华为防火墙USG6000全图化Web典型配置案例(V4.0)

华为USG6000系列防⽕墙产品技术⽩⽪书（总体）华为USG6000系列下⼀代防⽕墙技术⽩⽪书⽂档版本V1.1发布⽇期2014-03-12版权所有? 华为技术有限公司2014。

保留⼀切权利。

⾮经本公司书⾯许可，任何单位和个⼈不得擅⾃摘抄、复制本⽂档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本⽂档提及的其他所有商标或注册商标，由各⾃的所有⼈拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本⽂档中描述的全部或部分产品、服务或特性可能不在您的购买或使⽤范围之内。

除⾮合同另有约定，华为公司对本⽂档内容不做任何明⽰或暗⽰的声明或保证。

由于产品版本升级或其他原因，本⽂档内容会不定期进⾏更新。

除⾮另有约定，本⽂档仅作为使⽤指导，本⽂档中的所有陈述、信息和建议不构成任何明⽰或暗⽰的担保。

华为技术有限公司地址：深圳市龙岗区坂⽥华为总部办公楼邮编：518129⽹址：/doc/38e0646559eef8c75fbfb3f8.html客户服务邮箱：ask_FW_MKT@/doc/38e0646559eef8c75fbfb3f8.html 客户服务电话：4008229999⽬录1 概述 (1)1.1 ⽹络威胁的变化及下⼀代防⽕墙产⽣ (1)1.2 下⼀代防⽕墙的定义 (1)1.3 防⽕墙设备的使⽤指南 (2)2 下⼀代防⽕墙设备的技术原则 (1)2.1 防⽕墙的可靠性设计 (1)2.2 防⽕墙的性能模型 (2)2.3 ⽹络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于⽤户的管控能⼒ (4)2.7 基于应⽤的管控能⼒ (4)2.8 应⽤层的威胁防护 (4)2.9 业务⽀撑能⼒ (4)2.10 地址转换能⼒ (5)2.11 攻击防范能⼒ (5)2.12 防⽕墙的组⽹适应能⼒ (6)2.13 VPN业务 (6)2.14 防⽕墙管理系统 (6)2.15 防⽕墙的⽇志系统 (7)3 Secospace USG6000系列防⽕墙技术特点 (1)3.1 ⾼可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防⽕墙技术 (16)3.8 业务⽀撑能⼒ (17)3.9 ⽹络地址转换 (18)3.10 丰富的攻击防御的⼿段 (21)3.11 优秀的组⽹适应能⼒ (23)3.12 完善的VPN功能 (25)3.13 应⽤层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的⽇志报表系统 (31)4 典型组⽹ (1)4.1 攻击防范 (1)4.2 地址转换组⽹ (2)4.3 双机热备份应⽤ (2)4.4 IPSec保护的VPN应⽤ (3)4.5 SSL VPN应⽤ (5)华为USG6000系列下⼀代防⽕墙产品技术⽩⽪书关键词：NGFW、华为USG6000、⽹络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要：本⽂详细介绍了下⼀代防⽕墙的技术特点、⼯作原理等，并提供了防⽕墙选择过程的⼀些需要关注的技术问题。

