RM新时代网站-首页

0
  • 聊天消息
  • 系統(tǒng)消息
  • 評(píng)論與回復(fù)
登錄后你可以
  • 下載海量資料
  • 學(xué)習(xí)在線課程
  • 觀看技術(shù)視頻
  • 寫文章/發(fā)帖/加入社區(qū)
會(huì)員中心
創(chuàng)作中心

完善資料讓更多小伙伴認(rèn)識(shí)你,還能領(lǐng)取20積分哦,立即完善>

3天內(nèi)不再提示

華為防火墻配置大全

jf_TEuU2tls ? 來源:浩道linux ? 作者:浩道linux ? 2022-11-02 09:38 ? 次閱讀

今天浩道跟大家分享關(guān)于華為防火墻設(shè)備配置大全的硬核干貨,通過本文,即使是小白,也可以掌握華為防火墻配置!

防火墻(Firewall)也稱防護(hù)墻,是由Check Point創(chuàng)立者Gil Shwed于1993年發(fā)明并引入國(guó)際互聯(lián)網(wǎng)(US5606668(A)1993-12-15)防火墻是位于內(nèi)部網(wǎng)和外部網(wǎng)之間的屏障,它按照系統(tǒng)管理員預(yù)先定義好的規(guī)則來控制數(shù)據(jù)包的進(jìn)出。防火墻是系統(tǒng)的第一道防線,其作用是防止非法用戶的進(jìn)入。

初始化防火墻

初始化防火墻:默認(rèn)用戶名為admin,默認(rèn)的密碼Admin@123,這里修改密碼為fox@666.

Username:admin
Password:*****
The password needstobechanged. Change now? [Y/N]:y
Please enter old password: Admin@123
Please enternewpassword: fox@666
Pleaseconfirmnewpassword: fox@666

system-view// 進(jìn)入系統(tǒng)視圖
[FW1] sysname FW1 // 給防火墻命名
[FW1]undoinfo-centerenable // 關(guān)閉日志彈出功能
[FW1]quit
language-modeChinese // 將提示修改為中文
Changelanguagemode,confirm? [Y/N]y
提示:改變語言模式成功.

開啟Web管理界面:默認(rèn)防火墻console接口IP地址是192.168.0.1.

system-view
[FW1] web-manager enable // 開啟圖形管理界面
[FW1] interface GigabitEthernet0/0/0
[FW1-GigabitEthernet0/0/0] ip address192.168.0.124// 給接口配置IP地址
[FW1-GigabitEthernet0/0/0] service-manageallpermit // 放行該端口的請(qǐng)求
[FW1-GigabitEthernet0/0/0]displaythis

配置Console口登陸:

 system-view// 進(jìn)入系統(tǒng)視圖
[FW1]user-interface console 0// 進(jìn)入console0的用戶配置接口
[FW1-ui-console0]authentication-mode password// 使用密碼驗(yàn)證模式
[FW1-ui-console0]set authentication password cipher Admin1234// 設(shè)置密碼為Admin1234
[FW1-ui-console0]quit// 退出用戶配置接口

配置telnet密碼認(rèn)證:配置密碼認(rèn)證模式,此處配置密碼為Admin@123.

FW1>system-view

[FW1]telnetserverenable// 開啟Telnet支持
[FW1]interfaceGigabitEthernet0/0/0// 選擇配置接口
[FW1-GigabitEthernet0/0/0]service-managetelnetpermit// 允許telnet
[FW1-GigabitEthernet0/0/0]quit

[FW1]user-interfacevty04// 開啟虛擬終端
[FW1-ui-vty0-4]protocolinboundtelnet// 允許telnet
[FW1-ui-vty0-4]authentication-modepassword// 設(shè)置為密碼認(rèn)證模式
[FW1-ui-vty0-4]setauthenticationpasswordcipherAdmin@123// 設(shè)置用戶密碼

[USG6000V1]firewallzonetrust// 選擇安全區(qū)域
[USG6000V1-zone-trust]addinterfaceGE0/0/0// 添加到安全區(qū)域

配置telnet用戶名密碼認(rèn)證:

 system-view// 進(jìn)入系統(tǒng)視圖
[FW1]interfaceGigabitEthernet0/0/0// 進(jìn)入接口配置
[FW1-GigabitEthernet0/0/0] ip address192.168.0.124// 配置接口IP
[FW1-GigabitEthernet0/0/0] service-manage telnet permit// 允許telnet
[FW1-GigabitEthernet0/0/0] service-manage ping permit// 允許ping
[FW1-GigabitEthernet0/0/0] quit//退出

