精华内容
下载资源
问答
  • 华赛USG5500系列统一安全网关,华赛USG5500系列统一安全网关,华赛USG5500系列统一安全网关
  • 华为防火墙USG5500

    千次阅读 2019-06-08 16:45:18
    华为防火墙USG5500重点:什么是防火墙;防火墙基础;防火墙功能配置一.什么是防火墙:1.什么是防火墙:防火墙主要用于保护一个网络免受来自另一个网络的***和***行为,因其隔离、防守属性,防火墙灵活应用于网络边界...

    华为防火墙USG5500
    重点:什么是防火墙;防火墙基础;防火墙功能配置
    一.什么是防火墙:
    1.什么是防火墙:
    防火墙主要用于保护一个网络免受来自另一个网络的***和***行为,因其隔离、防守属性,防火墙灵活应用于网络边界、子网隔离等位置,如企业网络出口、大型网络内部子网隔离、数据中心(IDC)边界。
    2.对比交换机路由器及防火墙:
    1)交换机:组建局域网、通过二层或三层交换快速转发报文;
    2)路由器:连接不同网络、通过路由协议实现互联互通、确保报文转发到目的地;
    3)防火墙:部署在边界,对进出网络的访问行为进行控制,安全防护是核心特性;
    总结:路由器和交换机的本质是转发,防护墙的本质是控制。
    3.防火墙发展历史及特点:
    1)访问控制越来越精确;
    2)防护能力越来越强;
    3)处理性能越来越高;
    4.防火墙接口、网络和安全区域的关系:
    1)安全区域(security zone):简称区域(zone)是一个或多个接口的集合,作用是划分网络、标识表文流动的“路线”;当报文在不同安全区域之间流动时才会受到控制;
    2)防火墙接口、网络、安全区域的关系:接口连接网络、接口再加入到区域,实现通过接口把安全区域和网络关联起来,通常说某个安全区域即表示安全区域中接口所在网络;(注意华为防火墙,一个接口只能加入到一个安全区域)
    3)华为防火墙默认安全区域:
    trust区域:受信任程度高,通常为内部用户所在网络;
    DMZ区域:受信任程度中等,通常为内部服务器所在网络;
    untrust区域:不受信任的网络,通常为Internet等不安全的网络;
    local区域:防火墙本身,凡是由防火墙主动发出的报文均为local区域发出,凡是需要防火墙响应并处理(非转发)的报文均为local区域接收;local区域不能添加任何接口;
    4)安全级别(受信任程度):1-100(数越大越可信)、local=100、trust=85、DMZ=50、untrust=5;
    5)报文在两个安全区域之间流动的规则:
    inbound(入方向):报文从低级别的安全区域向高级别的安全区域流动;
    outbound(出方向):报文从高级别的安全区域向低级别的安全区域流动;
    6)防火墙通过安全级别划分等级明确的区域,连接各个网络,实现各个网络之间流动的报文(数据传输流向)实施控制。
    5.防火墙如何判断报文在哪两个区域之间流动?
    1)确认目的安全区域:查表(路由表、MAC地址表)确认转发的接口,接口所在的区域即为目的安全区域;
    2)确认原安全区域:反查路由表确认原安全区域;
    注意:确定报文的源和目的安全区域是精确配置安全策略的前提条件。
    二.华为防火墙基础配置:
    1.华为防火墙配置安全区域:
    系统试图:新建或进入安全区域:firewall zone name 区域的名称
    区域试图:设置安全级别(0-100):set prio 安全级别
    区域试图:添加接口到区域:add int 接口编号
    系统试图:查看区域配置:display zone
    2.状态检测防火墙:
    状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整体的数据流来对待。为数据流的第一个报文建立会话,数据流内的后续报文直接配置会话转发,不需要再进行规则的检查,提高转发效率。
    3.防火墙会话:
    1)会话:通信双方建立的连接在防火墙上的具体体现,代表两者的连接状态,一条会话表示通信双方的一个连接,防火墙上的多条会话的集合叫做会话表(session table);