华为USG6000系列下一代防火墙技术白皮书文档版本V1.1发布日期2014-03-12版权所有© 华为技术有限公司2014。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：ask_FW_MKT@客户服务电话：4008229999目录1 概述 (1)1.1 网络威胁的变化及下一代防火墙产生 (1)1.2 下一代防火墙的定义 (1)1.3 防火墙设备的使用指南 (2)2 下一代防火墙设备的技术原则 (1)2.1 防火墙的可靠性设计 (1)2.2 防火墙的性能模型 (2)2.3 网络隔离 (3)2.4 访问控制 (3)2.5 基于流的状态检测技术 (3)2.6 基于用户的管控能力 (4)2.7 基于应用的管控能力 (4)2.8 应用层的威胁防护 (4)2.9 业务支撑能力 (4)2.10 地址转换能力 (5)2.11 攻击防范能力 (5)2.12 防火墙的组网适应能力 (6)2.13 VPN业务 (6)2.14 防火墙管理系统 (6)2.15 防火墙的日志系统 (7)3 Secospace USG6000系列防火墙技术特点 (1)3.1 高可靠性设计 (1)3.2 灵活的安全区域管理 (6)3.3 安全策略控制 (7)3.4 基于流会话的状态检测技术 (9)3.5 ACTUAL感知 (10)3.6 智能策略 (16)3.7 先进的虚拟防火墙技术 (16)3.8 业务支撑能力 (17)3.9 网络地址转换 (18)3.10 丰富的攻击防御的手段 (21)3.11 优秀的组网适应能力 (23)3.12 完善的VPN功能 (25)3.13 应用层安全 (28)3.14 完善的维护管理系统 (31)3.15 完善的日志报表系统 (31)4 典型组网 (1)4.1 攻击防范 (1)4.2 地址转换组网 (2)4.3 双机热备份应用 (2)4.4 IPSec保护的VPN应用 (3)4.5 SSL VPN应用 (5)华为USG6000系列下一代防火墙产品技术白皮书关键词：NGFW、华为USG6000、网络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要：本文详细介绍了下一代防火墙的技术特点、工作原理等，并提供了防火墙选择过程的一些需要关注的技术问题。

网络安全之华为USG防火墙配置实例USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。

USG5500系列产品部署于网络出口处，有效阻止Internet 上的黑客入侵、DDoS攻击，阻止内网用户访问非法网站，限制带宽，为内部网络提供一个安全可靠的网络环境。

这里华迪教育以此为例，给同学们讲解防火墙配置实例。

华为USG防火墙配置内容：（1）内部网络通过防火墙访问外部网络(NAT)（2）外部网络能够访问内部服务器的映射网站主要配置命令如下：Step 1: 设置内、外网接口IPinterface GigabitEthernet0/0/1ip address 192.168.10.1 255.255.255.0interface GigabitEthernet0/0/8ip address 211.95.1.200 255.255.255.0Step 2: 指定内网信任区和外网非信任区firewall zone trustdetect ftp (启用FTP应用层转换)add interface GigabitEthernet0/0/1firewall zone untrustadd interface GigabitEthernet0/0/8step 3 : 开启内网FTP服务映射到外网，开通区域间的通信许可firewall interzone trust untrustdetect ftp （开启内网到外网的FTP服务映射）firewall packet-filter default permit allstep 4:定义NAT地址池、配置NAT Server发布内网站点服务nat address-group 1 211.95.1.200 211.95.1.200nat server zone untrust protocol tcp global 211.95.1.200 www inside 192.168.10.254 wwwnat server zone untrust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftpnat server zone trust protocol tcp global 211.95.1.200 www inside 192.168.10.254 wwwnat server zone trust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftpStep 5 :配置nat转换，使得内网可以访问外网nat-policy interzone trust untrust outboundpolicy 1action source-natpolicy source 192.168.10.0 0.0.0.255address-group 1Step 6: 配置源地址转换，强制要求内网用户须通过映射地址访问内部服务器nat-policy zone trustpolicy 1action source-natpolicy source 192.168.10.0 0.0.0.255policy destination 211.95.1.254 0 address-group 1。

文档版本V4.0发布日期2016-01-20登录Web 配置界面Example9：应用控制（限制P2P 流量、禁用QQ ）Example8：基于用户的带宽管理Example7：SSL VPN 隧道接入（网络扩展）Example6：客户端L2TP over IPSec 接入（VPN Client/Windows/Mac OS/Android/iOS ）Example5：点到多点IPSec 隧道（策略模板）Example4：点到点IPSec 隧道Example3：内外网用户同时通过公网IP 访问FTP 服务器Example2：通过PPPoE 接入互联网Example1：通过静态IP 接入互联网目录341118263651116131141组网图缺省配置管理接口 GE0/0/0IP 地址 192.168.0.1/24 用户名/密码admin/Admin@123登录Web 配置界面6～810及以上配置登录PC 自动获取IP 地址1在浏览器中输入https://接口IP 地址:port2输入用户名/密码3Firewall192.168.0.*GE0/0/0192.168.0.1/24网口局域网内所有PC都部署在10.3.0.0/24网段，均通过DHCP动态获得IP地址。