[FW1] firewall zone trust// 進(jìn)入trust安全域配置
[FW1-zone-trust] addinterfaceGigabitEthernet0/0/0// 把GE0/0/0加入到trust安全域
[FW1-zone-trust] quit

[FW1] telnet server enable// 啟用telnet服務(wù)
[FW1] user-interfacevty04// 進(jìn)入vty0-4的用戶配置接口
[FW1-ui-vty0-4] authentication-mode aaa// 使用AAA驗(yàn)證模式
[FW1-ui-vty0-4] user privilege level3// 配置用戶訪問的命令級(jí)別為3
[FW1-ui-vty0-4] protocol inbound telnet// 配置telnet
[FW1-ui-vty0-4] quit// 退出用戶配置接口

[FW1] aaa// 進(jìn)入AAA配置視圖
[FW1-aaa] manager-user lyshark// 創(chuàng)建用戶vtyadmin
[FW1-aaa-manager-user-lyshark] password cipher admin@123// 配置用戶密碼
[FW1-aaa-manager-user-lyshark] service-typetelnet// 配置服務(wù)類型
[FW1-aaa-manager-user-lyshark] quit// 退出

[FW1-aaa] bind manager-user lyshark role system-admin// 綁定管理員角色
[FW1-aaa] quit// 退出AAA視圖

常用查詢命令:查詢防火墻的其他配置,常用的幾個(gè)命令如下.

[FW1]displayip interface brief// 查默認(rèn)接口信息
[FW1]displayip routing-table// 顯示路由表
[FW1]displayzone// 顯示防火墻區(qū)域
[FW1]displayfirewall sessiontable// 顯示當(dāng)前會(huì)話
[FW1]displaysecurity-policy rule all// 顯示安全策略

配置到這里,我們就可以在瀏覽器中訪問了,其訪問地址是http://192.168.0.1

ca33a108-5a41-11ed-a3b6-dac502259ad0.png

防火墻基本配置

ca4dc394-5a41-11ed-a3b6-dac502259ad0.jpg

初始化防火墻:初始化配置,并設(shè)置好防火墻密碼,此處用戶名admin密碼是fox@666.

Username:admin
Password:*****
The password needstobechanged. Change now? [Y/N]:y
Please enter old password: Admin@123
Please enternewpassword: fox@666
Pleaseconfirmnewpassword: fox@666

system-view// 進(jìn)入系統(tǒng)視圖
[USG6000V1] sysname FW1 // 給防火墻命名
[FW1]undoinfo-centerenable // 關(guān)閉日志彈出功能
[FW1]quit
language-modeChinese // 將提示修改為中文
[FW1] web-manager enable // 開啟圖形管理界面
[FW1] interface GigabitEthernet0/0/0
[FW1-GigabitEthernet0/0/0] service-manageallpermit // 放行該端口的請(qǐng)求

配置內(nèi)網(wǎng)接口:配置內(nèi)網(wǎng)的接口信息,這里包括個(gè)GE 1/0/0 and GE 1/0/1這兩個(gè)內(nèi)網(wǎng)地址.

system-view
[FW1] interface GigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0] ip address192.168.1.1255.255.255.0
[FW1-GigabitEthernet1/0/0]undoshutdown
[FW1-GigabitEthernet1/0/0]quit

[FW1] interface GigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1] ip address192.168.2.1255.255.255.0
[FW1-GigabitEthernet1/0/1]undoshutdown
[FW1-GigabitEthernet1/0/1]quit

# -------------------------------------------------------
[FW1] firewall zone trust // 將前兩個(gè)接口加入trust區(qū)域
[FW1-zone-trust]addinterface GigabitEthernet1/0/0
[FW1-zone-trust]addinterface GigabitEthernet1/0/1

配置外網(wǎng)接口:配置外網(wǎng)接口GE 1/0/2接口的IP地址,并將其加入到untrust區(qū)域中.

