华为USG防火墙配置命令

这篇具有很好参考价值的文章主要介绍了华为USG防火墙配置命令。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

其实防火墙配置,只需要配置到能使用web方式管理,剩下的都在网页上配置即可,有人喜欢用命令配置,但我说下用命令配置的弊端,首先是安全策略的备注不好写,还有就是策略的顺序不方便调整,需要提前规划好,还有就是容易出错,真的完全没有必要,你又不是配置交换机,防火墙用网页配置,又方便又不容易出错。需要注意的一点,华为的USG防火墙型号不同,在用命令创建用户的命令会有些出入,不过都是大同小异。再啰嗦一下,防火墙的安全策略是讲究顺序的,从上到下依次执行,在这点上和windows系统自带的防火墙是不同的,windows防火墙不讲究什么顺序,是按照最佳匹配原则。

华为USG防火墙配置命令

常用命令

<SRG>     //用户视图,用户视图只能使用查看命令
<SRG>?		//查看用户视图下的所有命令
<SRG>display version		//查看VRP系统版本
<SRG>system-view 		//进入系统视图
[SRG]sysname R1         //修改设备名称为R1
[R1]display clock		//查看系统时间
[R1]quit		//返回上一级
<SRG>save       //保存配置
<SRG>display saved-configuration     //查看保存的配置
<SRG>display current-configuration		//查看当前运行的配置
<SRG>reboot 		//重启设备
<USG6000>reset saved-configuration    //恢复出厂配置

查看license信息及esn码

[USG6000]display license	//查看license信息
[USG6000]display esn 	//查看esn码

查看接口IP信息

[USG6000]display ip interface brief    //查看接口IP简要信息
[USG6000]display current-configuration interface GigabitEthernet 1/0/0	//查看该接口的运行信息

设置接口IP地址

[SRG]interface GigabitEthernet 0/0/0		//进入接口模式
[SRG-GigabitEthernet0/0/0]ip address 10.10.10.11 24         //24为子网掩码
[SRG-GigabitEthernet0/0/0]shutdown         //禁用接口
[SRG-GigabitEthernet0/0/0]undo shutdown   	//启用接口
[SRG-GigabitEthernet0/0/0]display this		//查看该接口信息

设置vlan1管理地址,并允许ssh及https访问

[USG6000]interface Vlanif 1
[USG6000-Vlanif1]ip address 192.168.80.100 24
[USG6000-Vlanif1]service-manage ssh permit 
[USG6000-Vlanif1]service-manage https permit 
[USG6000-Vlanif1]service-manage ping permit        //注意这种方式会导致策略不生效
[USG6000-Vlanif1]undo service-manage enable        //必须关闭服务管理,策略才生效

设置静态默认路由

[USG6000]ip route-static 0.0.0.0 0.0.0.0 192.168.80.1

设置旗标和登录成功后提示

[SRG]header login information "zhuhai huanao zaixianjianceshi usg2000"
[SRG]header shell information "Wecome to Huawei USG2000"

设置时区及日期

<R1>clock timezone beijin add 08:00		//设置时区为北京东八区
<R1>clock datetime 11:20:10 2021/02/03		//11点20分10秒,2021年02月03日

设置console口密码及超时时间

[SRG]user-interface console 0		//进入console口配置模式
[SRG-ui-console0]authentication-mode password cipher huawei@123    //设置密码为huawei@123
[SRG-ui-console0]idle-timeout 20		//设置超时时间为20分钟

设置console口使用用户名密码登录(usg2000)

[SRG]user-interface console 0
[SRG-ui-console0]authentication-mode aaa    //认证模式为AAA
[SRG]aaa		//进入AAA配置模式
[SRG-aaa]local-user chb password cipher huawei@123		//创建chb用户名,密码为huawei@123
[SRG-aaa]local-user chb service-type terminal 		//指定chb用户的类型为console口用
[SRG-aaa]local-user chb level 15		//指定chb用户的权限等级为15(15表示最高权限)
[SRG-aaa]display local-user		//查看本地用户