企业从运营商处获取的固定IP地址为1.1.1.1/24。

企业需利用防火墙接入互联网。

项目数据说明DNS服务器 1.2.2.2/24 向运营商获取。

网关地址 1.1.1.254/24 向运营商获取。

23配置外网接口 参数45配置内网接口参数6123配置内网接口GE1/0/2的DHCP 服务，使其为局域网内的PC 分配IP 地址412134配置允许内网IP地址访问外网241新建源NAT ，实现内网用户正常访问Internet531、检查接口GigabitEthernet 1/0/1（上行链路）的连通性。

1查看接口状态是否为Up。

2、在内网PC上执行命令ipconfig /all，PC正确分配到IP地址和DNS地址。

配置反病毒在企业网关设备上应用反病毒特性，保护内部网络用户和服务器免受病毒威胁。

组网需求某公司在网络边界处部署了NGFW作为安全网关。

内网用户需要通过Web服务器和POP3服务器下载文件和邮件，内网FTP服务器需要接收外网用户上传的文件。

公司利用NGFW提供的反病毒功能阻止病毒文件在这些过程中进入受保护网络，保障内网用户和服务器的安全。

网络环境如图1所示。

其中，由于公司使用Netease邮箱作为工作邮箱，为了保证工作邮件的正常收发，需要放行Netease邮箱的所有邮件。

另外，内网用户在通过Web服务器下载某重要软件时失败，排查发现该软件因被NGFW判定为病毒而被阻断（病毒ID为8000），考虑到该软件的重要性和对该软件来源的信任，管理员决定临时放行该类病毒文件，以使用户可以成功下载该软件。

图1 配置反病毒组网图配置思路1.配置接口IP地址和安全区域，完成网络基本参数配置。

2.配置两个反病毒配置文件，一个反病毒配置文件针对HTTP和POP3协议设置匹配条件和响应动作，并在该配置文件中配置Netease邮箱的应用例外和病毒ID为8000的病毒例外，另外一个反病毒配置文件针对FTP协议设置匹配条件和响应动作。

3.配置安全策略，在Trust到Untrust和DMZ到Untrust方向分别引用反病毒配置文件，实现组网需求。

操作步骤1.配置接口IP地址和安全区域，完成网络基本参数配置。

a.选择“网络> 接口”。

b.单击GE1/0/1，按如下参数配置。

c.单击“确定”。

d.参考上述步骤按如下参数配置GE1/0/2接口。

e.参考上述步骤按如下参数配置GE1/0/3接口。

2.配置反病毒配置文件。

a.选择“对象> 安全配置文件> 反病毒”。

b.单击“新建”，按下图完成针对HTTP和POP3协议的配置。

c.单击“确定”。

d.参考上述步骤按如下参数完成针对FTP协议的配置。

3.配置内网用户到外网服务器方向（Trust到Untrust方向）的安全策略。

HUAWEI USG6000系列V500R001全图化Web典型配置案例客户端L2TP over IPSec接入（Android）防火墙资料组出品LAC客户端通过Internet连接到公司总部的LNS侧。

出差员工使用搭载Android操作系统的手机（LAC）直接向LNS侧发起连接请求，与LNS的通讯数据通过隧道Tunnel传输。

先使用L2TP封装第二层数据，对身份进行认证；再使用IPSec对数据进行加密。

项目数据LNS L2TP配置组名：default用户名称：vpdnuser用户密码：Hello@123IPSec配置预共享密钥：Admin@123本端ID：IP地址对端ID：接受任意对端ID用户地址池100.1.1.2～100.1.1.100请确保总部设备和地址池中地址路由可达，路由下一跳指向防火墙连接总部内网的接口GE0/0/3。

LACIP地址10.1.1.254/24L2TP配置用户认证名称：vpdnuser用户认证密码：Hello@123IPSec配置预共享密钥：Admin@123对端地址：1.1.1.2/24总部Firewall( LNS )Server Android( LAC )10.1.1.254/24TrustUntrustL2TP over IPSec VPN 隧道GE0/0/11.1.1.2/24GE0/0/3192.168.1.1/241配置外网接口参数2345配置内网接口参数6123允许总部服务器访问外网允许防火墙与LAC 通信允许LAC 与防火墙通信允许LAC 访问总部服务器4576124新建L2TP 用户选择接入场景及认证类型本例中，用户登录名设置为vpdnuser ，密码设置为Hello@123 。

