华为usg防火墙基本配置命令有哪些
作者&投稿:甘章 (若有异议请与网页底部的电邮联系)
华为官网就有配置文件以及操作手册下载啊
1、登录web端,输入账户密码,点击登录。
2、点击左侧的【向导】,【快速向导】。
3、设置主机名。
4、设置日期和时间。
5、选择入网方式,根据需要选择,这里选择静态地址。
6、选择连接外网的接口,填写外网的IP地址、子网掩码、网关、DNS。
7、配置局域网接口,这个是局域网的地址,自己设置即可。
8、开启DHCP服务,填写其实IP地址。
9、核对一下信息,外网地址。
10、内网地址,确认无误后点击应用。
防火墙和路由器一样,有一个Console接口。使用console线缆将console接口和计算机的com口连接在一块。使用windows操作系统自带的超级终端软件,即可连接到防火墙。
防火墙的缺省配置中,包括了用户名和密码。其中用户名为admin、密码Admin@123,所以登录时需要输入用户名和密码信息,输入时注意区分大小写。
修改防火墙的名称的方法与修改路由器名称的方法一致。
另外需要注意的是,由于防火墙和路由器同样使用了VRP平台操作系统,所以在命令级别、命令帮助等,与路由器上相应操作相同。
<SRG>sys
13:47:28 2014/07/04
Enter system view, return user view withCtrl+Z.
[SRG]sysname FW
13:47:32 2014/07/04
步骤二.修改防火墙的时间和时区信息
默认情况下防火墙没有定义时区,系统保存的时间和实际时间可能不符。使用时应该根据实际的情况定义时间和时区信息。实验中我们将时区定义到东八区,并定义标准时间。
<FW>clock timezone 1 add 08:00:00
13:50:57 2014/07/04
<FW>dis clock
21:51:15 2014/07/03
2014-07-03 21:51:15
Thursday
Time Zone : 1 add 08:00:00
<FW>clock datetime 13:53:442014/07/04
21:53:29 2014/07/03
<FW>dis clock
13:54:04 2014/07/04
2014-07-04 13:54:04
Friday
Time Zone : 1 add 08:00:00
步骤三。修改防火墙登录标语信息
默认情况下,在登陆防火墙,登陆成功后有如下的标语信息。
Please Press ENTER.
Login authentication
Username:admin
Password:*********
NOTICE:This is a private communicationsystem.
Unauthorized access or use may lead to prosecution.
防火墙设备以此信息警告非授权的访问。
实际使用中,管理员可以根据需要修改默认的登陆标语信息。分为登录前提示信息和登陆成功后提示信息两种。
[FW]header login information ^
14:01:21 2014/07/04
Info: The banner text supports 220characters max, including the start and the en
d character.If you want to enter more thanthis, use banner file instead.
Input banner text, and quit with thecharacter '^':
Welcome to USG5500^
[FW]header shell information ^
14:02:54 2014/07/04
Info: The banner text supports 220characters max, including the start and the en
d character.If you want to enter more thanthis, use banner file instead.
Input banner text, and quit with thecharacter '^':
Welcome to USG5500
You are logining insystem Please do not delete system config files^
配置完成后,通过推出系统。然后重新登录,可以查看是否生效。
Please Press ENTER.
Welcome to USG5500
Login authentication
Username:admin
Password:*********
Welcome to USG5500
You are logining insystem Please do not delete system config files
NOTICE:This is a private communicationsystem.
Unauthorized access or use may lead to prosecution.
注意,默认达到NOTICE信息一般都会存在,不会消失或被代替。
步骤四.修改登陆防火墙的用户名和密码
防火墙默认使用的用户名admin。密码Admin@123。可以根据我们的需求进行修改。试验中我们新建一个用户,级别为level3.用户名为user1.密码:huawei@123.需要说明的是,默认情况下console接口登陆仅允许admin登陆。所以配置console接口登陆验证方式为aaa,才能确保新建的用户生效。在配置中,需要指定该配置的用户名的使用范围,本次实验中选择termianl,表示使用于通过console口登陆验证的凭据。
[FW]aaa
14:15:43 2014/07/04
[FW-aaa]local-user user1 pass
[FW-aaa]local-user user1 password cipherhuawei@123
14:16:08 2014/07/04
[FW-aaa]local-user user1 service-typeterminal
14:16:28 2014/07/04
[FW-aaa]local-user user1 level 3
14:16:38 2014/07/04
[FW-aaa]q
14:16:43 2014/07/04
[FW]user-interface console 0
14:16:57 2014/07/04
[FW-ui-console0]authentication-mode aaa
退出系统,测试新用户名和密码是否生效。
Please Press ENTER.
