【HCIA】防火墙USG6000V的简单配置

原创 于 2025-05-20 09:29:16 发布 · 950 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#计算机网络

前言

之前文章提到的案例都有忽略防火墙,直接用出口路由器来接入互联网。本文我们补充一下防火墙的简单配置,全文主要介绍了 USG6000V 的安全策略、NAT策略、NAT Server策略。

文章目录

1. 网络拓扑图

在这里插入图片描述

现有拓扑图如上,我们划分了防火墙以内的办公相关的设备为 trust 区,服务器为 dmz 区,而防火墙外面的互联网路由器等设备则为 untrust 区。

USG6000V 防火墙启动时会提醒需要单独的镜像,我分享给大家:

链接: https://pan.baidu.com/s/1uDsW8bS-X5F1u1do6Kp2rA?pwd=khzs 提取码: khzs

2. 配置IP

设备配置保持从基础到高级,从底层到高层的原则。所以我们本次依旧是从IP开始配置,而且配置好后,可以用 PING 命令查看是否配置成功:

2.1. 配置PC和Server的IP

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
Server配置好地址后,别忘了选好文件根目录,然后启动:

在这里插入图片描述

2.2. 配置防火墙和路由器的IP

我们首先配置路由器的

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname Internet
[Internet]interface GigabitEthernet 0/0/0
[Internet-GigabitEthernet0/0/0]ip address 100.1.1.2 24
May 19 2025 17:32:39-08:00 Internet %%01IFNET/4/LINK_STATE(l)[0]:The line protoc
ol IP on the interface GigabitEthernet0/0/0 has entered the UP state. 
[Internet-GigabitEthernet0/0/0]q

防火墙需要登录,默认密码一般为 Admin@123,进去后会提示你修改密码,我一般改成 admin@123,大家随意,只要别忘了即可。

<USG6000V1>system-view 
Enter system view, return user view with Ctrl+Z.
[USG6000V1]sysname Firewall
[Firewall]interface GigabitEthernet 1/0/1
[Firewall-GigabitEthernet1/0/1]ip address 192.168.1.1 24
[Firewall-GigabitEthernet1/0/1]q
[Firewall]undo info-center enable 
Info: Saving log files...
Info: Information center is disabled.
[Firewall]interface GigabitEthernet 1/0/2
[Firewall-GigabitEthernet1/0/2]ip address 192.168.2.1 24
[Firewall-GigabitEthernet1/0/2]q
[Firewall]interface GigabitEthernet 1/0/3
[Firewall-GigabitEthernet1/0/3]ip address 100.1.1.1 24

3. 划分安全域

3.1. 安全域添加接口

[Firewall]firewall zone trust 
[Firewall-zone-trust]add interface GigabitEthernet 1/0/1
[Firewall-zone-trust]q
[Firewall]firewall zone untrust 
[Firewall-zone-untrust]add interface GigabitEthernet 1/0/3
[Firewall-zone-untrust]q
[Firewall]firewall zone dmz
[Firewall-zone-dmz]add interface GigabitEthernet 1/0/2

3.2. 配置上网安全策略

公司内部人上互联网肯定是从 trust 到 untrust,所以我们先配置安全策略,后续我们还不得不配置NAT(实现内网IP与公网IP的转换):

[Firewall]security-policy
[Firewall-policy-security]rule name trust_to_untrust
[Firewall-policy-security-rule-trust_to_untrust]source-zone trust 
[Firewall-policy-security-rule-trust_to_untrust]destination-zone untrust 
[Firewall-policy-security-rule-trust_to_untrust]source-address 192.168.1.0 mask 
255.255.255.0 
[Firewall-policy-security-rule-trust_to_untrust]destination-address any 
[Firewall-policy-security-rule-trust_to_untrust]action permit

3.3. NAT

安全策略是 security-policy ,那么NAT就对应 nat-policy ,不过在配置它之前,我们不得不先创建公网地址组:

[Firewall]nat address-group address_group1
[Firewall-address-group-address_group1]mode pat
[Firewall-address-group-address_group1]section 0 100.1.1.10 100.1.1.20
[Firewall-address-group-address_group1]quit
[Firewall]nat-policy 
[Firewall-policy-nat]rule name nat_policy
[Firewall-policy-nat-rule-nat_policy]source-zone trust 
[Firewall-policy-nat-rule-nat_policy]destination-zone untrust 
[Firewall-policy-nat-rule-nat_policy]source-address 192.168.1.0 24
[Firewall-policy-nat-rule-nat_policy]destination-address any
[Firewall-policy-nat-rule-nat_policy]action source-nat address-group address_gro
up1