    2)五元组:一条连接(即一个会话)由源地址、源端口、目的地址、目的端口和协议五个元素唯一确认,即只要这5个元素相同的报文即可任务属于同一条会话流。没有目标端口的协议防火墙使用固定值,如ICMP:ID=源端口、2048=目的端口;IPSsec(×××:AH认证头/ESP:封装安全载荷):源、目的端口=0.
    4.华为防火墙排错命令:
    系统试图:查看区域:display zone
    系统试图:查看丢包:dis firewall statistic system discard
    系统试图:查看会话表:dis Firewall session table verbose
    系统试图:修改dns老化时间为3秒:firewall session aging-time dns 3(内网有大量dns查询,修改老化时间,避免内存耗尽)
    三.防火墙功能配置:
    1.配置DHCP:
    接口试图:配置DHCP:dhcp select int-->dhcp server gateway 网关-->dhcp server dns dns服务器地址-->q
    2.配置SNAT内网上网:
    1)配置NAT策略:
    进入nat配置试图:nat-policy interzone 高区域1 低区域2 outbound
    nat配置试图:新建策略1:policy 1
    策略配置试图:指定源网段:policy source 源网段 反码
    策略配置试图:启用SNAT:action source-nat
    策略配置试图:指定nat类型:easy-ip 外网接口编号
    策略配置试图:退出:return
    2)配置安全策略:
    系统试图:进入安全策略配置试图:policy interzone 高区域1 低区域1 outbound
    安全策略配置试图:新建策略:policy 1
    策略配置试图:policy source 源网段 反码
    策略配置试图:设置策略为允许:action permit-->return
    3)配置动态NAPT:
    系统试图:定义地址池:nat address-group 组号 开始地址 结束地址
    策略配置试图:指定nat类型:address-group 组号
    其他配置与easy-ip相同。
    3.华为防火墙安全策略:
    1)安全策略基于安全区域之间关系来呈现,其内容包括条件(端口和地址)+动作(permit允许或deny拒绝);
    2)安全策略的匹配顺序:从上到下顺序匹配,匹配即停止,无匹配默认拒绝;
    3)华为防火墙安全策略发展历程:ACL五元组(usg2000/5000支持)-->UTM(usg2000/5000支持)-->一体化安全策略(usg6000支持)
    UTM(统一威胁管理)配置语法:policy interzone 源区域 目标区域 outbound或inbound-->policy 名称-->policy source或destination 网段或ip-->action deny或permit
    一体化安全策略配置语法:security-policy-->rule name 名称-->source-zone 源区域-->destination-zone 目标区域-->source-address 原地址-->action deny或permit;
    4)ASPF(应用层包过滤):根据报文应用层中的信息动态生成server-map表项,即简化安全策略的配置又确保安全性,ASPF是一种穿越防火墙的技术,ASPF生成的server-map表项,相当于在防火墙上打开一个通道,使类似于FTP(qq、msn)的多通道协议的后续报文不受安全策略的控制,利用该通道即可穿越防火墙。
    ASPF配置语法:firewell interzone trust unstrust -->detect {ftp|qq|msn}
    注意:ASPF的服务支持自定义。
    5)华为防火墙安全策略配置思路和故障排除:
    安全策略配置思路:配置默认包过滤为允许-->对业务进行调试-->查看会话表并以其中记录的信息为匹配条件配置安全策略-->最后恢复默认包过滤策略配置-->调试业务
    故障排除:dis pol int trust untrust outbound #查看策略匹配-->poli move 2 before 1 #改变策略顺序