[FW1]interfaceGigabitEthernet1/0/2// 選擇外網(wǎng)接口
[FW1-GigabitEthernet1/0/2]undoshutdown// 開啟外網(wǎng)接口
[FW1-GigabitEthernet1/0/2]ipaddress10.10.10.10255.255.255.0// 配置IP地址
[FW1-GigabitEthernet1/0/2]gateway10.10.10.20// 配置網(wǎng)關(guān)
[FW1-GigabitEthernet1/0/2]undoservice-manageenable
[FW1-GigabitEthernet1/0/2]quit

#-------------------------------------------------------
[FW1]firewallzoneuntrust// 選擇外網(wǎng)區(qū)域
[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2// 將接口加入到此區(qū)域

配置安全策略:配置防火墻安全策略,放行trust(內(nèi)網(wǎng))-->untrust(外網(wǎng))的數(shù)據(jù)包.

[FW1]security-policy// 配置安全策略
[FW1-policy-security]rule name lyshark// 規(guī)則名稱
[FW1-policy-security-rule-lyshark]source-zone trust// 原安全區(qū)域(內(nèi)部)
[FW1-policy-security-rule-lyshark]destination-zone untrust// 目標(biāo)安全區(qū)域(外部)

[FW1-policy-security-rule-lyshark]source-addressany// 原地址區(qū)域
[FW1-policy-security-rule-lyshark]destination-addressany// 目標(biāo)地址區(qū)域
[FW1-policy-security-rule-lyshark]service any// 放行所有服務(wù)
[FW1-policy-security-rule-lyshark]action permit// 放行配置
[FW1-policy-security-rule-lyshark]quit

配置源NAT:配置原NAT地址轉(zhuǎn)換,僅配置源地址訪問內(nèi)網(wǎng) --> 公網(wǎng)的轉(zhuǎn)換.

[FW1]nat-policy// 配置NAT地址轉(zhuǎn)換
[FW1-policy-nat]rulenamelyshark// 指定策略名稱
[FW1-policy-nat-rule-lyshark]egress-interfaceGigabitEthernet1/0/2// 外網(wǎng)接口IP
[FW1-policy-nat-rule-lyshark]actionsource-nateasy-ip// 源地址轉(zhuǎn)換
[FW1-policy-nat-rule-lyshark]displaythis

配置目標(biāo)NAT:外網(wǎng)訪問10.10.10.10自動(dòng)映射到內(nèi)網(wǎng)的192.168.2.1這臺(tái)主機(jī)上.

[FW1]firewallzoneuntrust// 選擇外網(wǎng)區(qū)域
[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/2// 將接口加入到此區(qū)域

#----NAT規(guī)則---------------------------------------------------
# 外網(wǎng)主機(jī)訪問10.10.10.10主機(jī)自動(dòng)映射到內(nèi)部的192.168.2.2
[FW1]firewalldetectftp
[FW1]natserverlysharkglobal10.10.10.10inside192.168.2.2no-reverse

#----放行規(guī)則---------------------------------------------------
[FW1]security-policy// 配置安全策略
[FW1-policy-security]rulenameuntrs-trs// 規(guī)則名稱
[FW1-policy-security-rule-lyshark]source-zoneuntrust// 原安全區(qū)域(外部)
[FW1-policy-security-rule-lyshark]destination-zonetrust// 目標(biāo)安全區(qū)域(內(nèi)部)
[FW1-policy-security-rule-lyshark]actionpermit// 放行配置
[FW1-policy-security-rule-lyshark]quit

ca33a108-5a41-11ed-a3b6-dac502259ad0.png

NAT 地址轉(zhuǎn)換

ca739fa6-5a41-11ed-a3b6-dac502259ad0.jpg

配置內(nèi)網(wǎng)區(qū)域:分別配置防火墻內(nèi)網(wǎng)接口GE1/0/0 and GE1/0/1設(shè)置IP地址,并加入指定區(qū)域內(nèi).

system-view
[FW1]undoinfo-centerenable

# ----配置IP地址-----------------------------------------------
[FW1] interface GigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0] ip address192.168.1.124
[FW1-GigabitEthernet1/0/0]quit
[FW1] interface GigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1] ip address192.168.2.124
[FW1-GigabitEthernet1/0/1]quit

# ----加入到指定區(qū)域--------------------------------------------
[FW1] firewall zone trust
[FW1-zone-trust]addinterface GigabitEthernet1/0/0

[FW1] firewall zone dmz
[FW1-zone-dmz]addinterface GigabitEthernet1/0/1

配置外網(wǎng)區(qū)域:然后配置外網(wǎng)地址,將Gig 1/0/2加入到untrust區(qū)域內(nèi).