创建AAA用户管理console口,ssh,web

[USG6000]aaa	//进入AAA配置模式
[USG6000-aaa]manager-user chbadmin 		//创建用户chbadmin
[USG6000-aaa-manager-user-chbadmin]password cipher huawei@123    //设置密码为huawei@123
[USG6000-aaa-manager-user-chbadmin]service-type terminal ssh web    //指定为console,ssh,web用
[USG6000-aaa-manager-user-chbadmin]level 15		//设置级别为15,数值越大权限越高,15是最高权限

web登录配置管理

1. 配置USG的IP地址(略)

2. 配置UGS接口Web设备管理

[SRG-GigabitEthernet0/0/0]service-manage enable        //默认已开启
[SRG-GigabitEthernet0/0/0]service-manage https permit     //允许https,也可以设置允许Ping

3. 启动web管理功能

[SRG]web-manager enable
[SRG]web-manager security enable port 8443
[SRG]web-manager timeout 60    //设置超时时间为60分钟

telnet登录配置管理

1. 开启telnet服务

[SRG]telnet server enable 

2. 配置USG接口telnet设备管理

[SRG-GigabitEthernet0/0/0]service-manage enable 
[SRG-GigabitEthernet0/0/0]service-manage telnet permit    //设置接口允许telnet
[SRG-GigabitEthernet0/0/0]service-manage ping permit      //设置接口允许ping

3. 配置vty 并设置密码登录(或者参照下一条使用用户密码登录)

[SRG]user-interface vty 0 4       //进入vty配置模式
[SRG-ui-vty0-4]protocol inbound telnet    //配置vty允许telnet
[SRG-ui-vty0-4]authentication-mode password cipher huawei@123   //设置认证模式为密码
[SRG-ui-vty0-4]user privilege level 3   //设置权限级别为3

4. 配置vty并设置用户名密码登录即AAA认证

[USG6000]user-interface vty 0 4
[USG6000-ui-vty0-4]protocol inbound telnet
[USG6000-ui-vty0-4]authentication-mode aaa     //设置认证模式为AAA
[USG6000-ui-vty0-4]idle-timeout 60      //设置超时时间60分钟

[USG6000]aaa          //进入AAA配置
[USG6000-aaa]manager-user telchb     //创建用户telchb
[USG6000-aaa-manager-user-telchb]password cipher huawei@123    //设置密码为huawei@123
[USG6000-aaa-manager-user-telchb]service-type telnet         //设置服务类型为telnet
[USG6000-aaa-manager-user-telchb]level 3       //设置级别为3

通过SSH方式登录管理

1. 启用Stelnet服务

[SRG]stelnet server enable 

2. 配置防火墙管理接口允许SSH管理

[SRG-GigabitEthernet0/0/0]service-manage enable 
[SRG-GigabitEthernet0/0/0]service-manage ssh permit 

3. 配置RSA本地密钥对

[SRG]rsa local-key-pair create 

4. 配置vty线路

[SRG]user-interface vty 0 4
[SRG-ui-vty0-4]authentication-mode aaa
[SRG-ui-vty0-4]protocol inbound ssh   //允许ssh
[SRG-ui-vty0-4]idle-timeout 60    //设置超时时间为60分钟

5. 配置ssh登录用户名密码

[SRG]ssh user chbssh
[SRG]ssh user chbssh authentication-type password 
[SRG]ssh user chbssh service-type stelnet 

[SRG]aaa
[SRG-aaa]local-user chbssh password cipher huawei@123
[SRG-aaa]local-user chbssh service-type ssh

