进行实时检测,在链路故障时及时倒换流量。

虚拟系统


功能虚拟化

实现了主要功能的完全虚拟化。每个虚拟系统都拥有各自的配置、表项以及资源。

虚拟管理员

支持创建虚拟管理员,每个管理员可以分配特定虚拟系统。每个管理员都有各自的配置界面,可以独立对设备进行维护操作。不同虚拟系统间相互隔离,配置不会产生冲突。

可视化管理与维护



全新设计的Web界面

全新设计的Web界面提供了丰富、易用的可视化管理和维护功能,在Web界面可以轻松查看日志报表、进行配置管理和故障诊断。使用Web 界面中的快速向导可以轻松完成部分重要特性的常用配置。

多种远程管理方式

支持Web、CLI(虚拟机软件平台、Telnet、SSH)、网管(SNMP)、SDN Controller(Netconf协议)等多种管理方式。

远程管理

支持通过虚拟机软件平台、 Telent 、SSH、Web等多种方式登录设备进行管理。

支持SNMP协议,可以使用标准网管软件进行管理。

支持Syslog格式日志,可以使用日志服务器进行日志收集和管理。

支持NQA。


【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。