华为防火墙USG6309E开局基础配置之网络设置

防火墙,实质上就是一台偏重于安全策略的交换机,或者说,更像是路由器,之所以如此说,是因为防火墙可以将IP设置等,直接设置在端口上,而不必创建一个vlanif。
配置防火墙,他的基础就是网络要畅通,其次才能进行安全策略的配置,进行报文筛选,防火墙和路由器的配置极其相像,但是又有别于路由器,交换机。下面,将演示一遍华为防火墙的USG6309E的开局网络配置。

一、登录防火墙

先拜见以下USG6309E的真容
华为防火墙USG6309E开局基础配置之网络设置
为了让大家看清一点,我特意把局部放大截了图。
华为防火墙USG6309E开局基础配置之网络设置

首次登录,可以有两种方法,根据上图进行讲解。

(一)MGMT网管口登录

一种是直接通过MGMT网管口登录,就是上图中的“带外管理口”,即MGMT口,这个其实就是功能阉割了的网口,主要拿来网管,在未配置的默认情况下,这个网管口的IP为192.168.0.1。因此,操作流程如下:

  1. 找一台电脑,配置IP在在同一网段下,如。配置网卡的IP为192.168.0.2,掩码为255.255.255.0
  2. 找一根普通的网线,将两个设备连接起来。
  3. 打开浏览器,网址输入“https://192.168.0.1:8443”,注意,这里是https
  4. 到登录界面后,初始的用户名“admin”,密码为"admin@huawei.com"。
  5. 登录进去以后,看个人习惯,我这儿不介绍页面配置,介绍下面的CLI(命令行)配置。

(二)Console接口登录

就是使用上图中的CON口,用RJ45和九针串口的线连接,一头连接RJ45连接防火墙,另一头连接电脑的九针的串口。

  1. 找一台带有窗口的电脑,或者找一根串口转USB口的线。
  2. 在电脑上找一个串口登录软件,比如secureCRT。
  3. 用串口线连接防火墙和电脑。
  4. 设置波特率为9600。
  5. 初始的用户名“admin”,密码为"admin@huawei.com"。

二、网络常规基本配置

(一)划分vlan

有八个LAN口(我未用到WLAN口,因为那个光口,我需要网线连接)。下面是我的规划

作用 端口 模式 IP 区域
连接出局路由器 G 0/0/0 路由 192.245.0.1/29(对端为192.245.0.2) untrust
本地使用 vlan 60 (G 0/0/1,G 0/0/2,G 0/0/3,G 0/0/4,G 0/0/5,G 0/0/6) 交换 192.168.1.1/24 trust
连接三层交换机 G 0/0/7 路由 192.245.1.1/29(对端为192.245.1.2) trust

按照上述规划,我将做如下配置
首先是出局的基本配置

[USG]interface GigabitEthernet 0/0/0 [USG-GigabitEthernet0/0/0]ip address 192.245.0.1 29 [USG-GigabitEthernet0/0/0]quit 

然后是配置vlan的基本配置

<USG>system-view  [USG]vlan 10 [USG-vlan-10]quit  [USG]interface Vlanif 10 [USG-Vlanif10]ip address 192.168.1.1 24  //这一句命令至关重要,这一句意思是允许这个vlan进行数据转发业务(注意,不仅仅是ping,还包括各种UDP报文) [USG-Vlanif10]service-manage ping permit   [USG-Vlanif10]quit 

最后是连接三层交换机的基本配置

[USG]interface GigabitEthernet 0/0/7 [USG-GigabitEthernet0/0/7]ip address 192.245.1.1 29 [USG-GigabitEthernet0/0/7]gateway 192.245.1.2 [USG-GigabitEthernet0/0/7]quit 

(二)路由配置

因为我这里规划了跟三层交换机的连接,以及路由器的连接,因此,这里预备使用ospf同静态路由搭配使用。
配置ospf,将连接三层交换机的网段,以及本地网段,加入ospf。
注意,连接路由器一般为静态路由,不配置为ospf,因为在内网中,路由器一般不启用ospf,因此,需要将静态路由导入ospf中。