[SRG-aaa]local-user chbssh level 3

文件管理

<SRG>dir		//查看当前目录文件
<SRG>copy private-data.txt 123.txt		//复制private-data.txt到当前目录并改名为123.txt
<SRG>move 123.txt 111.txt      		//移动123.txt到当前目录并改名为111.txt
<SRG>delete 111.txt 		//删除111.txt,并非彻底删除可以恢复
<SRG>dir /all			//查看当前目录所有文件
<SRG>undelete 111.txt 		//恢复刚才删除的文件111.txt
<SRG>delete /unreserved 111.txt			//彻底删除111.txt
<SRG>mkdir flash:/backup			//在根目录下创建文件夹backup
<SRG>cd backup 		//切换目录到backup文件夹中
<SRG>pwd		//查看当前路径
<SRG>cd /			//切换到根目录
<SRG>copy private-data.txt flash:/backup/private-data-bak.txt	//复制文件到指定路径
<SRG>move private-data.txt flash:/private-data.txt		//移动文件到指定路径

将flash中的文件备份到TFTP和FTP

#将flash中的vrpcfg.zip上传到tftp服务器
<R1>tftp 192.168.10.11 put flash:/vrpcfg.zip		

#将tftp服务器的vrpcfg2.zip下载到flash中
<R1>tftp 192.168.10.11 get vrpcfg2.zip flash:/vrpcfg2.zip		

<R1>ftp 192.168.10.11 21		//登录ftp服务器端口号21
输入用户名
输入密码
[R1-ftp]get 111.txt 111.txt			//下载ftp中的111.txt到flash中
[R1-ftp]put vrpcfg.zip vrpcfg-bak.zip		//上传flash中的vrpcfg.zip到ftp中

设置系统启动使用的文件及配置文件

<SRG>display startup 			//查看系统启动使用的系统文件和配置文件
<SRG>startup system-software filename1.zip		//设置系统启动文件
<SRG>startup saved-configuration vrpcfg2.zip		//指定保存配置的文件

将防火墙设置为ftp服务器

需设置防火墙规则允许(略)

[USG6000]ftp server enable   //开启ftp服务

[USG6000]aaa
[USG6000-aaa]manager-user ftpchb 
[USG6000-aaa-manager-user-ftpchb]password cipher huawei@123
[USG6000-aaa-manager-user-ftpchb]service-type ftp      //指定服务类型为ftp
[USG6000-aaa-manager-user-ftpchb]ftp-directory hda1:     //指定ftp的根目录为hda1
[USG6000-aaa-manager-user-ftpchb]level 3

[USG6000]undo ftp server    //关闭ftp服务

安全区域设置并将接口划入该区域

[USG6000]firewall zone untrust     //进入untrust区域配置
[USG6000-zone-untrust]add interface GigabitEthernet 1/0/0   //将该接口加入到该区域
[USG6000-zone-untrust]display this    //查看该区域的配置信息

[USG6000]firewall zone trust 
[USG6000-zone-trust]add interface Vlanif 1     //将vlan1接口划入该区域

[USG6000]firewall zone name Inbound     //创建区域Inbound ,并进入该区域配置
[USG6000-zone-Inbound]set priority 90	 //设置优先级为90,数值越大信任级别越高
[USG6000-zone-Inbound]add interface GigabitEthernet 1/0/5    //将该接口加入到该区域

[USG6000]display zone	 //查看区域信息

配置安全策略

[USG6000]security-policy	//进入安全策略配置
[USG6000-policy-security]default action deny    //设置默认策略为禁止
[USG6000-policy-security]rule name SUL02	//新建一条规则名称是SUL02
[USG6000-policy-security-rule-SUL02]source-zone untrust 	//源区域是untrust
[USG6000-policy-security-rule-SUL02]destination-zone local 	//目标区域是local
[USG6000-policy-security-rule-SUL02]action permit 		//动作是允许

[USG6000]display security-policy rule all	//查看所有安全策略条目名称

[USG6000]display security-policy rule name SUL02	//查看SUL02这条安全策略

[USG6000]interface GigabitEthernet 1/0/1		//进入该接口模式
[USG6000-GigabitEthernet1/0/0]undo service-manage enable 	//关闭服务管理,才能使安全策略生效

