华为防火墙配置使用手册

防火墙默认的管理接口为g0/0/0，默认的ip地址为192.168.0.1/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin@123

GE 0/0/1：10.10.10.1/24 GE 0/0/2：220.10.10.16/24 GE 0/0/3：10.10.11.1/24 WWW服务器：10.10.11.2/24（DMZ区域） FTP服务器：10.10.11.3/24（DMZ区域）

配置VTY 的优先级为3，基于密码验证。

# 进入系统视图。

system-view

# 进入用户界面视图

[USG5300] user-interface vty 0 4

# 设置用户界面能够访问的命令级别为level 3

[USG5300-ui-vty0-4] user privilege level 3

配置Password验证

# 配置验证方式为Password验证

[USG5300-ui-vty0-4] authentication-mode password

# 配置验证密码为lantian

[USG5300-ui-vty0-4] set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123

配置空闲断开连接时间

# 设置超时为30分钟

[USG5300-ui-vty0-4] idle-timeout 30

[USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。

基于用户名和密码验证

user-interface vty 0 4

authentication-mode aaa

aaa

local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!

local-user admin service-type telnet

local-user admin level 3

firewall packet-filter default permit interzone untrust local direction inbound

如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。

内网：

进入GigabitEthernet 0/0/1视图

[USG5300] interface GigabitEthernet 0/0/1

配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0

配置GigabitEthernet 0/0/1加入Trust区域

[USG5300] firewall zone trust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1

[USG5300-zone-untrust] quit

外网：

进入GigabitEthernet 0/0/2视图

[USG5300] interface GigabitEthernet 0/0/2

配置GigabitEthernet 0/0/2的IP地址

[USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0

配置GigabitEthernet 0/0/2加入Untrust区域

[USG5300] firewall zone untrust

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2

[USG5300-zone-untrust] quit

DMZ：

进入GigabitEthernet 0/0/3视图

[USG5300] interface GigabitEthernet 0/0/3

配置GigabitEthernet 0/0/3的IP地址。

[USG5300-GigabitEthernet0/0/3] ip address 10.10.11.1 255.255.255.0

[USG5300] firewall zone dmz

[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3

[USG5300-zone-untrust] quit

本地策略是指与Local安全区域有关的域间安全策略，用于控制外界与设备本身的互访。

域间安全策略就是指不同的区域之间的安全策略。

域内安全策略就是指同一个安全区域之间的策略，缺省情况下，同一安全区域内的数据流都允许通过，域内安全策略没有Inbound和Outbound方向的区分。

策略内按照policy的顺序进行匹配，如果policy 0匹配了，就不会检测policy 1了,和policy的ID大小没有关系，谁在前就先匹配谁。

缺省情况下开放local域到其他任意安全区域的缺省包过滤，方便设备自身的对外访问。其他接口都没有加安全区域，并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域，并配置域间安全策略或开放缺省包过滤。

安全策略的匹配顺序：

每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。

匹配条件

安全策略可以指定多种匹配条件，报文必须同时满足所有条件才会匹配上策略。

比如如下策略

policy 1

policy service service-set dns

policy destination 221.2.219.123 0

policy source 192.168.10.1

在这里policy service的端口53就是指的是221.2.219.123的53号端口，可以说是目的地址的53号端口。

域间可以应用多条安全策略，按照策略列表的顺序从上到下匹配。只要匹配到一条策略就不再继续匹配剩下的策略。如果安全策略不是以自动排序方式配置的，策略的优先级按照配置顺序进行排列，越先配置的策略，优先级越高，越先匹配报文。但是也可以手工调整策略之间的优先级。缺省情况下，安全策略就不是以自动排序方式。如果安全策略是以自动排序方式配置的，策略的优先级按照策略ID的大小进行排列，策略ID越小，优先级越高，越先匹配报文。此时，策略之间的优先级关系不可调整。policy create-mode auto-sort enable命令用来开启安全策略自动排序功能，默认是关闭的。

如果没有匹配到安全策略，将按缺省包过滤的动作进行处理，所以在配置具体安全策略时要注意与缺省包过滤的关系。例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤，将造成那些没有匹配到安全策略的流量也会通过，就失去配置安全策略的意义了。

