华为防火墙配置使用手册(自己写)[4]

华为防火墙配置使用手册(自己写)

华为防火墙配置使用手册

一、概述

二、防火墙基本概念

包过滤防火墙：它只根据数据包的源地址、目的地址、协议类型

和端口号等信息进行过滤，不对数据包的内容进行分析。它的优点是

处理速度快，开消小，但是安全性较低，不能阻挠应用层的攻击。

状态检测防火墙：它在包过滤防火墙的基础上，增加了对数据包

的连接状态的跟踪和记录，可以识别出非法的连接请求和数据包，并

拒绝通过。它的优点是安全性较高，可以阻挠一些常见的攻击，但是

处理速度较慢，开消较大。

应用代理防火墙：它对数据包的内容进行深度分析，可以识别出

不同的应用协议和服务，并根据应用层的规则进行过滤。它的优点是

安全性最高，可以阻挠复杂的攻击，但是处理速度最慢，开消最大。

访问控制：它可以根据源地址、目的地址、协议类型、端口号、

应用类型等信息对网络流量进行分类和过滤，实现对内外网之间访问

权限的控制和管理。虚拟专网：它可以建立安全隧道，实现不同地域或者组织之间的数

据加密传输，保证数据的机密性、完整性和可用性。

内容安全：它可以对网络流量中携带的内容进行检查和过滤，如

、网页、文件等，并根据预定义的规则进行拦截或者放行。

用户认证：它可以对网络访问者进行身份验证，如用户名、密码

、证书等，并根据不同的用户或者用户组分配不同的访问权限和策略。

流量管理：它可以对网络流量进行统计和监控，如流量量、流量

速率、流量方向等，并根据预定义的规则进行限制或者优化。

日志审计：它可以记录并保存网络流量的相关信息，如源地址、

目的地址、协议类型、端口号、应用类型、过滤结果等，并提供查询

和分析的功能。

三、防火墙配置方法

命令行界面：它是一种基于文本的配置方式，用户可以通过控制

台或者远程终端访问防火墙，并输入相应的命令进行配置。它的优点是

灵便性高，可以实现细致的配置和管理，但是需要用户熟悉命令的语

法和逻辑。

图形用户界面：它是一种基于图形的配置方式，用户可以通过浏

览器或者客户端软件访问防火墙，并通过或者拖拽等操作进行配置。它的优点是易用性高，可以实现直观的配置和管理，但是需要用户安装相

应的软件或者插件。

3.1 命令行界面

3.1.1 访问防火墙

控制台：用户可以使用控制台线缆将电脑连接到防火墙的控制台

接口，并使用终端仿真软件（如PuTTY）设置相应的参数（如波特率、

数据位、住手位等），然后打开终端窗口，即可看到防火墙的登录提

示符。

Telnet：用户可以使用电脑上的Telnet客户端软件（如Windows自

带的Telnet）输入防火墙的IP地址和端口号（默认为23），然后按回

车键，即可看到防火墙的登录提示符。

SSH：用户可以使用电脑上的SSH客户端软件（如PuTTY）输入防火

墙的IP地址和端口号（默认为22），然后按回车键，即可看到防火墙

的登录提示符。

无论使用哪种方式访问防火墙，用户都需要输入正确的用户名和

密码才干登录成功。默认情况下，防火墙的用户名为admin，密码为空

。用户登录成功后，会进入系统视图，即以开头的提示符。

3.1.2 配置防火墙display：该命令用于显示防火墙的各种信息，如版本、状态、接

口、路由、策略等。例如，输入display

version可以显示防火墙的软件版本信息。

system-

view：该命令用于进入系统视图下的子视图，如接口视图、路由视图

、策略视图等。例如，输入system-view interface GigabitEthernet

0/0/0可以进入接口GigabitEthernet 0/0/0的视图。

quit：该命令用于退出当前视图，并返回上一级视图。例如，在

接口视图下输入quit可以返回系统视图。

save：该命令用于保存当前配置，并将其写入闪存中。例如，在

系统视图下输入save可以保存当前配置。

reset：该命令用于恢复防火墙的默认配置，并重启防火墙。例如

，在系统视图下输入reset可以恢复防火墙的默认配置。

help：该命令用于查看当前视图下的可用命令和参数。例如，在

系统视图下输入help可以查看系统视图下的可用命令和参数。

配置接口：用户可以在接口视图下，输入ip

address、shutdown、description等命令，设置接口的IP地址、启用或者禁用状态、描述信息等。例如，输入ip address 192.168.1.1