[FW1]interfaceGigabitEthernet1/0/2
[FW1-GigabitEthernet1/0/2]ipaddress10.10.10.108

[FW1]firewallzoneuntrust
[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/2

配置源NAT:配置原NAT地址轉(zhuǎn)換,僅配置源地址訪問內(nèi)網(wǎng) --> 公網(wǎng)的轉(zhuǎn)換.

#----配置源NAT轉(zhuǎn)換---------------------------------------------
[FW1]nat-policy// 配置NAT地址轉(zhuǎn)換
[FW1-policy-nat]rulenamelyshark// 指定策略名稱
[FW1-policy-nat-rule-lyshark]egress-interfaceGigabitEthernet1/0/2// 外網(wǎng)接口IP
[FW1-policy-nat-rule-lyshark]actionsource-nateasy-ip// 源地址轉(zhuǎn)換
[FW1-policy-nat-rule-lyshark]displaythis

#----放行相關(guān)安全策略------------------------------------------
[FW1]security-policy
[FW1-policy-security]rulenametrust_untrust
[FW1-policy-security-rule]source-zonetrust
[FW1-policy-security-rule]destination-zoneuntrust
[FW1-policy-security-rule]actionpermit

配置目標(biāo)NAT:外網(wǎng)訪問10.10.10.10自動(dòng)映射到內(nèi)網(wǎng)的192.168.2.2這臺(tái)主機(jī)上.

# ----NAT規(guī)則---------------------------------------------------
# 外網(wǎng)主機(jī)訪問10.10.10.10主機(jī)自動(dòng)映射到內(nèi)部的192.168.2.2
[FW1] firewall detect ftp
[FW1]nat server lysharkglobal10.10.10.10inside192.168.2.2no-reverse

# ----放行規(guī)則---------------------------------------------------
[FW1] security-policy// 配置安全策略
[FW1-policy-security] rule name untrs-DMZ// 規(guī)則名稱
[FW1-policy-security-rule-untrs-DMZ] source-zone untrust// 原安全區(qū)域(外部)
[FW1-policy-security-rule-untrs-DMZ] destination-zone trust// 目標(biāo)安全區(qū)域(內(nèi)部)
[FW1-policy-security-rule-untrs-DMZ] destination-address192.168.2.224
[FW1-policy-security-rule-untrs-DMZ] service any
[FW1-policy-security-rule-untrs-DMZ] action permit// 放行配置
[FW1-policy-security-rule-untrs-DMZ] quit

ca33a108-5a41-11ed-a3b6-dac502259ad0.png

配成交換機(jī)(透明模式)

ca8fca46-5a41-11ed-a3b6-dac502259ad0.jpg

配置兩臺(tái)交換機(jī):分別配置兩臺(tái)交換機(jī),并劃分到相應(yīng)的VLAN區(qū)域內(nèi).

# ----配置LSW1交換機(jī)--------------------------------------------
system-view
[LSW1] vlan10// 創(chuàng)建VLAN10
[LSW1]quit
[LSW1] interface Ethernet0/0/1// 將該接口配置為trunk
[LSW1-Ethernet0/0/1] port link-typetrunk
[LSW1-Ethernet0/0/1] port trunk allow-pass vlan10// 加入到vlan10
[LSW1-Ethernet0/0/1]quit

[LSW1] port-group group-member Eth0/0/2toEth0/0/3
[LSW1-port-group] port link-typeaccess
[LSW1-port-group] port default vlan10
[LSW1-port-group]quit

# ----配置LSW2交換機(jī)--------------------------------------------
system-view
[LSW2] vlan20
[LSW1]quit

[LSW2] interface Ethernet0/0/1
[LSW2-Ethernet0/0/1] port link-typetrunk
[LSW2-Ethernet0/0/1] port trunk allow-pass vlan20
[LSW2-Ethernet0/0/1]quit

[LSW2] port-group group-member Eth0/0/2toEth0/0/3
[LSW2-port-group] port link-typeaccess
[LSW2-port-group] port default vlan20
[LSW2-port-group]quit

配置防火墻:配置Gig1/0/0和Gig1/0/1接口為trunk模式,并分別配置好網(wǎng)關(guān)地址.