Welcome to USG5500
Login authentication
Username:user1
Password:**********
Welcome to USG5500
You are logining in system Please do notdelete system config files
NOTICE:This is a private communicationsystem.
Unauthorized access or use may lead to prosecution.
<FW>
步骤五.掌握查看、保存、和删除配置的方法。
在防火墙上使用命令查看运行的配置和已经保存的配置。其中使用display current-configuration命令查看运行配置,使用displaysaved-configuration命令查看已经保存的配置。
<FW>dis current-configuration
14:27:01 2014/07/04
#
stp region-configuration
region-name f0a7e2157008
active region-configuration
#
interface GigabitEthernet0/0/0
alias GE0/MGMT
ipaddress 192.168.0.1 255.255.255.0
dhcpselect interface
dhcpserver gateway-list 192.168.0.1
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface NULL0
alias NULL0
#
firewall zone local
setpriority 100
#
firewall zone trust
setpriority 85
addinterface GigabitEthernet0/0/0
#
firewall zone untrust
setpriority 5
#
firewall zone dmz
setpriority 50
#
aaa
local-user admin password cipher%$%$s$]c%^XV6(/|BaQ$[T;X"G>5%$%$
local-user admin service-type web terminaltelnet
local-user admin level 15
local-user user1 password cipher%$%$tY4Z:`xG0/G!1^C)2[48"%yp%$%$
local-user user1 service-type terminal
local-user user1 level 3
authentication-scheme default
#
authorization-scheme default
#
accounting-scheme default
#
domain default
#
#
nqa-jitter tag-version 1
#
header shell information "Welcome toUSG5500
You are logining in system Please do notdelete system config files"
header login information "Welcome toUSG5500"
banner enable
#
user-interface con 0
authentication-mode aaa
user-interface vty 0 4
authentication-mode none
protocol inbound all
#
slb
#
right-manager server-group
#
sysname FW
#
l2tpdomain suffix-separator @
#
firewall packet-filter default permitinterzone local trust direction inbound
firewall packet-filter default permitinterzone local trust direction outbound
firewall packet-filter default permitinterzone local untrust direction outbound
firewall packet-filter default permitinterzone local dmz direction outbound
#
ipdf-unreachables enable
#
firewall ipv6 session link-state check
firewall ipv6 statistic system enable
#
dnsresolve
#
firewall statistic system enable
#
pkiocsp response cache refresh interval 0
pkiocsp response cache number 0
#
undodns proxy
#
license-server domain lic.huawei.com
#
web-manager enable
#
return
保存配置,并查看以保存的配置信息。
<FW> sa
14:29:29 2014/07/04
The current configuration will be writtento the device.
Are you sure to continue?[Y/N]y
2014-07-04 14:29:31 FW %%01CFM/4/SAVE(l):When deciding whether to save configura
tion to the device, the user chose Y.
Do you want to synchronically save theconfiguration to the startup saved-configu
ration file on peer device?[Y/N]:y
Now saving the current configuration to thedevice...
Info:The current configuration was saved tothe device successfully.
