幾分鐘帶你快速開“玩”華為防火墻

一、準(zhǔn)備工作

首先你需要一個(gè)神器——華為eNSP模擬器（數(shù)通小伙伴）

接下就是再檢查一下電腦里是否有 Microsoft KM-TEST 環(huán)回網(wǎng)絡(luò) 適配器

在： < 控制面板 \網(wǎng)絡(luò)和 Internet\網(wǎng)絡(luò)連接 > 里查看

發(fā)現(xiàn)沒有環(huán)回網(wǎng)絡(luò) 適配器，那就老老實(shí)實(shí) 添加環(huán) 回網(wǎng)絡(luò) 適配器 （ 為了 云設(shè)備 綁定網(wǎng)卡）

注意： eNSP 工具中的云代表通過各種網(wǎng)絡(luò)技術(shù)連接起來的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，目前可實(shí)現(xiàn)的功能包括：仿真設(shè)備之間建立映射關(guān)系、綁定網(wǎng)卡與仿真設(shè)備之間進(jìn)行通信，以及通過開放UDP端口方式與外部程序進(jìn)行通信。

同時(shí)按鍵盤上的 Windows + X鍵以打開 < 快速訪問> 菜單。從列表中選擇 < 計(jì)算機(jī)管理 > 以打開 計(jì)算機(jī)管理界面

然后 <設(shè)備管理器> 展開 <網(wǎng)絡(luò)適配器> 再點(diǎn)擊 上面的 <操作 > 選擇 “ 添加 過時(shí)硬件” 安裝環(huán)回適配器。

進(jìn)入“網(wǎng)絡(luò)適配器”

找到 Microsoft 廠商下的 Microsoft KM-TEST環(huán)回適配器 安裝就ok

然后可以再去看一波安裝完成

準(zhǔn)備工作結(jié)束后就正式進(jìn)入

接下來主要步驟：

a. 設(shè)備的接入端口已配置IP地址。即防火墻g0/0/0端口配置IP地址，該IP地址需要保證和您本地計(jì)算機(jī)所在同一網(wǎng)段并且該地址未被使用。

b. 您的本地計(jì)算機(jī)已通過CLOUD設(shè)備與防火墻實(shí)現(xiàn)互通。

c. 設(shè)備正常運(yùn)行，HTTP服務(wù)已正確配置。

d. 您的本地計(jì)算機(jī)上已安裝瀏覽器軟件。

1、配置環(huán)回適配器 在同一 IP地址

把 IP地址配在同一網(wǎng)絡(luò)段將環(huán)回適配器的地址為192.168.0.0/24網(wǎng)段的地址，這里我們將環(huán)回適配器的地址配置為： 192.168.0.2 22 /24

配置方式如下圖：

記住：到這里因?yàn)樘砑恿诵略O(shè)備，一定要重新啟動(dòng)，要不然到時(shí)候cloud 里會(huì)沒有生效的配置！！！

Topo圖：

注意：防火墻選用 USG6000V 防火墻

設(shè)備先，然后你會(huì)發(fā)現(xiàn) Cloud 連 不 上線，不要慌，之前不是說 Cloud可以 讓 備之間 建立映射關(guān)系、綁定網(wǎng)卡與仿真設(shè)備之間進(jìn)行通信，以及通過開放UDP端口方式與外部程序進(jìn)行通信， 繼續(xù)看下面為Cloud 添加端口才行

2、配置Cloud

1. 創(chuàng)建UDP端口

在“端口創(chuàng)建”區(qū)域框中，依據(jù)連接至云的設(shè)備接口類型選擇相應(yīng)的“端口類型”。

“綁定信息”選擇“UDP”。

單擊“增加”。

注意： 創(chuàng)建UDP端口時(shí)， 不可勾選“開放UDP端口” 。

使用云進(jìn)行網(wǎng)卡綁定時(shí)，請(qǐng)務(wù)必不要綁定公共網(wǎng)絡(luò)使用的網(wǎng)卡，否則可能會(huì)引起動(dòng)態(tài)地址池內(nèi)網(wǎng)絡(luò)故障，華為內(nèi)部用戶會(huì)涉及安全違規(guī)。