同样，如果安全策略中只配置了需要拒绝的流量，其他流量都是允许通过的，这时需要开放缺省包过滤才能实现需求，否则会造成所有流量都不能通过。

执行命令display this查看当前已有的安全策略，策略显示的顺序就是策略的匹配顺序，越前边的优先级越高

执行命令policy move policy-id1 { before | after } policy-id2，调整策略优先级。

UTM策略

安全策略中除了基本的包过滤功能，还可以引用IPS、AV、应用控制等UTM策略进行进一步的应用层检测。但前提是匹配到控制动作为permit的流量才能进行UTM处理，如果匹配到deny直接丢弃报文。

安全策略的应用方向

域间的Inbound和Outbound方向上都可以应用安全策略，需要根据会话的方向合理应用。因为USG是基于会话的安全策略，只对同一会话的首包检测，后续包直接按照首包的动作进行处理。所以对同一条会话来说只需要在首包的发起方向上，也就是访问发起的方向上应用安全策略。

如上图所示，Trust域的PC访问Untrust域的Server，只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC访问Server即可，对于Server回应PC的应答报文会命中首包建立的会话而允许通过。

策略一般都是优先级高的在前，优先级低的在后。

policy 1：允许源地址为10.10.10.0/24的网段的报文通过

配置Trust和Untrust域间出方向的防火墙策略。 //如果不加policy source就是指any，如果不加policy destination目的地址就是指any。

[USG5300] policy interzone trust untrust outbound

[USG5300-policy-interzone-trust-untrust-outbound] policy 1

[USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255

[USG5300-policy-interzone-trust-untrust-outbound-1] action permit

[USG5300-policy-interzone-trust-untrust-outbound-1] quit

如果是允许所有的内网地址上公网可以用以下命令：

[USG2100]firewall packet-filter default permit interzone trust untrust direction outbound //必须添加这条命令，或者firewall packet-filter default permit all，但是这样不安全。否则内网不能访问公网。

注意：由优先级高访问优先级低的区域用outbound，比如policy interzone trust untrust outbound。这时候policy source ip地址，就是指的优先级高的地址，即trust地址，destination地址就是指的untrust地址。只要是outbound，即使配置成policy interzone untrust trust outbound也会变成policy interzone trust untrust outbound。

由优先级低的区域访问优先级高的区域用inbound，比如是policy interzone untrust trust inbound，为了保持优先级高的区域在前，优先级低的区域在后，命令会自动变成policy interzone trust untrust inbound，这时候policy source ip地址，就是指的优先级低的地址，即untrust地址，destination地址就是指的优先级高的地址，即trust地址。

总结：outbount时，source地址为优先级高的地址，destination地址为优先级低的地址。inbount时，source地址为优先级低的地址，destination地址为优先级高的地址

配置完成后可以使用display policy interzone trust untrust来查看策略。

policy 2：允许目的地址为10.10.11.2，目的端口为21的报文通过

policy 3：允许目的地址为10.10.11.3，目的端口为8080的报文通过

配置Untrust到DMZ域间入方向的防火墙策略，即从公网访问内网服务器

只需要允许访问内网ip地址即可，不需要配置访问公网的ip地址。

注意：在域间策略里匹配的顺序和policy的数字没有关系，他是从前往后检查，如果前一个匹配就不检查下一条了，假如先写的policy 3后写的policy 2，那么就先执行policy 3里的语句，如果policy 3里和policy 2里有相同的地址，只要上一个匹配了就不执行下一个一样的地址了。