配置安全策略示例

[USG6000]security-policy 
[USG6000-policy-security]rule name UT02    //新建一个规则名称叫UT02
[USG6000-policy-security-rule-UT02]source-address 192.168.10.12 32
[USG6000-policy-security-rule-UT02]source-address 192.168.11.0 0.0.0.255   //使用反掩码表示地址范围,即192.168.11.0/24这个网段
[USG6000-policy-security-rule-UT02]source-address range 192.168.12.1 192.168.12.50     //指定地址范围在192.168.12.1~192.168.12.50
[USG6000-policy-security-rule-UT02]destination-address any     //目标地址是any,表示所有地址
[USG6000-policy-security-rule-UT02]user any    //用户是所有用户,这条命令是默认的,可以省略
[USG6000-policy-security-rule-UT02]service protocol  tcp destination-port 22    //指定目标端口是TCP的22号端口
[USG6000-policy-security-rule-UT02]service protocol udp destination-port 888    //指定目标端口是UDP的888端口
[USG6000-policy-security-rule-UT02]service protocol  icmp    //允许ping
[USG6000-policy-security-rule-UT02]service protocol icmp icmp-type echo-reply   //上一条命令包含这条命令,这个表示只允许icmp的回显包

[USG6000-policy-security]undo rule name UT02    //删除UT02这条规则
[USG6000-policy-security]display this     //查看规则内容

使用地址组,服务组,时间组的方式配置安全策略

  1. 创建相应的地址组
[USG6000]ip address-set A01 type object    //创建对象A01
[USG6000-object-address-set-A01]address 192.168.11.0 0.0.0.255    //添加地址范围,注意是反掩码写法
[USG6000-object-address-set-A01]address 192.168.12.0 0.0.0.255

[USG6000]ip address-set A02 type object      //创建对象A02
[USG6000-object-address-set-A02]address 192.168.20.0 0.0.0.255
[USG6000-object-address-set-A02]address 192.168.21.0 0.0.0.255

[USG6000]ip address-set A type group     //创建组A
[USG6000-group-address-set-A]address address-set A01   //添加对象A01
[USG6000-group-address-set-A]address address-set A02
[USG6000-group-address-set-A]address 192.168.3.0 0.0.0.255    //也可以在组里面,直接添加地址范围

[USG6000]display ip address-set all     //查看地址组
[USG6000]display ip address-set verbose A01 item    //查看地址组A01详细
[USG6000]display ip address-set verbose A item 
  1. 创建相应的服务组
[USG6000]ip service-set S01 type object     //创建服务对象S01
[USG6000-object-service-set-S01]service protocol tcp destination-port 80    //添加目的地址端口为TCP的80
[USG6000-object-service-set-S01]service protocol tcp destination-port 22

[USG6000]ip service-set S02 type object 
[USG6000-object-service-set-S02]service protocol tcp destination-port 8080
[USG6000-object-service-set-S02]service protocol tcp destination-port 8081

[USG6000]ip service-set S type group     //创建服务组
[USG6000-group-service-set-S]service service-set S01   //添加服务对象S01
[USG6000-group-service-set-S]service service-set S02

[USG6000]display ip service-set all      //查看服务组
[USG6000]display ip service-set verbose S01 item    //查看服务组S01详细
[USG6000]display ip service-set verbose S item 
  1. 创建相应的时间组
[USG6000]time-range T      //创建时间组T
[USG6000-time-range-T]period-range 08:00:00 to 18:00:00 working-day    //设置周期时间为,工作日为周一到周五的8点到18点
[USG6000-time-range-T]absolute-range 08:00:00 2021/04/02 to 18:00:00 2020/12/30    //设置绝对时间
[USG6000-time-range-T]undo absolute-range all       //删除上一条命令
[USG6000-time-range-T]display this
  1. 配置安全策略时使用刚才创建的组
[USG6000]security-policy
[USG6000-policy-security]rule name UT03    //创建或者是进入条目UT03编辑
[USG6000-policy-security-rule-UT03]service S     //指定服务组为S
[USG6000-policy-security-rule-UT03]destination-address address-set A    //指定目标地址为地址组A