由于建立端口映射至少需要兩個(gè)端口，可參考之前操作新建UDP端口即可。

系統(tǒng)會(huì)自動(dòng)分配UDP 地址

2 . 根據(jù)已創(chuàng)建的端口信息，配置端口映射。

選擇“端口類型”。

選擇“入端口編號(hào)”和“出端口編號(hào)”。如配置“入端口編號(hào)”為“1”、“出端口編號(hào)”為“2”，則表示從“1”端口進(jìn)入云的數(shù)據(jù)，都從“2”端口送出。

勾選“雙向通道” ，即表示同時(shí)添加反向映射關(guān)系。

單擊“增加”，即在“端口映射表”中顯示相應(yīng)的端口映射關(guān)系。

如下圖所示：

設(shè)置完成后，返回到拓?fù)浣缑妫?手動(dòng)在 設(shè)備與“云”之間建立鏈路，此時(shí)云端將顯示已創(chuàng)建的端口信息 ， 連接防火墻和Cloud （ eNSP 防火墻設(shè)備現(xiàn)只支持g0/0/0端口登錄web網(wǎng)管對(duì)設(shè)備進(jìn)行管理和配置。 ） 開啟所有設(shè)備 （得多等一會(huì)兒才會(huì)變綠）

進(jìn)入防火墻的命令行視圖， USG6000V 防火墻

默認(rèn)的用戶名是：admin

密碼： Admin@123

第一次登錄 就 提示更改密碼；

查看當(dāng)前端口的默認(rèn)配置

dis ip int brief g0/0/0

剛好和我們配置的網(wǎng)關(guān)在同一網(wǎng)絡(luò)段 ： 192.168.0.0/24

這時(shí)只需要 在G 0/0/0 端口實(shí)現(xiàn)防火墻 http\https\ping 策略放通

[Jack20]int g0/0/0 [Jack20-GigabitEthernet0/0/0]service-manage http permit [Jack20-GigabitEthernet0/0/0]service-manage https permit [Jack20-GigabitEthernet0/0/0]service-manage ping permit

日志會(huì)有 相應(yīng)回顯

查看當(dāng)前端口下配置情況：

[Jack20-GigabitEthernet0/0/0]display this

測試：

由于剛剛放通了 ping ，所以在本機(jī)電腦上是可以正常 p ing 通模擬器中的防火墻的，說明所有配置都是對(duì)的

然后本地計(jì)算機(jī)打開瀏覽器軟件（以火狐瀏覽器為例），在地址欄中輸入“ https://192.168.0.1:8443 ”（ 192.168.0.1 為示例，請(qǐng)以以太接口中實(shí)際配置的接入端口IP地址為準(zhǔn)），按下回車鍵，顯示W(wǎng)eb網(wǎng)管的登錄界面。

點(diǎn)擊WEB頁面中的 <高級(jí)> 按鈕 同意即可

1. 輸入登錄信息。

a. 選擇語言

目前支持 多種語言 。

b. 輸入用戶名和密碼。

缺省用戶名為 admin ，缺省密碼為 Admin@123 。 這里 密碼為上面改過的新密碼

c. 單擊“ 登錄”，進(jìn)入操作頁面。

注意： 用戶登錄成功后，在固定時(shí)間內(nèi)未進(jìn)行任何操作（缺省超時(shí)時(shí)間為10分鐘），系統(tǒng)自動(dòng)注銷當(dāng)前登錄。單擊“確定”后，重新返回到登錄頁面。

登陸后會(huì)有一個(gè) 快速向?qū)椭瓿稍O(shè)備基礎(chǔ)配置并連接到互聯(lián)網(wǎng) （和真機(jī)一毛一樣）

很全面的基本情況管理顯示

還有 很多 全面的可視化配置，大家都可以自己上手自己體驗(yàn)一波

最后融入到實(shí)際的項(xiàng)目設(shè)計(jì)中

比如：

后面有時(shí)間會(huì)給大家講這個(gè) 超綜合 的案例

知識(shí)總結(jié)