35客户端L2TP over IPSec 接入（Android ）Step4 新建地址池12新建地址池，本例中地址池范围设置为100.1.1.2-100.1.1.10034客户端L2TP over IPSec 接入（Android）Step5 配置L2TP over IPSec123先选择场景，然后完成基本配置。

华为USG6000系列防火墙共享上网及组网基本配置公司各楼层通过交换机汇聚到楼宇核心交换机，楼宇核心汇聚到总核心，然后通过USG6000安全策略访问外网路由器实现共享上网功能。

楼宇核心：划分楼层VLAN 配置网关上一跳路由<Huawei>sys[huawei]sysname hexinjiaohuan[hexinjiaohuan]vlan batch 10 20 30 40[hexinjiaohuan]int vlan 10[hexinjiaohuan-Vlanif10]ip address 192.168.10.254 24 [hexinjiaohuan]int vlan 20[hexinjiaohuan-Vlanif20]ip address 192.168.20.254 24 [hexinjiaohuan]int vlan 30[hexinjiaohuan-Vlanif30]ip address 192.168.30.254 24 [hexinjiaohuan]int vlan 40[hexinjiaohuan-Vlanif40]ip address 192.168.60.1 30 [hexinjiaohuan]int g0/0/3[hexinjiaohuan-GigabitEthernet0/0/3]port link-type access [hexinjiaohuan-GigabitEthernet0/0/3]port default vlan 10 [hexinjiaohuan]int g0/0/1[hexinjiaohuan-GigabitEthernet0/0/1]port link-type access [hexinjiaohuan-GigabitEthernet0/0/1]port default vlan 20 [hexinjiaohuan]int g0/0/4[hexinjiaohuan-GigabitEthernet0/0/4]port link-type access [hexinjiaohuan-GigabitEthernet0/0/4]port default vlan 30 [hexinjiaohuan]int g0/0/2[hexinjiaohuan-GigabitEthernet0/0/2]port link-type access [hexinjiaohuan-GigabitEthernet0/0/2]port default vlan 40 [hexinjiaohuan]ip route-static 0.0.0.0 0.0.0.0 192.168.60.2<hexinjiaohuan>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y总核心交换机：配置上下访问端口和上下访问路由<Huawei>sys[Huawei]sysname zonghexin[zonghexin]vlan batch 40 50[zonghexin]int vlan 40[zonghexin-Vlanif40]ip address 192.168.60.2 30 [zonghexin]int g0/0/2[zonghexin-GigabitEthernet0/0/2]port link-type access [zonghexin-GigabitEthernet0/0/2]port default vlan 40 [zonghexin]int vlan 50[zonghexin-Vlanif50]ip address 192.100.50.2 30 [zonghexin]int g0/0/1[zonghexin-GigabitEthernet0/0/1]port link-type access [zonghexin-GigabitEthernet0/0/1]port default vlan 50 [zonghexin]ip route-static 192.168.10.0 255.255.255.0 192.168.60.1 [zonghexin]ip route-static 192.168.20.0 255.255.255.0 192.168.60.1[zonghexin]ip route-static 192.168.30.0 255.255.255.0 192.168.60.1 [zonghexin]ip route-static 0.0.0.0 0.0.0.0 192.100.50.1<zonghexin>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y防火墙USG6000：配置访问策略允许内网所有PC访问外网（路由器）地址Username:adminPassword: （默认密码Admin@123）The password needs to be changed. Change now? [Y/N]: yPlease enter old password: （默认密码Admin@123）Please enter new password: 新密码Please confirm new password: 新密码确认[USG6000V1]int g1/0/1 //配置内网端口[USG6000V1-GigabitEthernet1/0/1]ip address 192.100.50.1 255.255.255.252 [USG6000V1-GigabitEthernet1/0/1]service-manage http permit[USG6000V1-GigabitEthernet1/0/1]service-manage https permit[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit[USG6000V1]int g1/0/0 //配置外网端口[USG6000V1-GigabitEthernet1/0/0]ip address 10.128.60.5 255.255.255.252 [USG6000V1]firewall zone trust //把端口加入到安全域[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1[USG6000V1]firewall zone untrust //把端口加入到非安全域[USG6000V1-zone-untrust]add interface GigabitEthernet1/0/0[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 10.128.60.6[USG6000V1]ip route-static 192.168.10.0 255.255.255.0 192.100.50.2[USG6000V1]ip route-static 192.168.20.0 255.255.255.0 192.100.50.2[USG6000V1]ip route-static 192.168.30.0 255.255.255.0 192.100.50.2[USG6000V1]security-policy //访问策略[USG6000V1-policy-security]rule name "trust to untrust"[USG6000V1-policy-security-rule-trust to untrust][USG6000V1-policy-security-rule-trust to untrust]source-zone trust[USG6000V1-policy-security-rule-trust to untrust]destination-zone untrust [USG6000V1-policy-security-rule-trust to untrust] action permit[USG6000V1-policy-security-rule-trust to untrust] rule name local[USG6000V1-policy-security-rule-local]source-zone local[USG6000V1-policy-security-rule-local]destination-zone trust[USG6000V1-policy-security-rule-local]action permit<USG6000V1>save路由器：[Huawei]int g0/0/1[Huawei-GigabitEthernet0/0/1]ip address 10.128.60.6 255.255.255.252 [Huawei]ip route-static 0.0.0.0 0.0.0.0 10.128.60.5<Huawei>savepc>ping 10.128.60.6Ping 10.128.60.6: 32 data bytes, Press Ctrl_C to breakFrom 10.128.60.6: bytes=32 seq=1 ttl=252 time=765 ms From 10.128.60.6: bytes=32 seq=2 ttl=252 time=141 ms From 10.128.60.6: bytes=32 seq=3 ttl=252 time=78 msFrom 10.128.60.6: bytes=32 seq=4 ttl=252 time=78 msFrom 10.128.60.6: bytes=32 seq=5 ttl=252 time=78 msPC机测试通过基本功能实现。

