当前位置: 主页 > 鸿蒙系统 >

几分钟带你快速开“玩”华为防火墙

时间:2024-06-13 10:05来源:huawei 作者:Jack20 点击:
一、准备工作 首先你需要一个神器华为eNSP模拟器(数通小伙伴) 接下就是再检查一下电脑里是否有 Microsoft KM-TEST 环回网络 适配器 在: 控制面板 \网络和 Internet\网络连接 里查看 发现

一、准备工作

首先你需要一个神器——华为eNSP模拟器(数通小伙伴)

%E5%9B%BE%E7%89%87.png

接下就是再检查一下电脑里是否有 Microsoft KM-TEST 环回网络 适配器

在: 控制面板 \网络和 Internet\网络连接 里查看

%E5%9B%BE%E7%89%87.png

发现没有环回网络 适配器,那就老老实实 添加环 回网络 适配器 ( 为了 云设备 绑定网卡)

注意: eNSP 工具中的云代表通过各种网络技术连接起来的计算机网络环境,目前可实现的功能包括:仿真设备之间建立映射关系、绑定网卡与仿真设备之间进行通信,以及通过开放UDP端口方式与外部程序进行通信。

同时按键盘上的 Windows + X键以打开 快速访问> 菜单。从列表中选择 计算机管理 以打开 计算机管理界面

%E5%9B%BE%E7%89%87.png

然后 <设备管理器> 展开 <网络适配器> 再点击 上面的 <操作 选择 “ 添加 过时硬件” 安装环回适配器。

%E5%9B%BE%E7%89%87.png

进入“网络适配器”

%E5%9B%BE%E7%89%87.png

找到 Microsoft 厂商下的 Microsoft KM-TEST环回适配器 安装就ok

%E5%9B%BE%E7%89%87.png

然后可以再去看一波安装完成

%E5%9B%BE%E7%89%87.png

准备工作结束后就正式进入

接下来主要步骤:

a. 设备的接入端口已配置IP地址。即防火墙g0/0/0端口配置IP地址,该IP地址需要保证和您本地计算机所在同一网段并且该地址未被使用。

b. 您的本地计算机已通过CLOUD设备与防火墙实现互通。

c. 设备正常运行,HTTP服务已正确配置。

d. 您的本地计算机上已安装浏览器软件。

 

 

1、配置环回适配器 在同一 IP地址

把 IP地址配在同一网络段将环回适配器的地址为192.168.0.0/24网段的地址,这里我们将环回适配器的地址配置为: 192.168.0.2 22 /24

配置方式如下图:

%E5%9B%BE%E7%89%87.png

%E5%9B%BE%E7%89%87.png

记住:到这里因为添加了新设备,一定要重新启动,要不然到时候cloud 里会没有生效的配置!!!

Topo图:

%E5%9B%BE%E7%89%87.png

注意:防火墙选用 USG6000V 防火墙

%E5%9B%BE%E7%89%87.png

设备先,然后你会发现 Cloud 连 不 上线,不要慌,之前不是说 Cloud可以 让 备之间 建立映射关系、绑定网卡与仿真设备之间进行通信,以及通过开放UDP端口方式与外部程序进行通信, 继续看下面为Cloud 添加端口才行

%E5%9B%BE%E7%89%87.png

2、配置Cloud

1. 创建UDP端口

  1.  在“端口创建”区域框中,依据连接至云的设备接口类型选择相应的“端口类型”。
  2.  “绑定信息”选择“UDP”。
  3. 单击“增加”。

注意: 创建UDP端口时, 不可勾选“开放UDP端口” 。

  • 使用云进行网卡绑定时,请务必不要绑定公共网络使用的网卡,否则可能会引起动态地址池内网络故障,华为内部用户会涉及安全违规。
  • 由于建立端口映射至少需要两个端口,可参考之前操作新建UDP端口即可。

系统会自动分配UDP 地址

%E5%9B%BE%E7%89%87.png

2 . 根据已创建的端口信息,配置端口映射。

  1. 选择“端口类型”。
  2.  选择“入端口编号”和“出端口编号”。如配置“入端口编号”为“1”、“出端口编号”为“2”,则表示从“1”端口进入云的数据,都从“2”端口送出。
  3. 勾选“双向通道” ,即表示同时添加反向映射关系。
  4.  单击“增加”,即在“端口映射表”中显示相应的端口映射关系。

如下图所示:

%E5%9B%BE%E7%89%87.png

设置完成后,返回到拓扑界面, 手动在 设备与“云”之间建立链路,此时云端将显示已创建的端口信息 , 连接防火墙和Cloud ( eNSP 防火墙设备现只支持g0/0/0端口登录web网管对设备进行管理和配置。 ) 开启所有设备 (得多等一会儿才会变绿)

%E5%9B%BE%E7%89%87.png

进入防火墙的命令行视图, USG6000V 防火墙

默认的用户名是:admin

密码: Admin@123

第一次登录 就 提示更改密码;

%E5%9B%BE%E7%89%87.png

查看当前端口的默认配置

dis ip int brief g0/0/0

%E5%9B%BE%E7%89%87.png

刚好和我们配置的网关在同一网络段 : 192.168.0.0/24

 

这时只需要 在G 0/0/0 端口实现防火墙 http\https\ping 策略放通

[Jack20]int g0/0/0

[Jack20-GigabitEthernet0/0/0]service-manage http permit

[Jack20-GigabitEthernet0/0/0]service-manage https permit

[Jack20-GigabitEthernet0/0/0]service-manage ping permit

日志会有相应回显

%E5%9B%BE%E7%89%87.png

查看当前端口下配置情况:

[Jack20-GigabitEthernet0/0/0]display this

%E5%9B%BE%E7%89%87.png

测试:

由于刚刚放通了 ping ,所以在本机电脑上是可以正常 p ing 通模拟器中的防火墙的,说明所有配置都是对的

%E5%9B%BE%E7%89%87.png

然后本地计算机打开浏览器软件(以火狐浏览器为例),在地址栏中输入“ https://192.168.0.1:8443 ”( 192.168.0.1 为示例,请以以太接口中实际配置的接入端口IP地址为准),按下回车键,显示Web网管的登录界面。

%E5%9B%BE%E7%89%87.png

点击WEB页面中的 <高级> 按钮 同意即可

%E5%9B%BE%E7%89%87.png

1. 输入登录信息。

a. 选择语言

目前支持 多种语言 。

%E5%9B%BE%E7%89%87.png

b. 输入用户名和密码。

缺省用户名为 admin ,缺省密码为 Admin@123 。 这里 密码为上面改过的新密码

c. 单击“ 登录”,进入操作页面。

注意: 用户登录成功后,在固定时间内未进行任何操作(缺省超时时间为10分钟),系统自动注销当前登录。单击“确定”后,重新返回到登录页面。

登陆后会有一个 快速向导将帮助您完成设备基础配置并连接到互联网 (和真机一毛一样)

%E5%9B%BE%E7%89%87.png

%E5%9B%BE%E7%89%87.png

很全面的基本情况管理显示

%E5%9B%BE%E7%89%87.png

%E5%9B%BE%E7%89%87.png

还有 很多 全面的可视化配置,大家都可以自己上手自己体验一波

最后融入到实际的项目设计中

比如:

%E5%9B%BE%E7%89%87.png

后面有时间会给大家讲这个 超综合 的案例

知识总结

华为防火墙具有三种工作模式:路由模式、透明模式、混合模式。

      防火墙通过区域区分安全网络和不安全网络,在华为防火墙上安全区域是一个或者多个接口的集合。防火墙通过安全区域来划分网络,并基于这些区域控制区域间的报文传递。当数据报文在不同的安全区域之间传递时,将会出发安全策略检查。

注意:

• 安全区域的优先级必须唯一,即每个安全区域都需要对应不同的优先级,因为防火墙会 宫根据 优先级大小来确定网络的受信任级别。

• 华为防火墙中,一个接口只能加入一个安全区域。

USG6000V防火墙支持的特性总结

 

特性

子特性

网络层安全防护

 

 

 

 

 

 

 

 

 

 

包过滤

支持基于策略的包过滤。

NAT

支持对报文源、目的IP地址和端口进行转换。

支持 将私网 IP地址和端口映射为公网IP地址和端口,使内网服务器可以对外提供网络服务。

支持对多通道协议报文的载荷中协商的IP地址和端口进行自动转换。

DDoS攻击防范

防范多种DoS和DDoS攻击:

• 协议报文DDoS:SYN Flood、UDP Flood、ICMP Flood、ARP Flood

• 应用层DDoS:HTTP Flood、HTTPS Flood、DNS Flood、SIP Flood

单包攻击防范

防范多种单包攻击,进行报文合法性检查:IP Spoofing、LAND攻击、Smurf攻击、 Fraggle 攻击、 WinNuke 、Ping of Death、Tear Drop、地址扫描、端口扫描、IP Option控制、IP分片报文控制、TCP标记合法性检查、ICMP报文控制、ICMP重定向报文控制、ICMP不可达报文控制、TRACERT报文控制。

黑白名单

支持通过基于IP地址的黑白名单,对报文进行快速过滤。

IP与MAC地址绑定

支持将用户主机的IP地址与MAC地址进行绑定,防范IP地址仿冒。

流量管理

 

 

 

 

基于IP的带宽管理

可以限制IP的最大带宽。

基于IP的连接 数管理

可以限制IP的最大连接数。

基于接口的带宽管理

可以限制接口的最大带宽。

智能选路

 

 

 

 

 

 

 

 

DNS透明代理

支持修改DNS请求报文的目的地址,将DNS请求分发到不同的ISP,以实现流量负载分担。

策略路由

支持从应用、服务、入接口、源安全区域、源/目的IP地址、时间段等维度决定如何转发报文。

支持单出口和多出口,当策略路由为多出口时,可以基于链路带宽、链路权重、链路质量或链路优先级进行智能选路。

全局选路策略

支持基于等价缺省路由的智能选路,可以根据链路带宽、链路权重、链路优先级进行选路。

运营商地址库选路

支持基于目的地址所在运营商网络选择相应的出接口。

链路健康检查

支持基于多种协议对链路可用性进行探测。

路由交换与报文转发

 

 

 

 

交换协议

支持ARP、VLAN、PPP/ PPPoE 等常用链路层协议。

路由协议

支持静态路由、策略路由、路由策略、RIP、IS-IS、OSPF、BGP、组播等常用路由协议。

IP转发

支持DNS、DHCP、ICMP、URPF等基本IP协议。

IPv6

 

 

IPv6基础技术

支持IPv6报文的解析与转发,支持IPv6的静态路由、策略路由、路由策略以及 RIPng 、OSPFv3、BGP4+、IS-ISv6等IPv6动态路由协议。

IPv6网络的安全防护

支持基于IPv6地址部署安全策略,进行IPv6网络的安全防护。可以基于IPv6地址对网络主机的 报文进 行包过滤和内容安全的检测处理,所能实现的功能和达到的防护效果与IPv4一致。

VPN

 

 

 

 

IPSec /IKE

支持IKE的v1和v2 两个 版本。

支持DES、3DES、AES等多种加密算法,支持MD5、SHA1等多种校验算法。提供完整的报文加密与验证能力。

支持L2TP over IPSec 、GRE over IPSec 。

L2TP

支持作为LAC或者LNS。

GRE

支持通过GRE跨网传播RIP、OSPF和BGP。

可靠性

 

 

双 机热备

支持VRRP、VGMP、HRP等双 机热备 协议。提供完善的双 机热备处理 机制,保证主机发生故障时,业务可以自动平滑切换到备机上运行。

链路状态检测

支持通过ICMP探测、ARP探测等方式对链路连接状况进行实时检测,在链路故障时及时倒换流量。

虚拟系统

 

 

功能虚拟化

实现了主要功能的完全虚拟化。每个虚拟系统都拥有各自的配置、表项以及资源。

虚拟管理员

支持创建虚拟管理员,每个管理员可以分配特定虚拟系统。每个管理员都有各自的配置界面,可以独立对设备进行维护操作。不同虚拟系统间相互隔离,配置不会产生冲突。

可视化管理与维护

 

 

 

 

全新设计的Web界面

全新设计的Web界面提供了丰富、易用的可视化管理和维护功能,在Web界面可以轻松查看日志报表、进行配置管理和故障诊断。使用Web 界面中的快速向导可以轻松完成部分重要特性的常用配置。

多种远程管理方式

支持Web、CLI(虚拟机软件平台、Telnet、SSH)、网管(SNMP)、SDN Controller(Netconf协议)等多种管理方式。

远程管理

支持通过虚拟机软件平台、 Telent 、SSH、Web等多种方式登录设备进行管理。

支持SNMP协议,可以使用标准网管软件进行管理。

支持Syslog格式日志,可以使用日志服务器进行日志收集和管理。

支持NQA。

 

(责任编辑:阿里技术)
织梦二维码生成器
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
推荐内容