<FW>dis saved-configuration
14:27:48 2014/07/04
# CLI_VERSION=V300R001
# Last configuration was changed at2014/07/04 13:56:09 from console0
#*****BEGIN****public****#
#
interface GigabitEthernet0/0/0
alias GE0/MGMT
ipaddress 192.168.0.1 255.255.255.0
dhcpselect interface
dhcpserver gateway-list 192.168.0.1
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface NULL0
alias NULL0
#
firewall zone local
setpriority 100
#
firewall zone trust
setpriority 85
addinterface GigabitEthernet0/0/0
#
firewall zone untrust
setpriority 5
#
firewall zone dmz
setpriority 50
#
aaa
local-user admin password cipher%$%$s$]c%^XV6(/|BaQ$[T;X"G>5%$%$
local-user admin service-type web terminaltelnet
local-useradmin level 15
authentication-scheme default
#
authorization-scheme default
#
accounting-scheme default
#
domain default
#
#
nqa-jitter tag-version 1
#
banner enable
#
user-interface con 0
authentication-mode none
user-interface vty 0 4
authentication-mode none
protocol inbound all
#
slb
#
right-manager server-group
#
sysname FW
#
l2tpdomain suffix-separator @
#
firewall packet-filter default permitinterzone local trust direction inbound
firewall packet-filter default permitinterzone local trust direction outbound
firewall packet-filter default permitinterzone local untrust direction outbound
firewall packet-filter default permitinterzone local dmz direction outbound
#
ipdf-unreachables enable
#
firewall ipv6 session link-state check
firewall ipv6 statistic system enable
#
dnsresolve
#
firewall statistic system enable
#
pkiocsp response cache refresh interval 0
pkiocsp response cache number 0
#
undodns proxy
#
license-server domain lic.huawei.com
#
web-manager enable
#
return
#-----END----#
使用delete Flash:/vrpcfg.zip命令删除保存的配置。
步骤六.配置接口地址
配置G0/0/1:10.0.2.1/24;G0/0/0:10.0.1.1/24;G0/0/2:10.0.3.1/24.
[FW] interface g0/0/2
16:12:58 2014/07/04
[FW-GigabitEthernet0/0/2]ip add 10.0.3.1 24
16:13:21 2014/07/04
[FW-GigabitEthernet0/0/2]interface g0/0/0
16:13:32 2014/07/04
[FW-GigabitEthernet0/0/0]undo ip add
16:14:02 2014/07/04
[FW-GigabitEthernet0/0/0]ip add 10.0.1.1 24
16:14:14 2014/07/04
[FW-GigabitEthernet0/0/0]interface g0/0/1
16:14:36 2014/07/04
[FW-GigabitEthernet0/0/1]ip add 10.0.2.1 24
16:14:50 2014/07/04
[FW-GigabitEthernet0/0/1]q
16:14:52 2014/07/04
[FW]
在交换机S1上配置接口G0/0/21属于vlan1、G0/0/22属于vlan2、G0/0/23属于vlan3.vlanif接口配置IP地址10.0.1.2/24、vlanif2接口配置IP地址10.0.2.2/24、vlanif3接口配置IP地址10.0.3.2/24。
[Huawei]sysname S1
[S1]vlan batch 2 3
[S1]interface g0/0/21
[S1-GigabitEthernet0/0/21]port link-typeaccess
[S1-GigabitEthernet0/0/21]port default vlan1
[S1-GigabitEthernet0/0/21]interface g0/0/22
[S1-GigabitEthernet0/0/22]port link-typeaccess
[S1-GigabitEthernet0/0/22]port default vlan2