使⽤ensp模拟器中的防⽕墙（USG6000V）配置NAT（⽹页版）使⽤ensp模拟器中的防⽕墙（USG6000V）配置NAT（⽹页版）⼀、NAT介绍NAT（Network Address Translation，⽹络地址转换）：简单来说就是将内部私有地址转换成公⽹地址。

在NAT中，涉及到内部本地地址、内部全局地址、外部本地地址、外部全局地址。

它们的含义是：内部本地地址：内⽹中设备所使⽤的 IP 地址，此地址通常是⼀个私有地址。

内部全局地址：公有地址，通常是 ISP 所提供的，由内⽹设备与外⽹设备通信时所使⽤到的。

外部本地地址：外⽹中设备所使⽤的地址，这个地址是在⾯向内⽹设备时所使⽤的，它不⼀定是⼀个公⽹地址。

外部全局地址：外⽹设备所使⽤的真正的地址，是公⽹地址。

NAT的分类：根据转化⽅式的不同，NAT可以分为三类：源NAT：源地址转化的NAT。

如NO—PAT, NAPT, Easy_ip⽬的NAT：将⽬的地址进⾏转化的NAT。

如NAT-Server双向NAT：即将源地址和⽬的地址都做NAT转换。

NAT的优缺点：优点：1、减缓了可⽤的IP地址空间的枯竭。

2、隐藏了内部⽹络的⽹络结构，避免了来⾃外部的⽹络攻击。

缺点：1、⽹络监控的难度加⼤2、限制了某些具体应⽤NAT所⾯临的问题：1、NAT违反了IP地址结构模型的设计原则。

因为IP地址结构模型的基础是每个IP地址均标识了⼀个⽹络的连接，⽽NAT使得有很多主机可能同时使⽤相同的地址。

2、NAT使得IP协议从⾯向⽆连接变成⾯向连接。

NAT必须维护专⽤IP地址与公⽤IP地址以及端⼝号的映射关系。

在TCP/IP协议体系中，如果⼀个路由器出现故障，不会影响到TCP协议的执⾏。

⽽当存在NAT时，最初设计的TCP/IP协议过程将发⽣变化，Internet可能变得⾮常脆弱。

3、NAT违反了基本的⽹络分层结构模型的设计原则。

因为在传统的⽹络分层结构模型中，第N层是不能修改第N+1层的报头内容的。