華為防火墻具有三種工作模式：路由模式、透明模式、混合模式。

防火墻通過區(qū)域區(qū)分安全網(wǎng)絡(luò)和不安全網(wǎng)絡(luò)，在華為防火墻上安全區(qū)域是一個(gè)或者多個(gè)接口的集合。防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò)，并基于這些區(qū)域控制區(qū)域間的報(bào)文傳遞。當(dāng)數(shù)據(jù)報(bào)文在不同的安全區(qū)域之間傳遞時(shí)，將會(huì)出發(fā)安全策略檢查。

注意：

? 安全區(qū)域的優(yōu)先級(jí)必須唯一，即每個(gè)安全區(qū)域都需要對(duì)應(yīng)不同的優(yōu)先級(jí)，因?yàn)榉阑饓?huì) 宮根據(jù) 優(yōu)先級(jí)大小來確定網(wǎng)絡(luò)的受信任級(jí)別。

? 華為防火墻中，一個(gè)接口只能加入一個(gè)安全區(qū)域。

USG6000V防火墻支持的特性總結(jié)

特性

子特性

網(wǎng)絡(luò)層安全防護(hù)

包過濾

支持基于策略的包過濾。

NAT

支持對(duì)報(bào)文源、目的IP地址和端口進(jìn)行轉(zhuǎn)換。

支持 將私網(wǎng) IP地址和端口映射為公網(wǎng)IP地址和端口，使內(nèi)網(wǎng)服務(wù)器可以對(duì)外提供網(wǎng)絡(luò)服務(wù)。

支持對(duì)多通道協(xié)議報(bào)文的載荷中協(xié)商的IP地址和端口進(jìn)行自動(dòng)轉(zhuǎn)換。

DDoS攻擊防范

防范多種DoS和DDoS攻擊:

? 協(xié)議報(bào)文DDoS：SYN Flood、UDP Flood、ICMP Flood、ARP Flood

? 應(yīng)用層DDoS：HTTP Flood、HTTPS Flood、DNS Flood、SIP Flood

單包攻擊防范

防范多種單包攻擊，進(jìn)行報(bào)文合法性檢查：IP Spoofing、LAND攻擊、Smurf攻擊、 Fraggle 攻擊、 WinNuke 、Ping of Death、Tear Drop、地址掃描、端口掃描、IP Option控制、IP分片報(bào)文控制、TCP標(biāo)記合法性檢查、ICMP報(bào)文控制、ICMP重定向報(bào)文控制、ICMP不可達(dá)報(bào)文控制、TRACERT報(bào)文控制。

黑白名單

支持通過基于IP地址的黑白名單，對(duì)報(bào)文進(jìn)行快速過濾。

IP與MAC地址綁定

支持將用戶主機(jī)的IP地址與MAC地址進(jìn)行綁定，防范IP地址仿冒。

流量管理

基于IP的帶寬管理

可以限制IP的最大帶寬。

基于IP的連接 數(shù)管理

可以限制IP的最大連接數(shù)。

基于接口的帶寬管理

可以限制接口的最大帶寬。

智能選路

DNS透明代理

支持修改DNS請(qǐng)求報(bào)文的目的地址，將DNS請(qǐng)求分發(fā)到不同的ISP，以實(shí)現(xiàn)流量負(fù)載分擔(dān)。

策略路由

支持從應(yīng)用、服務(wù)、入接口、源安全區(qū)域、源/目的IP地址、時(shí)間段等維度決定如何轉(zhuǎn)發(fā)報(bào)文。

支持單出口和多出口，當(dāng)策略路由為多出口時(shí)，可以基于鏈路帶寬、鏈路權(quán)重、鏈路質(zhì)量或鏈路優(yōu)先級(jí)進(jìn)行智能選路。

全局選路策略

支持基于等價(jià)缺省路由的智能選路，可以根據(jù)鏈路帶寬、鏈路權(quán)重、鏈路優(yōu)先級(jí)進(jìn)行選路。

運(yùn)營商地址庫選路

支持基于目的地址所在運(yùn)營商網(wǎng)絡(luò)選擇相應(yīng)的出接口。

鏈路健康檢查

支持基于多種協(xié)議對(duì)鏈路可用性進(jìn)行探測。

路由交換與報(bào)文轉(zhuǎn)發(fā)