举例说明：policy 2里允许192.168.0.1通过，policy 3里拒绝192.168.0.1通过，哪个policy先写的就执行哪个。

[USG5300] policy interzone untrust dmz inbound

[USG5300-policy-interzone-dmz-untrust-inbound] policy 2

[USG5300-policy-interzone-dmz-untrust-inbound-2] policy destination 10.10.11.3 0

[USG5300-policy-interzone-dmz-untrust-inbound-2] policy service service-set ftp

[USG5300-policy-interzone-dmz-untrust-inbound-2] action permit

[USG5300-policy-interzone-dmz-untrust-inbound-2] quit

[USG5300-policy-interzone-dmz-untrust-inbound] policy 3

[USG5300-policy-interzone-dmz-untrust-inbound-3] policy destination 10.10.11.2 0

[USG5300-policy-interzone-dmz-untrust-inbound-3] policy service service-set http

[USG5300-policy-interzone-dmz-untrust-inbound-3] action permit

[USG5300-policy-interzone-dmz-untrust-inbound-3] quit

[USG5300-policy-interzone-dmz-untrust-inbound] quit

应用FTP的NAT ALG功能。

[USG5300] firewall interzone dmz untrust ###优先级高的区域在前 [USG5300-interzone-dmz-untrust] detect ftp [USG5300-interzone-dmz-untrust] quit 在USG5300支持FTP、HTTP、H.323、HWCC、ICQ、MSN、PPTP、QQ、RTSP、SIP、MGCP、SQL.NET、NETBIOS、MMS等协议的会话时，需要在域间启动ALG功能

配置NAT ALG功能与配置应用层包过滤（ASPF）功能使用的是同一条命令。所以如果已经在域间配置过ASPF功能的话，可以不需要再重复配置NAT ALG功能。

两者的区别在于：

在域间执行detect命令，将同时开启两个功能。

配置内部服务器：

system-view

[USG5300] nat server protocol tcp global 220.10.10.16 8080 inside 10.10.11.2 www

[USG5300] nat server protocol tcp global 220.10.10.17 ftp inside 10.10.11.3 ftp

Trust和Untrust域间： 如果是同一个区域，比如trust到trust就是域内。

基于源IP地址转换方向

Outbound方向：数据包从高安全级别流向低安全级别

Inbound方向：数据包从低安全级别流向高安全级别

高优先级与低优先级是相对的

根据基于源IP地址端口是否转换分为no-pat方式和napt方式。

No-PAT方式：用于一对一IP地址转换，不涉及端口转换

NAPT方式：用于多对一或多对多IP地址转换，涉及端口转换

1、通过地址池的方式

policy 1：允许网段为10.10.10.0/24的内网用户访问Internet时进行源地址转换,采用公网地址池的形式。

配置地址池

[USG5300]nat address-group 1 220.10.10.16 220.10.10.20

配置Trust和Untrust域间出方向的策略

[USG5300] nat-policy interzone trust untrust outbound

[USG5300--policy-interzone-trust-untrust-outbound] policy 1

[USG5300- nat-policy -interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255

[USG5300- nat-policy -interzone-trust-untrust-outbound-1] action source-nat

[USG5300- nat -policy-interzone-trust-untrust-outbound-1] address-group 1 [no pat]

如果是基于外网接口的nat转换可以不用配置地址池，直接在nat-policy interzone trust untrust outbound里配置eary-ip 外网接口

这里的policy source指的是trust地址，nat转换成untrust地址，如果是nat-policy interzone trust untrust inbound，源地址就是指untrust地址，转换成trust地址。

2、通过公网接口的方式

创建Trust区域和Untrust区域之间的NAT策略，确定进行NAT转换的源地址范围192.168.1.0/24网段，并且将其与外网接口GigabitEthernet 0/0/4进行绑定。

[USG] nat-policy interzone trust untrust outbound

[USG-nat-policy-interzone-trust-untrust-outbound] policy 0

[USG-nat-policy-interzone-trust-untrust-outbound-0] policy source 192.168.1.0 0.0.0.255

[USG-nat-policy-interzone-trust-untrust-outbound-0] action source-nat

[USG-nat-policy-interzone-trust-untrust-outbound-0] easy-ip GigabitEthernet 0/0/4

[USG-nat-policy-interzone-trust-untrust-outbound-0] quit

3、直接在接口启用nat

如果是针对内网用户上公网做nat，需要在内网接口使用

[USG-GigabitEthernet0/0/0]nat enable

[USG5320]dis firewall session table [source|destination] [inside|global]可以查看这个数据包有没有过来。

display firewall session table verbose source inside 2.2.2.2 //inside可以查看私网ip地址信息，global可以查看公网ip地址信息。

如上图所示

icmp表示协议的类型。

local --> trust 表示这个包是从local区域到trust区域的

192.168.200.5:1 --> 172.16.4.66:2048表示这个包是从192.168.200.5访问172.16.4.66的，如果该会话项有[]就表示做了nat转换，[]里的地址是转换后的地址。如果该会话项为“+->”表示启用了ASPF；

-->packets：14 bytes:840表示该会话出方向的包数和字节数统计