    4.华为防火墙负载均衡:
    1)负载均衡是一种集群,由多台服务器共同处理任务,实现统一对外,处理大量任务。
    2)配置负载均衡:
    系统视图:启用负载均衡(SLB):slb enable
    slb视图:设置远端服务器:rserver 1 rip 服务器ip地址 weight 权重
    slb视图:新建组:group 负载均衡组名
    slb组视图:设置调度算法:metric 算法
    slb组视图:添加远端服务器:addrserver 1
    slb视图:设置集群vip:vserver grp vip 集群ip地址 group slb组 vport 集群端口 rport 真实服务器端口
    系统视图:查看:dis slb group slb组

    5.华为防火墙nat-server发布内网服务:
    1)nat server的server-map表中包括正向表项和反向表项,正向表项记录服务器私网地址及端口和公网地址及端口的映射关系,作用是在公网用户访问服务器时对报文的目的地址做转换;
    反向表项作用是当私网服务器主动访问公网时,可以直接使用该表项的源地址,将私网地址转换为公网地址,而不用再单独为服务器配置源SNAT策略;
    即一条命令同时打通私网服务器和公网之间出入两个方向的地址转换通道。
    2)nat-server发布内网服务配置语法:
    系统试图:发布内网服务:nat server protocol tcp global 公网地址 端口 inside 内网服务器地址 端口
    3)发布内网服务器安全策略配置:
    注意:策略的目的地址是服务器私网地址,而不是服务器对外映射公网地址,为了避免路由环路,nat server需要配置黑洞路由。
    4)DNAT安全策略配置语法:
    policy interzone dmz untrust inbound-->policy 1-->policy destination 服务器私网ip地址 0 -->policy service service-set 服务 -->action permit -->return
    5)配置黑洞路由的语法:ip route-static 公网ip地址 32 null 0

    转载于:https://blog.51cto.com/14381205/2406353

    展开全文
  • USG5500 统一安全网关 典型配置案例
  • Secoway USG5500是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代万兆统一安全网关。USG5500 集大容量交换与专业安全于一体,在3U的平台上提供了超过30G的处理能力,以用户为核心的安全策略融合了IPS...

    Secoway USG5500是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代万兆统一安全网关。USG5500 集大容量交换与专业安全于一体,在3U的平台上提供了超过30G的处理能力,以用户为核心的安全策略融合了IPS、AV、URL 过滤,应用程序控制,邮件过滤等行业领先的专业安全技术,可精细化管理1000余种网络应用,同时传承了USG 产品族优异的防火墙、VPN 及路由特性,为用户打造更高速、更高效、更安全的网络。

    性能优异,稳定可靠

    万兆防火墙吞吐,万兆VPN吞吐,超大容量NAT转换能力

    全系列支持万兆接口,最高可扩展56个千兆+14个万兆接口

    关键部件冗余配置,成熟的链路转换机制,电信级可靠性设计

    专业安全防御

    基于赛门铁克全球领先的反病毒技术,提供99%精准检出率

    基于赛门铁克先进的IPS,提供最高检测率和最低的漏报误报率

    完善的反垃圾邮件能力,保护企业邮件服务器安全;根据邮件正文、标题、关键字、附件属性来控制员工的邮件行为,避免邮件泄密和不安全因素的引入

    智能上网行为管理

    应用控制:1000多种应用协议识别、控制、限流,保证主要业务的畅通,提升员工工作效率

    WEB过滤:6500万海量URL过滤,搜索引擎关键字过滤、页面关键字过滤,规范员工上网行为、减少企业法律风险

    丰富的报表:从用户、应用、流量、行为等多维度真实呈现用户上网行为

    灵活配置

    以用户为核心的安全策略,基于用户的访问控制、限流、网络应用控制和内容安全、策略路由等技术,提供细粒度的控制权限

    一体化策略设计:所有配置统一入口,减少跳转,简化配置,避免漏配

    基于WEB界面的专业配置向导,全面提升管理员操作体验

    产品系列

    图片型号

    USG5530S

    USG5530

    USG5550

    USG5560

    展开全文
  • USG5500、S5700

    千次阅读 2015-11-30 16:40:45
    华为USG6000系列配置手册: ...一、基本命令usg5500防火墙 system-view [SRG]sysname hunan #更改名称 [hunan] [hunan]interface GigabitEthernet0/0/0 #进入接口 10:35:29 2015/11/30 [hunan-Gigabi

    华为USG6000系列配置手册:

    http://support.huawei.com/enterprise/docinforeader.action?contentId=DOC1000047748&partNo=10152

    一、基本命令usg5500防火墙

    <SRG>system-view

    [SRG]sysname hunan   #更改名称

    [hunan]