[USG6000-policy-security-rule-UT03]time-range T    //设置时间组为T
[USG6000-policy-security-rule-UT03]undo time-range    //删除上一条命令

[USG6000-policy-security-rule-UT03]action permit      //动作允许

查看路由及设置默认路由

[USG6000]ip route-static 0.0.0.0 0.0.0.0 172.16.10.3	//设置默认路由
[USG6000]undo ip route-static 0.0.0.0 0.0.0.0	//删除上一条命令
[USG6000]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 172.16.10.3	    //设置默认路由,并指定出去的接口

[USG6000]display ip routing-table     //查看路由表

设置接口为交换口

[USG6000]interface GigabitEthernet 1/0/1		//进入接口模式
[USG6000-GigabitEthernet1/0/1]portswitch 	//设置接口为交换口
[USG6000-GigabitEthernet1/0/1]port link-type access   //设置接口类型为接入接口
[USG6000-GigabitEthernet1/0/1]undo portswitch   //取消上一条命令,即接口恢复为路由口

查看防火墙会话表

[USG6000]display firewall session table	//查看会话表简要信息
[USG6000]display firewall session table verbose	//查看会话表详细信息
[USG6000]display firewall server-map	//查看server-map信息

将ASPF检测FTP流量的端口改为其他端口

  • 防火墙默认是开启ASPF检测的,针对多协议服务,如FTP服务,ASPF会针对FTP服务临时开放安全策略
[USG6000]acl 2001	//创建ACL编号2001
[USG6000-acl-basic-2001]rule permit source 10.21.50.10 0.0.0.0		//允许该源地址
[USG6000]port-mapping FTP port 2121 acl 2001	//将关于ASFP检测的FTP服务转移到2121端口,ACL条目是2001
[USG6000]undo firewall detect ftp   //关闭aspf检测ftp浏览

番外:SSH方式连接华为USG2000防火墙报错

SecureCRT使用SSH方式连接华为USG2000防火墙报错如下:

The client has disconnected from the server. Reason:
Message Authentication Code did not verify (packet #4). Data integrity has been
compromised.

解决方法:
改为使用SSH1协议登录即可
通过telnet该地址的22端口可以看出SSH使用的版本是1.9

华为USG防火墙重置密码

以下操作会初始化华为USG防火墙,所有配置清空哦

通电情况下,用圆珠笔按住reset按钮10秒,笔记本接好console口,等待画面,出现提示按ctrl+B,输入默认密码O&m15213 然后选择对应的数字“Reset Factory Configuration”,返回后选择数字1,启动系统,然后输入默认的用户名admin,默认密码Admin@123 网页登录地址是https://192.168.0.1:8443 用户名密码也是admin和Admin@123

总结

其实防火墙本身的管理web也是有漏洞的,可以通过只让某一个IP地址能够访问来增加安全性,但也不能保证绝对安全,我这边的做法是,单独留一个接口,用与web管理,当然弊端就是配置防火墙需要到现场用笔记本接上那个保留的接口才能配置,好处就是黑客想入侵,必须要通过社工的方式,接触到这台设备。说实话有点异想天开了,首先问问自己,你的设备值不值得别人这样做,简直是拿高射炮去打蚊子,没人会去干这种蠢事的。文章来源地址https://www.toymoban.com/news/detail-448595.html

到了这里,关于华为USG防火墙配置命令的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 华为防火墙(以USG6330为例)公网直接访问问题解决

    以华为防火墙作为公司网络出口设备,连接ISP网络。在公网输入公司的公网IP地址,会自动添加端口号,跳转到防火墙外网登录界面。 【策略-NAT策略-服务器映射】列表中并没有将防火墙映射到公网。 (一)方案一:映射到错误的IP地址上         在【策略-NAT策略-服务器