[FW1]vlan10
[FW1-vlan10]quit
[FW1]vlan20
[FW1-vlan20]quit

#----配置防火墻接口地址-----------------------------------------
[FW1]interfaceGigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0]portswitch
[FW1-GigabitEthernet1/0/0]portlink-typetrunk
[FW1-GigabitEthernet1/0/0]porttrunkallow-passvlan10

[FW1]interfaceGigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1]portswitch
[FW1-GigabitEthernet1/0/1]portlink-typetrunk
[FW1-GigabitEthernet1/0/1]porttrunkallow-passvlan20

#----分別給VLAN配置IP地址---------------------------------------
[FW1]interfaceVlanif10
[FW1-Vlanif10]
[FW1-Vlanif10]ipaddress192.168.10.1255.255.255.0
[FW1-Vlanif10]aliasvlan10
[FW1-Vlanif10]service-managepingpermit

[FW1]interfaceVlanif20
[FW1-Vlanif20]
[FW1-Vlanif20]ipaddress192.168.20.1255.255.255.0
[FW1-Vlanif20]aliasvlan20
[FW1-Vlanif20]service-managepingpermit

添加防火墻區(qū)域:將vlan10和vlan20添加到trust區(qū)域內(nèi).

[FW1]firewall zone trust
[FW1-zone-trust]add interface Vlanif 10
[FW1-zone-trust]add interface Vlanif 20

ca33a108-5a41-11ed-a3b6-dac502259ad0.png

主備雙機(jī)熱備

caa3bfce-5a41-11ed-a3b6-dac502259ad0.jpg

放行所有數(shù)據(jù)包(兩臺(tái)墻):為了演示實(shí)驗(yàn),需要手動(dòng)放行數(shù)據(jù)包

#------------------------------------------------------------
# 將默認(rèn)防火墻規(guī)則,設(shè)置為允許所有
[FW1]security-policy
[FW1-policy-security]rulenameanyall// 指定規(guī)則名稱
[FW1-policy-security-rule-anyall]source-zoneany// 源地址允許所有
[FW1-policy-security-rule-anyall]destination-zoneany// 目標(biāo)地址允許所有
[FW1-policy-security-rule-anyall]actionpermit// 放行
[FW1-policy-security-rule-anyall]quit
[FW1-policy-security]quit

#------------------------------------------------------------
# 將指定的接口加入到指定的區(qū)域內(nèi)
[FW1]firewallzonetrust// 選擇trust區(qū)域
[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0// 添加內(nèi)部的端口
[FW1-zone-trust]quit
[FW1]firewallzoneuntrust// 添加untru區(qū)域
[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/1// 添加外部接口
[FW1-zone-trust]quit

配置IP地址(兩臺(tái)) :給防火墻的兩個(gè)接口配置好IP地址.

#------------------------------------------------------------
# 配置防火墻FW1
[FW1]interfaceGigabitEthernet1/0/0// 選擇內(nèi)部接口
[FW1-GigabitEthernet1/0/0]ipaddress192.168.1.25324// 配置防火墻IP
[FW1-GigabitEthernet1/0/0]service-managepingpermit// 開啟接口ping
[FW1-GigabitEthernet1/0/0]quit

[FW1]interfaceGigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1]ipaddress10.10.10.208
[FW1-GigabitEthernet1/0/1]service-managepingpermit
[FW1-GigabitEthernet1/0/1]quit

#------------------------------------------------------------
# 配置防火墻FW2
[FW2]interfaceGigabitEthernet1/0/0// 選擇內(nèi)部接口
[FW2-GigabitEthernet1/0/0]ipaddress192.168.1.25424// 配置防火墻IP
[FW2-GigabitEthernet1/0/0]service-managepingpermit// 開啟接口ping
[FW2-GigabitEthernet1/0/0]quit
[FW2-GigabitEthernet1/0/0]quit

[FW2]interfaceGigabitEthernet1/0/1
[FW2-GigabitEthernet1/0/1]ipaddress10.10.10.308
[FW2-GigabitEthernet1/0/1]service-managepingpermit
[FW2-GigabitEthernet1/0/1]quit

開啟源NAT地址:將內(nèi)網(wǎng)數(shù)據(jù)映射到外網(wǎng).