24可以设置接口的IP地址为192.168.1.1/24。

配置路由：用户可以在路由视图下，输入static、ospf、rip等命

令，设置静态路由、动态路由协议等。例如，输入static 0.0.0.0 0

10.10.10.1可以设置默认路由为10.10.10.1。

配置策略：用户可以在策略视图下，输入rule、action、service

等命令，设置策略的规则、动作、服务等。例如，输入rule name

permit-web action permit service tcp destination-port eq

www可以设置一个允许web访问的策略规则。

3.2 图形用户界面

3.2.1 访问防火墙

Web界面：用户可以使用浏览器（如Chrome）输入防火墙的IP地址

和端口号（默认为443），然后按回车键，即可看到防火墙的Web登录

页面。用户需要输入正确的用户名和密码才干登录成功。默认情况下

，防火墙的用户名为admin，密码为空。用户登录成功后，会进入Web

管理界面，即以华为LOGO和菜单栏为特征的页面。

客户端界面：用户可以使用电脑上安装的客户端软件（如eSight

）输入防火墙的IP地址和端口号（默认为22），然后按回车键，即可看到防火墙的客户端登录页面。用户需要输入正确的用户名和密码才

能登录成功。默认情况下，防火墙的用户名为admin，密码为空。用户

登录成功后，会进入客户端管理界面，即以树形结构和工具栏为特征

的页面。

3.2.2 配置防火墙

查看信息：用户可以在菜单栏或者工具栏中选择相应的选项，如系

统信息、接口信息、路由信息、策略信息等，查看防火墙的各种信息

。

修改配置：用户可以在菜单栏或者工具栏中选择相应的选项，如接

口配置、路由配置、策略配置等，修改防火墙的各种配置。

保存配置：用户可以在菜单栏或者工具栏中选择相应的选项，如保

存配置、重启设备等，保存当前配置，并将其写入闪存中。

导入导出：用户可以在菜单栏或者工具栏中选择相应的选项，如导

入配置、导出配置、导入证书、导出证书等，导入或者导出防火墙的相

关文件。

配置接口：用户可以在接口配置选项中，选择要配置的接口，然

后在右侧的属性栏中，修改接口的IP地址、启用或者禁用状态、描述信

息等。配置路由：用户可以在路由配置选项中，选择要配置的路由类型

，如静态路由、动态路由协议等，然后在右侧的属性栏中，修改路由

的目的地址、掩码、下一跳、优先级等。

配置策略：用户可以在策略配置选项中，选择要配置的策略类型

，如访问控制策略、入侵谨防策略等，然后在右侧的属性栏中，修改

策略的规则、动作、服务等。

四、防火墙使用注意事项

备份配置：用户应定期备份防火墙的当前配置，并保存在安全的

地方，以防止因为意外或者故障导致配置丢失或者损坏。

更新软件：用户应及时更新防火墙的软件版本，并并安装相应的

补丁和签名文件，以保证防火墙的功能和安全性。

监控日志：用户应密切关注防火墙的运行日志和报警信息，并及

时处理其中的异常和错误，以避免或者减少网络故障和安全风险。

优化策略：用户应根据网络环境和安全需求，合理地设计和调整

防火墙的策略规则和参数，以提高防火墙的性能和效果。

五、结尾

防火墙软件地址防火墙补丁和签名文件地址

防火墙客户端软件地址

防火墙命令行参考手册

防火墙图形用户界面参考手册

USG6000：华为USG6000系列是一款面向中小型企业和分支机构的

综合型安全网关设备。

USG9000：华为USG9000系列是一款面向大型企业和运营商的高性

能安全网关设备。

USG9500：华为USG9500系列是一款面向云数据中心和虚拟化环境

的超大规模安全网关设备。

eSight：华为eSight是一款面向企业网络管理的综合性平台软件

。

防火墙无法登录：可能是因为用户名或者密码错误，或者网络连接

异常。解决办法是检查用户名和密码是否正确，或者检查网络连接是

否正常。

防火墙无法访问外网：可能是因为路由配置错误，防火墙无法访问外网：可能是因为路由配置错误，或者策略配置

错误，或者外网接口故障。解决办法是检查路由配置是否正确，或者

策略配置是否允许外网访问，或者外网接口是否正常。

防火墙无法阻挠攻击：可能是因为入侵谨防功能未开启，或者入

侵谨防策略未生效，或者入侵谨防签名文件过期。解决办法是检查入

侵谨防功能是否开启，或者入侵谨防策略是否匹配攻击流量，或者入

侵谨防签名文件是否更新。

防火墙无法建立虚拟专网：可能是因为虚拟专网功能未开启，或者

者虚拟专网参数不一致，或者虚拟专网证书无效。解决办法是检查虚

拟专网功能是否开启，或者虚拟专网参数是否与对端保持一致，或者

虚拟专网证书是否有效。