    [hunan]interface GigabitEthernet0/0/0   #进入接口

    10:35:29  2015/11/30

    [hunan-GigabitEthernet0/0/0]          #接口模式

    [hunan-GigabitEthernet0/0/0]ipaddress 192.168.100.1 255.255.255.0

    #给接口GigabitEthernet0/0/0配置IP地址

    [hunan-GigabitEthernet0/0/0]shutdown   #关闭端口(一般情况下默认端口开启)

    [hunan-GigabitEthernet0/0/0]undo shutdown     #激活端口

    [hunan-GigabitEthernet0/0/0]quit      #返回上一级

    10:42:03  2015/11/30

    [hunan]

    如果是usg5500的防火墙会有稍微不一样的地方,即:

    在配置console口用户名和密码方式登录的时候设定用户登录级别的时候是这样,如下:

    [switch-aaa]local-user xiaoming privilege level 3

     

    二、基本命令switch交换机

    1.如果是在模拟器里面进行配置,会总是弹出一堆英文,总是打断命令的输入,这时候可以使用这样一条命令直接关闭就可以了,如下所示:

    [test]undo info enable

    在交换机里面是没有办法直接给端口配置IP地址的。

    在华为的交换机里面只能设置登录密码,不能设置特权密码。

     

    2.华为交换机的两种登录方式配置:console口和telnet

    CONSOLE:

    a.仅仅为密码登录模式:

    [switch]user-interface console 0   #进入console模式

    [switch-ui-console0]authentication-mode password   #设定为密码认证模式

    [switch-ui-console0]set authentication password cipher123.com

    [switch-ui-console0]user privilege level 3   #设定console用户等级,其实不用配置就默认权限等级为3了,也就管理员权限。

    b.用户名及密码登录模式:

    [switch]user-interface console 0    #进入console模式

    [switch-ui-console0]authentication-mode aaa   #设定为用户认证模式

    [switch-ui-console0]quit

    [switch]aaa   #进入用户模式

    [switch-aaa]local-user xiaojun password cipher 123.com

    #添加用户名为xiaojun并设置密码为暗密码123.com

    Info: Add a new user.

    [switch-aaa]local-user xiaojun service-type terminal 

    #给xiaojun账号开通console口终端登录的服务

    [switch-aaa]local-user xiaojun privilege level 3

    #设定xiaojun的权限等级为3,即为管理员权限。

    TELNET:

    a.密码登录模式“

    [switch]user-interface vty 0 4

    [switch-ui-vty0-4]authentication-modepassword

    [switch-ui-vty0-4]set authenticationpassword cipher 123.com

    [switch-ui-vty0-4]user privilege level 3

    #因为默认的登录用户级别为0,所以这里设定用户登录权限级别为3

    b.用户名及密码登录模式:

    [switch]aaa

    [switch-aaa]local-user xiaoming password cipher 123.com

    [switch-aaa]local-user xiaoming service-type telnet  #设定telnet的服务

    [switch-aaa]local-user xiaoming privilege level 3  #登录用户级别为3

    注意:如果同时配置了console口的密码登录方式和用户名密码登录方式,用户名密码登录方式会优先生效。

     

    三、部分查看和保存命令

    [usg5500]display interface brief  #查看端口状态,主要

    [usg5500]display ip interface brief  #查看接口状态,详细

    [usg5500]displaycurrent-configuration   #查看最近配置

    [switch]displaysaved-configuration     #查看已经保存的配置

    <usg5500>save    #保存配置(注意:不是在特权模式下)

    <switch>save all #保存配置到下次启动文件

    <usg5500>reboot  #重新启动(注意:不是在特权模式下)

    [switch]display ip rout

    [switch]display ip routing   这两个命令都是查看路由表

    [switch]display version #查看当前系统版本

    [switch]display device   #查看设备状态

    [switch]display vlan    #查看交换机vlan

    四、新建vlan及端口如何加入vlan

    1.新建vlan

    [switch]vlan 2    #新建vlan2

    [switch-vlan2]description hr   #加入描述为hr的vlan

    [switch]interface vlan 2   #进入vlan 2的接口模式

    [switch-Vlanif2]