#------------------------------------------------------------
# 配置防火墻FW1
[FW1]nat-policy// 配置NAT地址轉(zhuǎn)換
[FW1-policy-nat]rulenametru_untr// 指定策略名稱
[FW1-policy-nat-rule-tru_untr]egress-interfaceGigabitEthernet1/0/1// 外網(wǎng)接口IP
[FW1-policy-nat-rule-tru_untr]actionsource-nateasy-ip// 源地址轉(zhuǎn)換
[FW1-policy-nat-rule-tru_untr]displaythis

#------------------------------------------------------------
# 配置防火墻FW2
[FW2]nat-policy// 配置NAT地址轉(zhuǎn)換
[FW2-policy-nat]rulenametru_untr// 指定策略名稱
[FW2-policy-nat-rule-tru_untr]egress-interfaceGigabitEthernet1/0/1// 外網(wǎng)接口IP
[FW2-policy-nat-rule-tru_untr]actionsource-nateasy-ip// 源地址轉(zhuǎn)換
[FW2-policy-nat-rule-tru_untr]displaythis

開啟VRRP支持(兩臺(tái))

#------------------------------------------------------------
# 配置防火墻FW1
[FW1]interfaceGigabitEthernet1/0/0// 選擇內(nèi)部接口
[FW1-GigabitEthernet1/0/0]vrrpvrid1virtual-ip192.168.1.1active// 配置虛擬接口為主
[FW1-GigabitEthernet1/0/0]quit

[FW1]interfaceGigabitEthernet1/0/1// 選擇外部接口
[FW1-GigabitEthernet1/0/1]vrrpvrid2virtual-ip10.10.10.10active
[FW1-GigabitEthernet1/0/1]quit

#------------------------------------------------------------
# 配置防火墻FW12
[FW2]interfaceGigabitEthernet1/0/0// 選擇內(nèi)部接口
[FW2-GigabitEthernet1/0/0]vrrpvrid1virtual-ip192.168.1.1standby// 配置虛擬接口為備
[FW2-GigabitEthernet1/0/0]quit

[FW2]interfaceGigabitEthernet1/0/1
[FW2-GigabitEthernet1/0/1]vrrpvrid2virtual-ip10.10.10.10standby
[FW2-GigabitEthernet1/0/1]quit

HRP配置(兩臺(tái)):

#------------------------------------------------------------
# 配置防火墻FW1
[FW1]hrpenable
HRP_S[FW1]hrpinterfaceGigabitEthernet0/0/0remote172.16.1.2// 指定接口和對(duì)端IP
HRP_M[FW1]interfaceGigabitEthernet0/0/0// 選擇虛擬接口
HRP_M[FW1-GigabitEthernet0/0/0]ipaddress172.16.1.124// 配置本端IP地址

#------------------------------------------------------------
# 配置防火墻FW2
[FW2]hrpenable
HRP_S[FW2]hrpstandby-device
HRP_S[FW2]hrpinterfaceGigabitEthernet0/0/0remote172.16.1.1
HRP_S[FW2]interfaceGigabitEthernet0/0/0
HRP_S[FW2-GigabitEthernet0/0/0]ipaddress172.16.1.224

檢查配置:

注意1:默認(rèn)處于 standby 狀態(tài)的設(shè)備不允許配置安全策略,只允許在主設(shè)

備配置安全策略,且安全策略會(huì)自動(dòng)同步到備設(shè)備上面。

開啟命令:hrp standby config enable

HRP_M[FW1] display hrp state
Role: active, peer: standby
Running priority: 45000, peer: 45000
Core state: normal, peer: normal
Backupchannelusage:0.00%
Stabletime:0days,0hours,0minutes
Laststatechangeinformation:2019-05-061:37:41HRP core statechanged, old_s
tate = abnormal(active), new_state =normal, local_priority =45000, peer_priori
ty =45000.

HRP_S[FW2] display hrp state
Role:standby, peer: active
Runningpriority:45000, peer:45000
Core state:normal, peer:normal
Backupchannelusage:0.00%
Stabletime:0days,0hours,1minutes
Laststatechangeinformation:2019-05-061:37:42HRPlinkchangestoup.

ca33a108-5a41-11ed-a3b6-dac502259ad0.png

配置負(fù)載均衡

cacae18a-5a41-11ed-a3b6-dac502259ad0.jpg

配置防火墻接口:

[FW1]interfaceGigabitEthernet1/0/0
[FW1-GigabitEthernet1/0/0]ipaddress192.168.1.124
[FW1-GigabitEthernet1/0/0]service-managepingpermit
[FW1-GigabitEthernet1/0/0]service-managehttppermit
[FW1-GigabitEthernet1/0/0]quit

[FW1]interfaceGigabitEthernet1/0/1
[FW1-GigabitEthernet1/0/1]ipaddress10.10.10.108
[FW1-GigabitEthernet1/0/1]service-managepingpermit
[FW1-GigabitEthernet1/0/1]service-managehttppermit
[FW1-GigabitEthernet1/0/1]quit

加入相應(yīng)的區(qū)域內(nèi):