[S1-GigabitEthernet0/0/22]interface g0/0/23
[S1-GigabitEthernet0/0/23]port link-typeaccess
[S1-GigabitEthernet0/0/23]port default vlan3
[S1-GigabitEthernet0/0/23]interface vlanif1
[S1-Vlanif1]ip add 10.0.1.2 24
[S1-Vlanif1]interface vlanif 2
[S1-Vlanif2]ip add 10.0.2.2 24
[S1-Vlanif2]interface vlanif 3
[S1-Vlanif3]ip add 10.0.3.2 24
将G0/0/0、G0/0/1、G0/0/2添加到trust区。在测试三口的连通性(在添加到trust区以前先确认这些端口不在untrust区)
[FW]firewall zone trust
16:39:40 2014/07/04
[FW-zone-trust]add interface g0/0/2
16:40:05 2014/07/04
[FW-zone-trust]add interface g0/0/3
16:41:59 2014/07/04
[FW-zone-trust]add interface g0/0/1
[FW-zone-trust]q
[S1]ping -c 1 10.0.1.1
PING 10.0.1.1: 56 data bytes,press CTRL_C to break
Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=255 time=50 ms
---10.0.1.1 ping statistics ---
1packet(s) transmitted
1packet(s) received
0.00% packet loss
round-trip min/avg/max = 50/50/50 ms
[S1]ping -c 1 10.0.2.1
PING 10.0.2.1: 56 data bytes,press CTRL_C to break
Reply from 10.0.2.1: bytes=56 Sequence=1 ttl=255 time=50 ms
---10.0.2.1 ping statistics ---
1packet(s) transmitted
1packet(s) received
0.00% packet loss
round-trip min/avg/max = 50/50/50 ms
[S1]ping -c 1 10.0.3.1
PING 10.0.3.1: 56 data bytes,press CTRL_C to break
Reply from 10.0.3.1: bytes=56 Sequence=1 ttl=255 time=60 ms
---10.0.3.1 ping statistics ---
1packet(s) transmitted
1packet(s) received
0.00% packet loss
round-trip min/avg/max = 60/60/60 ms
华为usg防火墙基本配置命令:
登陆USG防火墙。
修改防火墙设备名。
对防火墙的时间、时区进行修改。
修改防火墙登陆标语信息。
修改防火墙登陆密码。
查看、保存和删除防火墙配置。
在防火墙上配置vlan、地址接口、测试基本连通性。
华为防火墙usg6320怎么设置
1、登录web端,输入账户密码,点击登录。2、点击左侧的【向导】,【快速向导】。3、设置主机名。4、设置日期和时间。5、选择入网方式,根据需要选择,这里选择静态地址。6、选择连接外网的接口,填写外网的IP地址、子网掩码、网关、DNS。7、配置局域网接口,这个是局域网的地址,自己设置即可。8、开启...
新手求教USG6306防火墙如何配置
这个在防火墙的域间策略里面做,阻止trust到untrust的策略,地址就是100-200 首先要配置一下全局的NAT,然后配置策略,方向是inside->outside,源是any,目标是any,最后别忘了在核心交换机和防火墙上各加一个默认路由指向外网,防火墙具体命令可以度娘,流程就是上面这样。
防火墙怎么配置
在使用防火墙之前,需要对防火墙进行一些必要的初始化配置。出厂配置的防火墙需要根据实际使用场景和组网来配置管理IP、登陆方式、用户名\/密码等。下面以我配置的华为USG防火墙为例,说明一下拿到出厂的防火墙之后应该怎么配置。1. 设备配置连接 一般首次登陆,我们使用的是Console口登陆。只需要使用串口网线连接...
华为赛门铁克USG5320(4GE\/AC)重要参数
华为赛门铁克USG5320(4GE\/AC)是一款企业级防火墙设备,其网络吞吐量达到2000Mbps,能够提供高效的网络传输速度。该设备并未设置用户数限制,支持大量的网络用户同时在线。在硬件配置方面,USG5320(4GE\/AC)具备4个GE光电互斥接口和2个扩展插槽,用户可根据实际需求灵活配置网络接口和扩展模块,以满足不同场景下...
华为防火墙USG 盒式 桌面式 啥区别
桌面式体积较小(举例 250*210*43.6),可以理解为直接放置桌子上。盒式尺寸较大(举例442*420*43.6),有机架配件,常安装在机柜内。功能都差不多。
USG防火墙是什么架构
基于ASIC\/FPGA架构的防火墙,基础转发性能与安全处理性能的极不匹配,虽然ASIC\/FPGA在基础转发下有很大的性能优势,但作为安全产品来讲,一旦开启了应用层安全功能后,ASIC\/FPGA的高性能优势基本完全消失,安全业务的处理全部压在配合的CPU上,而造成性能的大幅下降。随着技术的发展和下一代防火墙对于应用的...
华为防火墙usg6000,我需要配置某一段端口的映射,但不成功,哪位大神帮我...
在防火墙的界面里面,找到“端口映射”,进行配置就可以了。有些路由器管这个功能叫做“虚拟服务器”。修改防火墙登陆密码。查看、保存和删除防火墙配置。在防火墙上配置vlan、地址接口、测试基本连通性修改防火墙登陆密码。查看、保存和删除防火墙配置。进入防火墙命令视图创建监视接口配置端口镜像,将被监视接口的...