    [switch-Vlanif2]ip address 192.168.111.1 255.255.255.0 #指定vlanIP地址

    2.批量建立连续vlan和不连续vlan

    [switch]vlan batch 3 to 5   #批量建立连续vlan

    [switch]vlan batch 10 20    #批量建立不连续vlan

    3.加入vlan

    [switch]interface GigabitEthernet 0/0/10

    [switch-GigabitEthernet0/0/10]port link-type access #更改端口为可访问端口

    [switch-GigabitEthernet0/0/10]port default vlan 2

    4.批量添加端口到vlan

    首先建立端口群组:

    [switch]port-group 1

    [switch-port-group-1]description hr

    [switch-port-group-1]group-memberGigabitEthernet 0/0/11 to GigabitEthernet 0/0/15

    [switch-port-group-1]port link-type access

    [switch-GigabitEthernet0/0/15]port defaultvlan 2

     

    [switch]display port-group 1 #可以查看群组的端口成员

    [switch]display vlan summary  #可查看vlan主要信息

     

    [switch]super password level 3cipher 123.com

    #设置低级别用户到高级别用户的切换密码,也是超级密码。

     

    展开全文
  • USG5500 V300R001C00 版本对外测试用例.doc
  • 华为USG5500防火墙配置实验1、实验拓扑内网:192.168.0.0/24外网:192.168.1.0/24其他设备地址规划如图,按照拓扑图搭建网络,并配置设备地址2、具体配置命令AR1system-view[Huawei]sysnameAR1[AR1]interfaceg0/0/0...

    华为

    USG5500

    防火墙配置实验

    1

    实验拓扑

    内网:

    192.168.0.0/24

    外网:

    192.168.1.0/24

    其他设备地址规划如图,按照拓扑图搭建网络,并配置设备地址

    2

    、具体配置命令

    AR1

    system-view

    [Huawei]sysname AR1

    [AR1]interface g0/0/0

    [AR1-GigabitEthernet0/0/0]ip address 192.168.0.150 24

    [AR1-GigabitEthernet0/0/0]quit

    退出

    [AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1

    配置默认路由

    AR1

    开启

    Telnet

    服务

    [AR1]user-interface vty 0 4

    开启远程线程

    [AR1-ui-vty0-4]au

    [AR1-ui-vty0-4]authentication-mode password

    认证方式为

    password

    Please configure the login password (maximum length 16):888

    登录密码

    [AR1-ui-vty0-4]user privilege level 3

    设置用户等级

    [AR1-ui-vty0-4]

    AR2

    system-view

    [Huawei]sysname AR2

    展开全文
  • USG5500作为安全设备被部署在业务节点上。其中上下行设备均为交换机,USG5300A,USG5300B分别充当主设备和备用设备,且均工作在路由模式下。 网络规划如下: •需要保护的网段地址为192.168.1.0/24,与USG5300的...
  • 防火墙USG5500,以前的防火墙了,拿它举例。用防火墙来实现vlan间通信。不过好像不太稳定,配置好了可以用,再重启就不可以用了。配置防火墙FW1创建vlansys[SRG]sysname FW1[FW1]vlan 1[FW1-vlan-1]quit[FW1]vlan 2...
  • 问题:交换机S5700与防火墙USG5500无法对接Eth-trunk LACP-static模式,两端正常配置后,端口状态显示错误,Eth-trunk端口无法up 。问题描述:交换机侧 GE0/0/5和GE 0/0/6 组成Eth-trunk3 通过LACP-static与防火墙...
  • 华为防火墙USG5500的配置方法

    万次阅读 多人点赞 2018-02-18 17:58:42
    防火墙基本配置什么是防火墙?防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1793年发明并引入国际互连网(US5606668(A)1793-12-15)。它是一项信息安全的防护系统,依照特定的规则,允许或是...
  • 为何S5700交换机通过trunk直连防火墙USG5500,都互相无法ping通。FW1:#interface Vlanif10ip address 10.10.10.2 255.255.255.0#interface GigabitEthernet0/0/1portswitchport link-type trunkport trunk permit ...
  • 华为USG5500和USG6000的一些配置命令

    万次阅读 2016-08-20 12:01:54
    USG6000: security-policy rule name policy-name source-zone trust destination-zone dmz source-address address-set pc-1 destination-address 192.168.5.2 32 service server ...
  • ENSP防火墙USG5500 NAT/FTP配置