[FW1]firewallzonetrust
[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0
[FW1-zone-trust]quit

[FW1]firewallzoneuntrust
[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/1
[FW1-zone-untrust]quit

放行數(shù)據(jù)包:

[FW1]security-policy
[FW1-policy-security]rule name any_trust
[FW1-policy-security-rule-any_trust]source-zone any
[FW1-policy-security-rule-any_trust]destination-zone trust

[FW1-policy-security-rule-any_trust]service http
[FW1-policy-security-rule-any_trust]service icmp
[FW1-policy-security-rule-any_trust]action permit

配置負(fù)載均衡:

[FW1] slb enable// 啟用SLB服務(wù)
[FW1] slb// 進(jìn)入SLB配置視圖
[FW1-slb]group1WebServer// 創(chuàng)建服務(wù)器組webServer
[FW1-slb-group-1] metric weight-least-connection// 使用加權(quán)輪詢算法

# -------------------------------------------------------
// 以下為真實(shí)服務(wù)設(shè)置 IP地址 端口 權(quán)重值 別名//

[FW1-slb-group-1] rserver1rip192.168.1.2port80weight1description server1
[FW1-slb-group-1] rserver2rip192.168.1.3port80weight1description server2
[FW1-slb-group-1] rserver3rip192.168.1.3port80weight1description server3
[FW1-slb-group-1]
[FW1-slb-group-1] health-check type icmp tx-interval5times3// 配置服務(wù)健康檢查參數(shù)
[FW1-slb-group-1] persistence type source-ip aging-time180// 配置會(huì)話保持時(shí)間
[FW1-slb-group-1] quit// 返回SLB視圖
[FW1-slb]
[FW1-slb] vserver1WebServer// 創(chuàng)建虛擬服務(wù)器WebServer
[FW1-slb-vserver-1] protocol tcp// 配置虛擬服務(wù)器的協(xié)議類型
[FW1-slb-vserver-1] vip110.10.10.100// 設(shè)置虛擬服務(wù)器IP地址
[FW1-slb-vserver-1] vport80// 設(shè)置虛擬服務(wù)器端
[FW1-slb-vserver-1]groupWebServer// 關(guān)聯(lián)真實(shí)服務(wù)器組
[FW1-slb-vserver-1] quit// 返回SLB視圖

審核編輯:彭靜
聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請(qǐng)聯(lián)系本站處理。 舉報(bào)投訴
  • 華為
    +關(guān)注

    關(guān)注

    216

    文章

    34411

    瀏覽量

    251495
  • 互聯(lián)網(wǎng)
    +關(guān)注

    關(guān)注

    54

    文章

    11148

    瀏覽量

    103222
  • 防火墻
    +關(guān)注

    關(guān)注

    0

    文章

    417

    瀏覽量

    35608

原文標(biāo)題:不懂華為防火墻配置?看這篇就會(huì)了!

文章出處:【微信號(hào):浩道linux,微信公眾號(hào):浩道linux】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

收藏 人收藏

    評(píng)論

    相關(guān)推薦

    發(fā)現(xiàn) STM32 防火墻的安全配置

    里提供了幾個(gè)不同的防火墻配置。那么問題來了,什么是STM32防火墻的應(yīng)該使用的安全配置呢?本文以STM32參考手冊(cè)為基礎(chǔ),以最大化安全為目標(biāo),來探索發(fā)現(xiàn)STM32
    發(fā)表于 07-27 11:04

    防火墻技術(shù)

    防火墻技術(shù).ppt 防火墻及相關(guān)概念包過濾型防火墻代理服務(wù)型防火墻 防火墻配置分布
    發(fā)表于 06-16 23:41 ?0次下載

    防火墻配置

    實(shí)驗(yàn)十三、防火墻配置 一. 實(shí)驗(yàn)原理1.1 防火墻原理網(wǎng)絡(luò)的主要功能是向其他通信實(shí)體提供信息傳輸服務(wù)。網(wǎng)絡(luò)安全技術(shù)的主
    發(fā)表于 09-24 13:55 ?2154次閱讀
    <b class='flag-5'>防火墻</b>的<b class='flag-5'>配置</b>

    防火墻配置--過濾規(guī)則示例

    防火墻配置--過濾規(guī)則示例
    發(fā)表于 12-07 14:16 ?9266次閱讀
    <b class='flag-5'>防火墻</b>的<b class='flag-5'>配置</b>--過濾規(guī)則示例

