① 華為usg防火牆基本配置命令有哪些
華為usg防火牆基本配置命令:
登陸USG防火牆。
修改防火牆設備名。
對防火牆的時間、時區進行修改。
修改防火牆登陸標語信息。
修改防火牆登陸密碼。
查看、保存和刪除防火牆配置。
在防火牆上配置vlan、地址介面、測試基本連通性。
② USG6320防火牆LAN2和LAN4怎麼建立互通,不做NAT
用戶有一台伺服器,IP地址是192.168.1.100,公網地址是1.1.1.1。在防火牆上配置地址映射如下:
nat server 10 protocol tcp global 1.1.1.1 80 inside 192.168.1.100 80
故障一:防火牆上沒有放行策略
現象:訪問不通,在防火牆上查看不到會話。
查看會話命令為:
display firewall session table verbose destination inside 192.168.1.100
Current Total Sessions : 0
解決辦法:在域間放行到伺服器的策略。
故障二:運營商封閉埠號
現象:訪問不通,在防火牆上查看不到會話。
解決辦法:找運營商協商。
故障三:伺服器沒有配置網關,或內網路由有問題。
現象:訪問不通,在防火牆上看到會話有去無回。
查看會話為:
display firewall session table verbose destination inside 192.168.1.100
Current Total Sessions : 1
telnet VPN:public --> public
Zone: untrust--> trust TTL: 00:00:00 Left: 00:00:10
Output-interface: GigabitEthernet0/0/1 NextHop: 192.168.1.100 MAC: xx-xx-xx-xx
<--packets:445 bytes:20841 -->packets:0 bytes:0
x.x.x.x:56221-->1.1.1.1:80[192.168.1.100:80]
解決辦法1:伺服器配置網關或者解決路由問題。
解決辦法2:如果確認路由無問題,而伺服器因特殊原因不方便配置,可以在內網介面上起用nat功能,將外網地址轉換成內網地址。
故障四:特殊應用訪問不正常,例如,FTP伺服器可以登錄,但無法訪問資源。
現象:特殊應用訪問不正常,例如,FTP伺服器可以登錄,但無法訪問資源。會話查看有時正常,且數據有去有回。
解決辦法:域間開啟nat alg功能。
命令如下:
firewal interzone trunst untrust
detect ftp
註:此外,PPTP、SIP等問題均可參考。
故障五:雙鏈路環境下,源進源出問題導致訪問不正常。
現象:客戶將一台伺服器同時映射到兩個介面上,訪問有時正常有時無法訪問,出現問題時,查看會話有去無回。
解決辦法:該問題為老版本沒有源進源出功能,USG2000/5000防火牆需要升級到V300R001C00SPC700以後的版本解決。
③ 我現在要配置防火牆安全策略,但是我不是很清楚這些指令代表什麼,請知道的朋友用專業語言告訴我一下謝謝
樓主,你好~
看CLI命令,華為的防火牆,USG系列吧?
解釋如下。
security-policy 定義安全策略
rule name ospf1 創建一個叫 ospf1的策略
source-zone local 源區域---防火牆
destination-zone trust 目的區域---trust信任區
destination-zone untrust 目的區域---untrust非信區域
action permit 動作是 允許放行
rule name ospf2 創建一個叫 ospf2的策略
source-zone trust 源區域---trust信任區
source-zone untrust 源區域---untrust非信任區
destination-zone local 目的區域----防火牆
action permit 動作是 允許放行
不過樓主,你這action動作全部是permit any any
一把梭啊??
嚴格意義上來說,生產網環境下 您如果permit any to any
可能馬上就會下崗。
防火牆到底是幹嘛的,您要仔細想想,配置是其次。