    2024年02月13日
    浏览(40)
  • 华为---登录USG6000V防火墙---console、web、telnet、ssh方式登录

    目录 一、环境搭建 二、第一次登录USG6000V防火墙,即通过console方式登录 三、通过web管理界面创建用户 四、web登录USG6000V防火墙         1. 用web创建的用户通过web方式登录USG6000V防火墙         2. 命令行创建的用户通过web方式登录USG6000V防火墙 五、ssh方式登录USG6000V防

    2024年02月03日
    浏览(48)
  • 华为防火墙配置命令大全

    目录 前言  初始化防火墙 防火墙基本配置  NAT地址转换 配成交换机(透明模式) 主备双机热备 配置负载均衡 前言          防火墙(Firewall)也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)防火墙是位于内部网和外部网之

    2024年02月13日
    浏览(38)
  • USG6000V防火墙WEB登录界面超详细配置过程

    防火墙在企业中的应用非常广泛,几乎现在每个公司的网络中都会用到防火墙,或多或少做一些安全策略。公司中也一定存在着负责日常维护这些网络设备的工作人员。如果稍微专业一点,可能他们会通过直接敲命令的方式来管理防护墙,但是也存在着一些专业知识不是那么

    2024年01月17日
    浏览(39)
  • 结合实验详解USG6000V防火墙的相关配置(小白一定要看!!!)

    这两天跟着老师学习了网络安全防御之防火墙的配置,过程中不乏遇到了许多问题,例如 访问https://ip:8443地址却没有提示继续进入的接口,或者是无法ping通防火墙测试端口 等问题,希望接下来的分享能够帮助到大家! 为了节省大家的时间,我把实验和具体问题分开罗列,大

    2024年02月01日
    浏览(48)
  • 华为TD-LTE无线数据终端(4G路由器)L二TP对接防火墙USG6650E解决校车(车辆)数据回传问题

    问题:一卡通消费机安装在校车上,校车在全市范围内移动,消费机需要远程连接一卡通服务器才能实现刷校园码、微信、支付宝等功能,由于消费机自身不具备4G、5G模块功能(就算有也要解决问题),只能WIFI,且一卡通服务器位于内网,不提供公网IP映射,因此,要使得校

    2024年02月09日
    浏览(44)
  • 防火墙USG5500安全实验-网络地址转换实验

    防火墙USG5500安全实验-网络地址转换实验 实验目的 通过本实验,你将了解NAT outbound 的工作原理及详细配置。 组网设备 USG防火墙一台,PC机两台。 实验拓扑图 实验步骤 - 1 配置PC1、PC3和PC2的IP地址分别为192.168.1.11/24、10.1.1.11/24、2.2.2.11/24。 2 设置防火墙GE0/0/0、GE0/0/3和GE0/0/1的

    2024年02月03日
    浏览(48)
  • 【网工】华为设备命令学习(防火墙)

    实验目的PC1连接到外网。 关于防火墙的其他知识后续补充。 ensp里的防火墙 用户名admin  密码Admin@123 防火墙的接口类型 1.路由模式 物理口可以直接配. ​​​​​2.交换模式 物理口不能直接配IP,类似交换机,可以配vlan 首先我们先要对各个设备进行基础的IP配置,按照图片进

    2024年02月20日
    浏览(38)
  • 华为防火墙区域配置

    防火墙区域配置 trust区域内R1上的业务网段192.168.0.0/24和192.168.1.0/24仅能访问DMZ区域的web服务器 trust区域内R1上的业务网段192.168.2.0/24和192.168.3.0/24仅能访问DMZ区域的ftp服务器 位于untrust区域的全部外部网段都能够访问dmz区域的web服务器和ftp服务器 trust区域内除192.168.0.0/24以外所有

    2024年02月06日
    浏览(44)
  • 配置华为防火墙端口映射

    如果想检测由防火墙到服务器的连通性,需放行local到dmz的流量

    2024年02月14日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包