華為防火墻基礎配置

一、配置安全策略

配置網絡（保證網絡連通性）

第一步、系統視圖下配置

<USG6500>dis ver
 2018-05-26 12:34:56.580
 Huawei Versatile Routing Platform Software
 VRP (R) Software, Version 5.170 (USG6500 V500R001C60SPC300)
 Copyright (C) 2014-2017 Huawei Technologies Co., Ltd.
 USG6530 uptime is 0 week, 0 day, 0 hour, 10 minutes

license active 激活指定的license文件
display license 查看license的信息

system-view

info-center enable #開啟日志中心
info-center loghost 192.168.1.10 #配置日志服務器IP地址和發送日志信息的源接口
info-center loghost source GE0/0/1

第二步、配置接口地址

interface g0/0/1 #進入G0/0/1接口
ip add 192.168.10.1 24 #配置接口地址

service-manage enable #開啟管理功能
service-manage https permit #允許https管理功能（控制管理協議的策略優先）

undo shutdown #激活該接口

portswitch #切換至二層以太網接口模式

quit #退出接口視圖
web-manager security enable port 2000 #啟動web管理功能（有security支持https，沒有支持http）
aaa
manager-user admin #配置web用戶

password cipher admin@123
service-type web
level 3

manager-user ftptest
service-type ftp
password cipher ftp@1234
level 3
ftp-directory hda1:/

用戶(192.168.40.1:(none)): ftptest
331 Password required for ftptest.
密碼:ftp@1234
230 User logged in.
ftp> get vrpcfg.zip
200 Port command okay.
150 Opening ASCII mode data connection for directory list.
226 Transfer complete.
ftp: 收到 5966 字節，用時 0.05秒 112.57千字節/秒。
ftp> lcd
目前的本地目錄 C:\Users\Administrator。

第三步、將接口加入區域
firewall zone office #創建安全區域

set priority 80 #設置安全級別

add interface g0/0/1 #將接口添加至安全區域

display zone 查看區域

display firewall packet-filter default all 查看默認區域之間的轉發策略

第四步、修改默認策略

ip route-static 0.0.0.0 0.0.0.0 123.121.1.1

第五步、使用策略，精確控制

firewall packet-filter default permit interzone trust dmz direction outbound 放行trust到DMZ區域的所有流量
位置越靠前的安全策略規則，優先級越高

firewall interzone trust dmz
detect ftp 針對多通道的服務要開啟應用層檢測，將該服務的流量放行

policy interzone trust dmz outbound 制定從trust觸發到dmz的精確流量策略，默認是拒絕所有

security-policy #進入安全視圖

rule name 1  #創建安全規則名稱

source-zone  office #配置源安全區域

destination-zone local #目的安全區域
source-address 192.168.1.0 mask 255.255.255.0 #配置安全策略規則的源地址
action permit 動作

0.255.0.255 反掩碼 #表示A和C段進行掩碼匹配，B和D段忽略

rule move 3 before rule 1 #調整策略
quit
time-range week
absolute-range 8:00:00 2018/05/07 to 8:00:00 2019/05/07 設置絕對時間段
period-range 8:00:00 to 17:30:00 daily  設置周期時間段
hh:mm:ss #from某時間to某時間
YYYY/MM/DD #from某日期to某日期
Daily #一星期中的每天
off-day #休息日（周六、日）
working-day #工作日（星期一至星期五）

display policy interzone trust dmz outbound

firewall defend syn-flood enable 開啟syn-flood***防范功能

firewall defend tcp-illegal-session enable

firewall defend port-scan-flood enable

firewall defend udp-flood enable

firewall defend icmp-flood enable

firewall defend arp-flood enable

firewall defend syn-flood enable

snmp-agent sys-info version v2c #設置SNMP版本號V2C
snmp-agent community read cipher public #設置SNMP只讀團體字public
snmp-agent community write cipher admin #設置SNMP讀寫團體字admin
snmp-agent trap enable #開啟SNMP trap功能
snmp-agent target-host trap address udp-domain 192.168.1.1 params securityname cipher hello@123 v2c #設置SNMP trap服務器
配置管理設備主動向網管服務器發送告警，如果不配置SNMP trap，SNMP網管服務將只是周期性向被管理設備發送各種查詢報文，設備返回查詢數據

user-interface console 0
ide-outtime  0 10 超時

user-interface vty 0 4
 set authentication  password cipher admin@123 #密碼驗證,僅僅使用密碼驗證
 authentication-mode aaa #AAA驗證，使用用戶名密碼驗證
 protocol inbound all #允許所有協議連接

默認策略任何流量全部阻止（包括抵達local和local發起的），但是接口下的控制管理協議的策略優先

Console口登錄是最安全的方法，也是當設備無法啟動（無法連接網絡時唯一——一種登錄設備進行故障修復的方法）

一鍵升級系統軟件
1、查看系統設備的存儲空間是否滿足
2、系統軟件必須以“.bin”為后綴，不支持中文
3、設置為下次啟動系統軟件，并重啟系統

display firewall esn #唯一標識設備的數字序列號，申請license文件時需要提供設備esn信息
display firewall session table 查看會話表信息
display firewall session table verbose 查看會話表詳細信息

display firewall statistic system discard
reset firewall session table #清除系統當前會話表項

配置文件類型
current-configuration：配置當前生效，存儲在內存中，重啟丟失
saved-configuration：下次上電啟動時所用的配置文件，存儲在Flash或者CF卡，重啟不丟失

清除配置文件
1、命令模式：reset saved-configuration #重啟
2、Web模式：系統——>配置文件管理——>恢復出廠配置——>點擊
3、硬件reset按鈕：先按住reset按鈕——>設備上電打開電源開關——>指示燈以2次/秒的頻率閃爍——>松開reset
4、設備已經正常啟動：按住reset超過10s，松開