华为防火墙技术
防火墙的转发流程基本遵循路由器流程,但会将流量送至SPU进行策略匹配和检测,确保符合规则后再行转发。安全区域是防火墙的组织架构,分为固定不变的local区域,连接企业内网的Trust区域,外部非信任的UnTrust区域,以及允许被访问的DMZ区域,每个区域有特定的访问权限和优先级,但下一代USG防火墙已不再使用...
华为防火墙USG5500的问题
说明端口是 route 三层接口 接口下回复接口默认设置 int g\/0\/1 default 再划分即可
华为USG2220 防火墙路由器怎么设置DMZ
华为USG2220的dmz设置方法:把G1 设置为untrust G0为DMZ然后设置安全策略如图DMZ 到untrust 设成permit然后添加映射如图继续第一行DMZ第二行untrust第三行192.168.0.16\/32第四行60.10.10.10\/32下面选easy ip ,接口选择G1 就可以路由器设置如下:1.在浏览器输入在路由器看到的地址,一般是...
西图布洛: 华为交换机和安全设备用的都是华为自主研发的VRP平台,所以命令有很多相似的.还有,楼上说的是思科的命令..........华为USG系列防火墙的配置命令如下:sys 登陆设备之后进入配置模式 aaa 进入AAA配置模式 local-user ...
曲靖市18113089395: 如何快速配置华为secoway USG5000防火墙,使之能进入web配置页面. - ?
西图布洛: 默认的0口就有一个地址是192.168.0.1/24,你电脑直接接在0口上就可以用web方式登录进去 默认用户名是:admin 密码是:Admin@123
曲靖市18113089395: 我现在要配置防火墙安全策略,但是我不是很清楚这些指令代表什么,请知道的朋友用专业语言告诉我一下谢谢 - ?
西图布洛: 楼主,你好~ 看CLI命令,华为的防火墙,USG系列吧? 解释如下. security-policy 定义安全策略 rule name ospf1 创建一个叫 ospf1的策略 source-zone local 源区域---防火墙 destination-zone trust 目的区域---trust信任区 destination-zone untrust ...
曲靖市18113089395: 华为usg5000防火墙光口使能命令是什么? - ?
西图布洛: 你是想强制成光口吗?在端口下面输入这条命令:combo-port fiber
曲靖市18113089395: 防火墙基本配置在哪里配置 - ?
西图布洛: 开始-控制面板-安全中心-windows防火墙-里面有常规/例外/高级 选项 这些都可以对防火墙进行设置
曲靖市18113089395: USG防火墙如何配置ip - ?
西图布洛: 首先要配置一下全局的NAT,然后配置策略,方向是inside->outside,源是any,目标是any,最后别忘了在核心交换机和防火墙上各加一个默认路由指向外网,防火墙具体命令可以度娘,流程就是上面这样.
曲靖市18113089395: 防火墙基础配置里的命令undo hrp auto - sync connection - status是什么意思 - ?
西图布洛: HRP是华为冗余备份协议,防火墙连接状态备份命令.若你没有主备关系,就可以删掉. hrp auto-sync connection-status的作用是防火墙会话备份不分防火墙是主防火墙或者是备防火墙,使能了此命令后,防火墙都能把自己建立的会话或者是刷新的会话备份到对端防火墙上.此命令行在防火墙hrp enable执行之后就默认使能了.
曲靖市18113089395: 华为防火墙配置 - ?
西图布洛: 这是默认的设置. 意思是nat地址转换alg应用控制协议enable开启ftp协议 也就是开启这4个FTP/DNS/ICMP/NETBIOS的应用控制协议地址转换.
曲靖市18113089395: 如何配置华为usg6320防火墙指定Ip访问指定端口? - ?
西图布洛: 防火墙要划分安全区域,这个配置明显是把6和7都划入了trust区域,如果你1.22这个网段或者这个ip需要走6口必须做策略路由,用acl或者前缀列表把这条路由选出来,然后写策略放行.
曲靖市18113089395: 华为防火墙Secoway USG2130 如何配置 - ?
西图布洛: 1、新建两个VLAN 2、分别将LAN0 与 LAN 1 分别加入不同的VLAN 3、为两个VLAN新建三层接口. 4、将三层接口都划分到 trust 区域 5、将电脑网关设为各自的VLAN 三层接口IP