    防火墻防火墻的滲透技術(shù)

    防火墻防火墻的滲透技術(shù) 傳統(tǒng)的防火墻工作原理及優(yōu)缺點(diǎn): 1.(傳統(tǒng)的)包過濾防火墻的工作原理   包過濾是在IP層實(shí)現(xiàn)的,因
    發(fā)表于 08-01 10:26 ?1054次閱讀

    防火墻的控制端口

    防火墻的控制端口 防火墻的控制端口通常為Console端口,防火墻的初始配置也是通過控制端口(Console)與PC機(jī)(通常是便于移動(dòng)的筆記本電腦)的串口(RS-232
    發(fā)表于 01-08 10:37 ?1093次閱讀

    防火墻管理

     防火墻管理  防火墻管理是指對(duì)防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理,管理員的行為主要包括:通過防火墻
    發(fā)表于 01-08 10:39 ?1340次閱讀

    防火墻的分類

    防火墻的分類 如果從防火墻的軟、硬件形式來分的話,防火墻可以分為軟件防火墻和硬件防火墻以及芯片級(jí)
    發(fā)表于 01-08 11:01 ?6868次閱讀

    如何配置Cisco PIX防火墻

    如何配置Cisco PIX防火墻配置PIX防火墻之前,先來介紹一下防火墻的物理特性。防火墻
    發(fā)表于 01-13 13:26 ?584次閱讀

    究竟什么是防火墻

    究竟什么是防火墻?     Q:防火墻初級(jí)入門:究竟什么是防火墻?     A:防火墻定義
    發(fā)表于 02-24 11:51 ?779次閱讀

    什么是防火墻防火墻如何工作?

    防火墻是網(wǎng)絡(luò)與萬維網(wǎng)之間的關(guān)守,它位于網(wǎng)絡(luò)的入口和出口。 它評(píng)估網(wǎng)絡(luò)流量,僅允許某些流量進(jìn)出。防火墻分析網(wǎng)絡(luò)數(shù)據(jù)包頭,其中包含有關(guān)要進(jìn)入或退出網(wǎng)絡(luò)的流量的信息。然后,基于防火墻配置
    的頭像 發(fā)表于 09-30 14:35 ?5329次閱讀

    東用科技與華為防火墻構(gòu)建IPSec VPN配置指導(dǎo)手冊(cè)

    IPSecVPN組網(wǎng)拓?fù)?華為防火墻配置指導(dǎo)(此處以多數(shù)客戶使用專線上網(wǎng)形式為例)將專網(wǎng)網(wǎng)線插入防火墻1接口。使用網(wǎng)線連接PC與0接口,登錄防火墻
    的頭像 發(fā)表于 03-24 11:23 ?1148次閱讀
    東用科技與<b class='flag-5'>華為</b><b class='flag-5'>防火墻</b>構(gòu)建IPSec VPN<b class='flag-5'>配置</b>指導(dǎo)手冊(cè)

    華為USG防火墻配置命令詳解

    ,還有就是容易出錯(cuò),真的完全沒有必要,你又不是配置交換機(jī),防火墻用網(wǎng)頁配置,又方便又不容易出錯(cuò)。需要注意的一點(diǎn),華為的USG防火墻型號(hào)不同,
    的頭像 發(fā)表于 07-21 11:10 ?8689次閱讀

    華為USG6000防火墻的網(wǎng)管配置實(shí)例

    今天給大家?guī)?b class='flag-5'>華為USG6000防火墻的網(wǎng)管配置實(shí)例。本文簡(jiǎn)單的搭建了一個(gè)實(shí)驗(yàn)拓?fù)鋱D,通過配置,實(shí)現(xiàn)了對(duì)華為
    的頭像 發(fā)表于 09-21 09:20 ?2579次閱讀
    <b class='flag-5'>華為</b>USG6000<b class='flag-5'>防火墻</b>的網(wǎng)管<b class='flag-5'>配置</b>實(shí)例

    華為防火墻的安全策略配置實(shí)例

    今天給大家介紹華為防火墻的安全策略配置實(shí)例。本文采用華為eNSP模擬器,設(shè)計(jì)了一個(gè)USG6000系列防火墻
    的頭像 發(fā)表于 09-22 09:36 ?8529次閱讀
    <b class='flag-5'>華為</b><b class='flag-5'>防火墻</b>的安全策略<b class='flag-5'>配置</b>實(shí)例
    RM新时代网站-首页