华为防火墙配置使用手册(自己写)
华为防火墙配置使用手册
一、概述
二、防火墙基本概念
包过滤防火墙:它只根据数据包的源地址、目的地址、协议类型和端口号等信息进行过滤,不对数据包的内容进行分析。它的优点是处理速度快,开消小,但是安全性较低,不能阻挠应用层的攻击。
状态检测防火墙:它在包过滤防火墙的基础上,增加了对数据包的连接状态的跟踪和记录,可以识别出非法的连接请求和数据包,并拒绝通过。它的优点是安全性较高,可以阻挠一些常见的攻击,但是处理速度较慢,开消较大。
应用代理防火墙:它对数据包的内容进行深度分析,可以识别出不同的应用协议和服务,并根据应用层的规则进行过滤。它的优点是安全性最高,可以阻挠复杂的攻击,但是处理速度最慢,开消最大。
访问控制:它可以根据源地址、目的地址、协议类型、端口号、应用类型等信息对网络流量进行分类和过滤,实现对内外网之间访问权限的控制和管理。
虚拟专网:它可以建立安全隧道,实现不同地域或者组织之间的数据加密传输,保证数据的机密性、完整性和可用性。
内容安全:它可以对网络流量中携带的内容进行检查和过滤,如
、网页、文件等,并根据预定义的规则进行拦截或者放行。
用户认证:它可以对网络访问者进行身份验证,如用户名、密码
、证书等,并根据不同的用户或者用户组分配不同的访问权限和策略。
流量管理:它可以对网络流量进行统计和监控,如流量量、流量
速率、流量方向等,并根据预定义的规则进行限制或者优化。
日志审计:它可以记录并保存网络流量的相关信息,如源地址、
目的地址、协议类型、端口号、应用类型、过滤结果等,并提供查询
和分析的功能。
三、防火墙配置方法
命令行界面:它是一种基于文本的配置方式,用户可以通过控制
台或者远程终端访问防火墙,并输入相应的命令进行配置。它的优点是灵便性高,可以实现细致的配置和管理,但是需要用户熟悉命令的语
法和逻辑。
图形用户界面:它是一种基于图形的配置方式,用户可以通过浏
览器或者客户端软件访问防火墙,并通过或者拖拽等操作进行配置。它的
优点是易用性高,可以实现直观的配置和管理,但是需要用户安装相应的软件或者插件。
3.1 命令行界面
3.1.1 访问防火墙
控制台:用户可以使用控制台线缆将电脑连接到防火墙的控制台接口,并使用终端仿真软件(如PuTTY)设置相应的参数(如波特率、数据位、住手位等),然后打开终端窗口,即可看到防火墙的登录提示符。
Telnet:用户可以使用电脑上的Telnet客户端软件(如Windows自带的Telnet)输入防火墙的IP地址和端口号(默认为23),然后按回车键,即可看到防火墙的登录提示符。
SSH:用户可以使用电脑上的SSH客户端软件(如PuTTY)输入防火墙的IP地址和端口号(默认为22),然后按回车键,即可看到防火墙的登录提示符。
无论使用哪种方式访问防火墙,用户都需要输入正确的用户名和密码才干登录成功。默认情况下,防火墙的用户名为admin,密码为空。用户登录成功后,会进入系统视图,即以<USGxxxx>开头的提示符。
3.1.2 配置防火墙
display:该命令用于显示防火墙的各种信息,如版本、状态、接口、路由、策略等。例如,输入display
version可以显示防火墙的软件版本信息。
system-
telnet ip 端口号view:该命令用于进入系统视图下的子视图,如接口视图、路由视图、策略视图等。例如,输入system-view interface GigabitEthernet 0/0/0可以进入接口GigabitEthernet 0/0/0的视图。
quit:该命令用于退出当前视图,并返回上一级视图。例如,在接口视图下输入quit可以返回系统视图。
save:该命令用于保存当前配置,并将其写入闪存中。例如,在系统视图下输入save可以保存当前配置。
reset:该命令用于恢复防火墙的默认配置,并重启防火墙。例如,在系统视图下输入reset可以恢复防火墙的默认配置。
help:该命令用于查看当前视图下的可用命令和参数。例如,在系统视图下输入help可以查看系统视图下的可用命令和参数。
配置接口:用户可以在接口视图下,输入ip
address、shutdown、description等命令,设置接口的IP地址、启用
或者禁用状态、描述信息等。例如,输入ip address 192.168.1.1 24可以设置接口的IP地址为192.168.1.1/24。
配置路由:用户可以在路由视图下,输入static、ospf、rip等命令,设置静态路由、动态路由协议等。例如,输入static 0.0.0.0 0 10.10.10.1可以设置默认路由为10.10.10.1。
配置策略:用户可以在策略视图下,输入rule、action、service 等命令,设置策略的规则、动作、服务
等。例如,输入rule name permit-web action permit service tcp destination-port eq www可以设置一个允许web访问的策略规则。
3.2 图形用户界面
3.2.1 访问防火墙
Web界面:用户可以使用浏览器(如Chrome)输入防火墙的IP地址和端口号(默认为443),然后按回车键,即可看到防火墙的Web登录页面。用户需要输入正确的用户名和密码才干登录成功。默认情况下,防火墙的用户名为admin,密码为空。用户登录成功后,会进入Web 管理界面,即以华为LOGO和菜单栏为特征的页面。
客户端界面:用户可以使用电脑上安装的客户端软件(如eSight )输入防火墙的IP地址和端口号(默认为22),然后按回车键,即可