交換協(xié)議

支持ARP、VLAN、PPP/ PPPoE 等常用鏈路層協(xié)議。

路由協(xié)議

支持靜態(tài)路由、策略路由、路由策略、RIP、IS-IS、OSPF、BGP、組播等常用路由協(xié)議。

IP轉(zhuǎn)發(fā)

支持DNS、DHCP、ICMP、URPF等基本IP協(xié)議。

IPv6

IPv6基礎(chǔ)技術(shù)

支持IPv6報(bào)文的解析與轉(zhuǎn)發(fā)，支持IPv6的靜態(tài)路由、策略路由、路由策略以及 RIPng 、OSPFv3、BGP4+、IS-ISv6等IPv6動(dòng)態(tài)路由協(xié)議。

IPv6網(wǎng)絡(luò)的安全防護(hù)

支持基于IPv6地址部署安全策略，進(jìn)行IPv6網(wǎng)絡(luò)的安全防護(hù)。可以基于IPv6地址對(duì)網(wǎng)絡(luò)主機(jī)的 報(bào)文進(jìn) 行包過濾和內(nèi)容安全的檢測處理，所能實(shí)現(xiàn)的功能和達(dá)到的防護(hù)效果與IPv4一致。

VPN

IPSec /IKE

支持IKE的v1和v2 兩個(gè) 版本。

支持DES、3DES、AES等多種加密算法，支持MD5、SHA1等多種校驗(yàn)算法。提供完整的報(bào)文加密與驗(yàn)證能力。

支持L2TP over IPSec 、GRE over IPSec 。

L2TP

支持作為LAC或者LNS。

GRE

支持通過GRE跨網(wǎng)傳播RIP、OSPF和BGP。

可靠性

雙 機(jī)熱備

支持VRRP、VGMP、HRP等雙 機(jī)熱備 協(xié)議。提供完善的雙 機(jī)熱備處理 機(jī)制，保證主機(jī)發(fā)生故障時(shí)，業(yè)務(wù)可以自動(dòng)平滑切換到備機(jī)上運(yùn)行。

鏈路狀態(tài)檢測

支持通過ICMP探測、ARP探測等方式對(duì)鏈路連接狀況進(jìn)行實(shí)時(shí)檢測，在鏈路故障時(shí)及時(shí)倒換流量。

虛擬系統(tǒng)

功能虛擬化

實(shí)現(xiàn)了主要功能的完全虛擬化。每個(gè)虛擬系統(tǒng)都擁有各自的配置、表項(xiàng)以及資源。

虛擬管理員

支持創(chuàng)建虛擬管理員，每個(gè)管理員可以分配特定虛擬系統(tǒng)。每個(gè)管理員都有各自的配置界面，可以獨(dú)立對(duì)設(shè)備進(jìn)行維護(hù)操作。不同虛擬系統(tǒng)間相互隔離，配置不會(huì)產(chǎn)生沖突。

可視化管理與維護(hù)

全新設(shè)計(jì)的Web界面

全新設(shè)計(jì)的Web界面提供了豐富、易用的可視化管理和維護(hù)功能，在Web界面可以輕松查看日志報(bào)表、進(jìn)行配置管理和故障診斷。使用Web 界面中的快速向?qū)Э梢暂p松完成部分重要特性的常用配置。

多種遠(yuǎn)程管理方式

支持Web、CLI（虛擬機(jī)軟件平臺(tái)、Telnet、SSH）、網(wǎng)管（SNMP）、SDN Controller（Netconf協(xié)議）等多種管理方式。

遠(yuǎn)程管理

支持通過虛擬機(jī)軟件平臺(tái)、 Telent 、SSH、Web等多種方式登錄設(shè)備進(jìn)行管理。

支持SNMP協(xié)議，可以使用標(biāo)準(zhǔn)網(wǎng)管軟件進(jìn)行管理。

支持Syslog格式日志，可以使用日志服務(wù)器進(jìn)行日志收集和管理。

支持NQA。

TCP/IP 網(wǎng)絡(luò) 通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請(qǐng)聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。