此时,我们发现,PC1 已经可以 ping 通 Internet 了,但是还不能 ping 通 Server

PC>ping 100.1.1.2

Ping 100.1.1.2: 32 data bytes, Press Ctrl_C to break
Request timeout!
From 100.1.1.2: bytes=32 seq=2 ttl=254 time=78 ms
From 100.1.1.2: bytes=32 seq=3 ttl=254 time=32 ms
From 100.1.1.2: bytes=32 seq=4 ttl=254 time=31 ms
From 100.1.1.2: bytes=32 seq=5 ttl=254 time=16 ms

--- 100.1.1.2 ping statistics ---
  5 packet(s) transmitted
  4 packet(s) received
  20.00% packet loss
  round-trip min/avg/max = 0/39/78 ms

PC>ping 192.168.2.100

Ping 192.168.2.100: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!

--- 192.168.2.100 ping statistics ---
  5 packet(s) transmitted
  0 packet(s) received
  100.00% packet loss

于是我们需要在防火墙配置一个新的安全策略,让 trust 可以到 dmz

<Firewall>system-view 
Enter system view, return user view with Ctrl+Z.
[Firewall]security-policy
[Firewall-policy-security]rule name trust_to_dmz
[Firewall-policy-security-rule-trust_to_dmz]source-zone trust 
[Firewall-policy-security-rule-trust_to_dmz]destination-zone dmz
[Firewall-policy-security-rule-trust_to_dmz]action permit

我的习惯是成对配置,比如zone,我就source、destination配一对儿,address亦然,当然您也可以先配置完所有source开头的,再配置destination开头的,自己敲着顺手就可以。

3.4. NAT Server

此时,我们还存在一个问题,那就是 Internet 无法访问我们 Server 的80端口,这就需要 NAT Server 。在配置 NAT Server 时,我们依旧是要把内网的一个地址映射到公网的一个地址:

[Firewall]nat server nat_server_policy protocol tcp global 100.1.1.100 80 inside
 192.168.2.100 80

可是这样我们的安全策略还是没有放行进入本公司的流量,所以我们还是要加上,然后我们需要限定目的地址,不能让外面的流量随意访问:

[Firewall]security-policy
[Firewall-policy-security]rule name untrust_to_dmz
[Firewall-policy-security-rule-untrust_to_dmz]source-zone untrust 
[Firewall-policy-security-rule-untrust_to_dmz]destination-zone dmz 
[Firewall-policy-security-rule-untrust_to_dmz]destination-address 192.168.2.0 24
[Firewall-policy-security-rule-untrust_to_dmz]action permit

如此一来,在 Internet 就可以telnet通我们公司内网的服务器了:

<Internet>telnet 100.1.1.100 80
  Press CTRL_] to quit telnet mode
  Trying 100.1.1.100 ...
  Connected to 100.1.1.100 ...