    千次阅读 2020-01-16 15:54:33
    常见的企业的NAT场景的配置过程。这个企业在对外FTP服务的同时,还有部分员工需要通过NAT访问Internet。由于该企业只有一个公网IP资源,已经作为设备连接外网的接口的IP地址,所以使用easy-ip方式借用这个接口的IP...
  • 防火墙基本配置什么是防火墙?防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1793年发明并引入国际互连网(US5606668(A)1793-12-15)。它是一项信息安全的防护系统,依照特定的规则,允许或是限制...
  • 确定IPSEc的安全提议 [USG5500]ipsec proposal pro1 [USG5500-ipsec-proposal-pro1]esp authentication-algorithm sha1 [USG5500-ipsec-proposal-pro1]esp encryption-algorithm aes 128 定义的安全提议可以查到 ...
  • 华为防火墙USG5500-企业双ISP出口

    千次阅读 2018-04-15 22:14:00
    # 创建IP-Link 2,用于侦测USG到目的地址为100.1.12.2之间的链路可达性。 ip-link 2 destination 100.1.12.2 mode icmp ip route-static 0.0.0.0 0.0.0.0 200.1.12.2 track ip-link 1 # 配置缺省路由,指定下一...
  • 配置FW1的用户 [USG5500]aaa [USG5500-aaa]local-user user1 password cipher 123 [USG5500-aaa]local-user user1 service-type ppp [USG5500-aaa]ip pool 1 192.168.3.2 192.168.3.100 [USG5500-aaa]quit [USG5500...
  • USG5500 配置地址池和easy-ip双出口NAT

    千次阅读 2018-11-07 21:37:09
    一、组网需求: 1、某公司购买了两个运营商的公网IP,使公司内部用户能够通过NAT访问互联网。但是向A运营商只购买一个公网IP,所以想配置为easy-ip的NAT模式。向B运营商购买了6公网IP(202.202.202.1-202.202.202.6...
  • 华赛防火墙USG2200&5500web配置方式
  • USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。可广泛应用于运营商、企业、政府、金融、能源、学校等领域的网络边界。USG5500系列产品部署于网络出口处,...
  • USG5300/5500系列产品通用文档(V1.07) 以下文档为适用于USG5300/5500版本的通用文档,文档中可能包含当前产品不支持的特性,具体特性支持情况请查阅《特性支持》。 特性支持 本文档提供USG系列产品的特性支持情况...
  • USG5300/5500攻击防范配置指导

    千次阅读 2015-07-28 10:06:38
    USG5300/5500 部署在DNS服务器前,专门用于保护DNS服务器时,并且DNS服务器支持基于TCP的DNS请求,才有必要开启,否则不需要开启。 ip-spoof 在配置了策略路由或多出接口的场景下,容易出现到达某个报...
  • USG防火墙telnet实验

    2018-05-04 16:02:35
    实验使用USG5500防火墙 ,<SRG>system-view [SRG]interface g0/0/0 [SRG-GigabitEthernet0/0/0]ip address 192.168.1.1 24 接口配置地址[SRG-GigabitEthernet0/0/0]display this(显示当前配置) [SRG-...
  • HUAWEI USG NAT OUTBOUND

    千次阅读 2015-03-06 13:31:39
    USG5500 内网用户做NAT端口转换200.1.1.1访问互联 外网不能访问内网用户   内网:11.1.1.0/24 外网:200.1.1.0/24   外网不能访问内网用户 system-view #配置防火墙的i
  • 华赛USG2200&5100;&5500;统一安全网关产品文档配置实例
  • HUAWEI USG 虚拟接口--DMZ

    千次阅读 2015-03-09 11:13:08
    实验设备:USG5500 配置11.1.1.0/24网段访问Internat 配置DMZ区域并将DMZ区域的HTTPServer做静态NAT转换 3、将trust和DMZ放入子接口进行配置 拓扑图 DMZ配置方法 创建3个zone,分别为trust untrust ...

空空如也

空空如也

1 2 3
收藏数 44
精华内容 17
关键字:

usg5500