华为防火墙配置使用手册(自己写).doc

防火墙默认的管理接口为g0/0/0,,默认g0/0/0接口开启了dhcpserver,默认用户名为admin,默认密码为******@:::.2/24(DMZ区域)FTP服务器:(DMZ区域),基于密码验证。#进入系统视图。<USG5300>system-view#进入用户界面视图[USG5300]user-interfacevty04#设置用户界面能够访问的命令级别为level3[USG5300-ui-vty0-4]userprivilegelevel3配置Password验证#配置验证方式为Password验证[USG5300-ui-vty0-4]authentication-modepassword#配置验证密码为lantian[USG5300-ui-vty0-4]setauthenticationpasswordsimplelantian###最新版本的命令是authentication-******@123配置空闲断开连接时间#设置超时为30分钟[USG5300-ui-vty0-4]idle-timeout30[USG5300]firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound//防火墙。基于用户名和密码验证user-interfacevty04authentication-modeaaaaaalocal-useradminpasswordcipher]MQ;4\]B+4Z,YWX*NZ55OA!!local-useradminservice-local-useradminlevel3firewallpacket-filterdefaultpermitinterzoneuntrustlocaldirectioninbound如果不开放trust域到local域的缺省包过滤,的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。:0/0/1视图[USG5300]0/0/0/0/1的IP地址[USG5300-0/0/1][USG5300]rust[USG5300-zone-untrust]0/0/1[USG5300-zone-untrust]quit外网:0/0/2视图[USG5300]0/0/0/0/2的IP地址[USG5300-0/0/2][USG5300]firewallzoneuntrust[USG5300-zone-untrust]0/0/2[USG5300-zone-untrust]quitDMZ:0/0/3视图[USG5300]0/0/0/0/3的IP地址。[USG5300-0/0/3][USG5300]firewallzonedmz[USG5300-zone-untrust]0/0/3[USG5300-zone-untrust],用于控制外界与设备本身的互访。域间安全策略就是指不同的区域之间的安全策略。域内安全策略就是指同一个安全区域之间的策略,缺省情况下,同一安全区域内的数据流都允许通过,域内安全策略没有Inbound和Outbound方向的区分。策略内按照policy的顺序进行匹配,如果policy0匹配了,就不会检测policy1了,和policy的ID大小没有关系,谁在前就先匹配谁。缺省情况下开放local域到其他任意安全区域的缺省包过滤,方便设备自身的对外访问。其他接口都没有加安全区域,并且其他域间的缺省包过滤关闭。要想设备转发流量必须将接口加入安全区域,并配置域间安全策略或开放缺省包过滤。安全策略的匹配顺序:每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。匹配条件安全策略可以指定多种匹配条件,报文必须同时满足所有条件才会匹配上策略。比如如下策略policy1policyserviceservice-