以上就是防火墙 USG6000V 的简易配置,防火墙的功能有很多,最常见的就是划分安全域。

后记

文中有任何错误、遗漏,烦请各位老铁在评论区指出,共同学习进步。

修改记录

更新日期修改内容
2025年5月20日完成初稿
华为USG6000防火墙配置合集
qq_43710889的博客
03-03 1万+
文章目录防火墙安全策略实验实验拓扑图实验目的:实验配置:测试:防火墙NAT Server & 源NAT实验源NAT实验实验拓扑端口地址和区域划分1.配置安全区域2.配置安全策略3.配置NAT地址池4.配置NAT策略测试:NAT Server2.配置安全策略3.配置NAT地址池4.配置NAT策略5.配置服务器映射6.服务器配置7.客户端配置测试: 防火墙安全策略实验 实验拓扑图 实验目的: 使得PC1能ping通PC2 实验配置: 1.配置基本的IP地址和所属安全区域。 2.配置域间安全策略。
华为防火墙双机热备配置操作手册
最新发布
qq_58755304的博客
06-27 1128
本手册详细介绍了华为USG6000系列防火墙双机热备配置方案。通过VRRP和HRP协议实现主备冗余,确保网络高可用性。主要内容包括:网络拓扑规划(内网/外网区域、心跳线配置)、基础网络设置(IP地址分配、安全区域划分)、VRRP热备配置(优先级设定、接口跟踪)、HRP协议配置(会话同步、状态监控)以及安全策略部署。手册还提供了验证方法、高级选项和故障处理指南,强调配置一致性、资源需求和定期测试的重要性。适用于需要构建防火墙高可用性环境的技术人员。
华为防火墙 USG6000v 配置详细版.docx
03-19
针对华为ensp模拟软件,为学习者提供USG6000v防火墙详细配置教程以及调试方法供使用者学习,更好的进行模拟实验,帮助了解防火墙配置流程以及技术要领
华为USG6000V防火墙简单配置案例
热门推荐
谢公子的博客
08-18 13万+
  如图,PC1是企业内网用户,要通过防火墙NAT方式( 1.1.1.105-1.1.1.106 )访问Internet,Server是企业的FTP服务器,通过静态NAT方式供外网用户访问,对外的地址是1.1.1.100。FW1是企业边界防火墙,充当路由和保护企业安全的责任。AR1、AR2是外网路由器。 PC1是Trust区域、Server是DMZ区域,AR1、AR2是Untrust区域。...
华为USG6000E防火墙使用及配置
hX_sunmer的博客
07-25 1万+
本次使用的硬件为:华为USG6000E防火墙
(华为配置篇)防火墙USG6000实现服务器的负载均衡
qq_45024159的博客
11-01 4291
小智公司内建设了一个网站,由于网站的访问量很大,为了实现访问的可靠性,在内部部署了三台同等性能的服务器做负载均衡,内网及外网所有用户均可通过企业申请的公网地址访问。允许Internet用户访问内网的Web服务器,策略的目的地址为虚拟服务器的IP地址。防火墙:192.168.88.1/30。防火墙:202.163.32.2/29。网关:172.168.254.254。网关:192.168.10.254。网关:192.168.30.254。网关:192.168.20254。内网核心交换机与防火墙对接。
防火墙详解(USG6000V)
Thewei666的博客
07-08 5658
例:HTTP协议中如果你发送了一个request请求,那么后续回来一定是response;TCP协议中发送的第一个数据包是SYN,则后续的数据包为ACK+SYN,光是一个ACK或SYN都是不符合定义的后续报文要求会话表技术:提高转发效率的关键,其主要是采用老化机制。
ensp 防火墙 USG6000V
ianTok
10-11 6691
ensp
华为USG6000系列防火墙web配置
03-17
HUAWEI USG6000 V100R001 全图化Web典型配置案例(V4.0).pdf
华为 USG 6000v防火墙基础配置
m0_64188996的博客
07-23 6867
4、电脑访问https://192.168.152.100 输入修改后的密码登录web页面。2、进入usg6000v命令行,输入密码Admin@123,并修改密码自定义密码。1、配置cloud添加端口,绑定信息选择虚拟网卡。3、开启服务策略并配置电脑虚拟网卡网段IP地址。5、修改接口的安全区域并配置ip地址。pc2无法ping通pc1。pc1可以ping通pc2。8、R1上完善回程路由。
USG6330防火墙配置
08-17
地址映射,策略路由,反病毒
华为防火墙USG6000WEB配置案例
12-09
华为防火墙USG6000WEB配置案例,详细指导你如何配置华为防火墙,是新手入门的最佳文档
华为USG6000防火墙安全策略配置实例(CLI方式)
永远是少年
07-26 1万+
今天给大家介绍华为防火墙的安全策略配置实例。本文采用华为eNSP模拟器,设计了一个USG6000系列防火墙配置实例,并安全要求完成了相应配置。 一、实验拓扑及要求 实验拓扑如上所示,现在要求配置如图所示的实验拓扑图,并配置防火墙安全策略实现: 1、Trust区域可以访问Untrust区域。 2、Trust区域可以访问DMZ区域的lo0,但不能访问其他IP地址。 二、实验配置命令 (一)华为防火墙默认安全策略 在华为系列防火墙中,默认的安全策略根据出入区域的不同而不同,具体如下所示: 1、域内流量。 域内
华为USG6000防火墙基础配置简介
永远是少年
07-25 2万+