[USG]ospf 1 [USG-ospf-1]area 0 [USG-ospf-1-area-0.0.0.0]network 192.245.1.0 0.0.0.7 [USG-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255 [USG-ospf-1-area-0.0.0.0]quit   //这一句是将静态路由加入ospf [USG-ospf-1]import-route static   //这一句是将直连的路由加入ospf [USG-ospf-1]import-route direct [USG-ospf-1]quit   

下面是配置静态路由,假设将允许内网访问外部的18.18.X.X网段的数据,需要做如下的静态路由。

[USG]ip route-static 18.18.0.0 16 192.245.0.2 

三、防火墙特殊配置

上述内容为交换机常规配置,但是配置完了上述的内容后,网络并不能通,毕竟这是防火墙,有严格的安全控制,在本防火墙中,有三点区别,需要关注。

(一)在路由端口中加入gateway

这个不见得每个版本的防火墙都需要,但是在USG6309E中,需要有此配置。

[USG]interface GigabitEthernet 0/0/0 [USG-GigabitEthernet0/0/0]gateway 192.245.0.2 [USG-GigabitEthernet0/0/0]quit  [USG]interface GigabitEthernet 0/0/7 [USG-GigabitEthernet0/0/7]gateway 192.245.1.2 [USG-GigabitEthernet0/0/7]quit 

(二)在vlanif下允许网络流量数据通过

[USG]interface Vlanif 10  //这一句命令至关重要,这一句意思是允许这个vlan进行数据转发业务(注意,不仅仅是ping,还包括各种UDP报文) [USG-Vlanif10]service-manage ping permit   [USG-Vlanif10]quit 

(三)将端口(及vlanif)加入指定区域中

这个区域,主要指trustuntrust的区域,这个也是导致防火墙策略起作用的一个关键点,防火墙策略将在下一篇文章中讲述,故名思意,trust就是可以信任的,untrust就是不可信任的。
局外的当然是不可信任的,所以将局外端口归类为untrust,局内的当然认为是可信任的,将局内端口归类为trust。
首先是将G 0/0/0归入untrust。

[USG]firewall zone untrust [USG-zone-untrust]add interface GigabitEthernet 0/0/0  [USG-zone-untrust]quit 

其次是将G 0/0/1至G 0/0/6划入trust

[USG]firewall zone trust [USG-zone-trust]add interface GigabitEthernet 0/0/1  [USG-zone-trust]add interface GigabitEthernet 0/0/2 [USG-zone-trust]add interface GigabitEthernet 0/0/3  [USG-zone-trust]add interface GigabitEthernet 0/0/4  [USG-zone-trust]add interface GigabitEthernet 0/0/5  [USG-zone-trust]add interface GigabitEthernet 0/0/6  [USG-zone-trust]quit 

另外,要 特别注意 的是,特别特别注意,要将vlanif,也划入trust区域中。

[USG]firewall zone trust [USG-zone-trust]add interface Vlanif 10 [USG-zone-trust]quit 

四、整理一些问题

  1. 现在的命令是ping permit,那除了IGMP的协议,别的协议,比如UDP之类的组播报文能正常通过吗?
    答:能通过
  2. 防火墙了不同的区域,untrust和trust之类的,防火墙是只有在跨区域,比如从untrus t到trust之间传输数据的时候,才会对数据报文进行过滤吗?在trust之间,会过滤吗?
    答:同区域默认放行,如果需要控制,需要将default策略中的命中同域流量开关关闭
  3. 防火墙安全策略里,有一条default策略,默认一切通过,我配置了自己的策略以后,这条策略是不是就默认失效了?
    答:策略从上到下依次匹配,上面的条件没匹配上会依次向下查询直到最后一条的default
  4. loopb