今天继续给大家介绍华为USG6000系列防火墙。本文主要介绍华为防火墙的基本配置,主要包括时钟配置、Liscense配置和文件管理相关配置 一、防火墙时钟配置 在生产环境使用防火墙时,最好先对防火墙的时钟进行配置,使其与目前的时间相对应。这样做有以下好处: ①便于查看日志 ②便于排错 ③如果防火墙使用了PKI系列的证书,则必须配置好时间。 防火墙时钟配置有两种方式:一种是手工配置,一种是配置与NTP服务器同步。 手工配置相关命令如下所示: clock timezone beijing add 8 clock
usg防火墙安全策略配置
u010674101的专栏
05-30 2421
总体来说,该规则可以实现对特定源地址和目标地址的访问限制,避免未授权的用户或主机访问生产环境中的 Pulsar 系统,保障系统的安全性和稳定性。需要注意的是,该规则仅作为安全策略中的一部分,应该结合其他规则和安全措施进行综合考虑和管理。: 表示目标地址为域名集合“生产pulsar组”,即限制访问生产 Pulsar 系统中使用的一组域名。:表示对该规则进行了简要描述,说明该规则的作用是限制办公网络访问生产环境的 Pulsar 系统。:表示本规则匹配的数据流来自于名为“trust”的安全区域。
【网络--实验】华为USG6000系列防火墙配置telnet功能
qq_43017750的博客
07-09 6845
一.实验拓扑图 二. 配置步骤 1.配置管理PC <Huawei>system-view # 进入系统视图 [Huawei]sysname Manage-PC #配置系统名称为:Manage-PC [Manage-PC]interface GigabitEthernet 0/0/1 #进入GigabitEthernet 0/0/1
[ensp案例]防火墙USG6000设置
weixin_53473589的博客
12-12 2850
场景:企业用路由器连接外网和内网的防火墙防火墙连接划分为trust、untrust和dmz三个区域。网络拓扑如下,请按要求进入配置(1)所有区域任何主机都直接访问DMZ区(2)信任区主机能访问外网,但外网不能访问信任区主机(3)仅信任区主机110.1.1.1/24能访问外网主机20.1.1.1/24,且外网仅20.1.1.1/24仅能访问信任区主机110.1.1.2/24。这是我的一篇作业练习[嘻嘻]
华为---USG6000V防火墙web基本配置示例
lehe99的专栏
12-26 6736
防火墙配置宗旨是人性本恶,进出防火墙的数据都要放行才能出入。是不是“好人”?要经过检查才知道。 终端配置IP及网关; 防火墙创建区域,区域添加相应端口; 防火墙端口配置IP地址、路由; 防火墙配置策略: trust-->untrust、trust-->dmz、dmz-->untrust 放行; 防火墙配置源转换,实现trust和dmz区域可以访问外网; 防火墙配置目标地址转换、配置策略,实现外网可以访问dmz区域服务器。
usg6000v.iso下载
03-30
### 华为USG6000V防火墙ISO镜像下载方法 华为USG6000V是一款基于云环境设计的下一代虚拟化防火墙,适用于多种云计算场景下的网络安全防护需求。然而,由于涉及版权保护和技术支持等问题,官方并未提供公开免费的ISO镜像文件供个人随意下载。 通常情况下,获取USG6000V的ISO镜像文件需通过以下途径: 1. **联系华为授权经销商或合作伙伴** 如果您是企业用户并计划部署该产品,可以通过当地的华为授权经销商申请试用版或者购买正式版本的镜像文件[^3]。 2. **注册成为华为开发者或合作伙伴账户** 访问华为官网的企业技术支持页面,登录您的账号后,在特定的技术文档和支持资源区域可能能够找到所需的ISO镜像文件。需要注意的是,这通常仅限于已认证的客户或合作伙伴访问。 3. **参加华为培训课程或实验室项目** 对于学习目的而言,您可以考虑参与由华为官方提供的网络技术培训课程(如HCIA、HCIP等),这些课程可能会附带实验环境中使用的软件包,包括USG6000V的相关镜像文件[^2]。 4. **利用ENSP仿真平台进行学习实践** ENSP作为一款专为华为网络技术和设备而开发的模拟器,内置了大量主流产品的功能模块,其中包括USG系列防火墙的功能演示。对于大多数教学和自学用途来说,使用ENSP已经足够满足需求。 如果确实需要自行搭建测试环境,则可参考如下步骤完成基础配置工作: #### 配置回环适配器 为了实现本地计算机与虚拟机之间的通信,建议先创建一个Microsoft Loopback Adapter,并为其分配合适的IP参数以便后续连接至USG6000V实例中的相应接口[^4]: ```plaintext 以管理员身份运行命令提示符窗口; 执行 hdwwiz 命令启动向导程序; 按照界面指示选择手动指定硬件选项; 定位到 Microsoft 提供的服务列表里选取 Loopback Adapter 组件; 确认安装完毕后再回到桌面右键点击【此电脑】-> 属性 -> 设备管理器; 展开 Network Adapters 节点查看新增加的网卡名称; 双击进入属性对话框调整 TCP/IP v4 设置项。 ``` 随后便可以在ESXi或其他类型的hypervisor之上导入所取得的合法USG6000V OVA/OVF模板档案来初始化目标虚机实例。 最后提醒一点,任何未经授权擅自传播商业性质的产品均属违法行为,请务必遵循当地法律法规妥善处理此类事务!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值