防火墙,实质上就是一台偏重于安全策略的交换机,或者说,更像是路由器,之所以如此说,是因为防火墙可以将IP设置等,直接设置在端口上,而不必创建一个vlanif。
配置防火墙,他的基础就是网络要畅通,其次才能进行安全策略的配置,进行报文筛选,防火墙和路由器的配置极其相像,但是又有别于路由器,交换机。下面,将演示一遍华为防火墙的USG6309E的开局网络配置。
防火墙开局之网络配置
- 一、登录防火墙
- (一)MGMT网管口登录
- (二)Console接口登录
- 二、网络常规基本配置
- (一)划分vlan
- (二)路由配置
- 三、防火墙特殊配置
- (一)在路由端口中加入gateway
- (二)在vlanif下允许网络流量数据通过
- (三)将端口(及vlanif)加入指定区域中
- 四、整理一些问题
- 五、结语
一、登录防火墙
先拜见以下USG6309E的真容
为了让大家看清一点,我特意把局部放大截了图。
首次登录,可以有两种方法,根据上图进行讲解。
(一)MGMT网管口登录
一种是直接通过MGMT网管口登录,就是上图中的“带外管理口”,即MGMT口,这个其实就是功能阉割了的网口,主要拿来网管,在未配置的默认情况下,这个网管口的IP为192.168.0.1。因此,操作流程如下:
- 找一台电脑,配置IP在在同一网段下,如。配置网卡的IP为192.168.0.2,掩码为255.255.255.0。
- 找一根普通的网线,将两个设备连接起来。
- 打开浏览器,网址输入“https://192.168.0.1:8443”,注意,这里是https。
- 到登录界面后,初始的用户名“admin”,密码为"admin@huawei.com"。
- 登录进去以后,看个人习惯,我这儿不介绍页面配置,介绍下面的CLI(命令行)配置。
(二)Console接口登录
就是使用上图中的CON口,用RJ45和九针串口的线连接,一头连接RJ45连接防火墙,另一头连接电脑的九针的串口。
- 找一台带有窗口的电脑,或者找一根串口转USB口的线。
- 在电脑上找一个串口登录软件,比如secureCRT。
- 用串口线连接防火墙和电脑。
- 设置波特率为9600。
- 初始的用户名“admin”,密码为"admin@huawei.com"。
二、网络常规基本配置
(一)划分vlan
有八个LAN口(我未用到WLAN口,因为那个光口,我需要网线连接)。下面是我的规划
作用 | 端口 | 模式 | IP | 区域 |
连接出局路由器 | G 0/0/0 | 路由 | 192.245.0.1/29(对端为192.245.0.2) | untrust |
本地使用 | vlan 60 (G 0/0/1,G 0/0/2,G 0/0/3,G 0/0/4,G 0/0/5,G 0/0/6) | 交换 | 192.168.1.1/24 | trust |
连接三层交换机 | G 0/0/7 | 路由 | 192.245.1.1/29(对端为192.245.1.2) | trust |
按照上述规划,我将做如下配置 | ||||
首先是出局的基本配置 |
[USG]interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0]ip address 192.245.0.1 29
[USG-GigabitEthernet0/0/0]quit
然后是配置vlan的基本配置
<USG>system-view
[USG]vlan 10
[USG-vlan-10]quit
[USG]interface Vlanif 10
[USG-Vlanif10]ip address 192.168.1.1 24
//这一句命令至关重要,这一句意思是允许这个vlan进行数据转发业务(注意,不仅仅是ping,还包括各种UDP报文)
[USG-Vlanif10]service-manage ping permit
[USG-Vlanif10]quit
最后是连接三层交换机的基本配置
[USG]interface GigabitEthernet 0/0/7
[USG-GigabitEthernet0/0/7]ip address 192.245.1.1 29
[USG-GigabitEthernet0/0/7]gateway 192.245.1.2
[USG-GigabitEthernet0/0/7]quit
(二)路由配置
因为我这里规划了跟三层交换机的连接,以及路由器的连接,因此,这里预备使用ospf同静态路由搭配使用。
配置ospf,将连接三层交换机的网段,以及本地网段,加入ospf。
注意,连接路由器一般为静态路由,不配置为ospf,因为在内网中,路由器一般不启用ospf,因此,需要将静态路由导入ospf中。
[USG]ospf 1
[USG-ospf-1]area 0
[USG-ospf-1-area-0.0.0.0]network 192.245.1.0 0.0.0.7
[USG-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[USG-ospf-1-area-0.0.0.0]quit
//这一句是将静态路由加入ospf
[USG-ospf-1]import-route static
//这一句是将直连的路由加入ospf
[USG-ospf-1]import-route direct
[USG-ospf-1]quit
下面是配置静态路由,假设将允许内网访问外部的18.18.X.X网段的数据,需要做如下的静态路由。
[USG]ip route-static 18.18.0.0 16 192.245.0.2
三、防火墙特殊配置
上述内容为交换机常规配置,但是配置完了上述的内容后,网络并不能通,毕竟这是防火墙,有严格的安全控制,在本防火墙中,有三点区别,需要关注。
(一)在路由端口中加入gateway
这个不见得每个版本的防火墙都需要,但是在USG6309E中,需要有此配置。
[USG]interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0]gateway 192.245.0.2
[USG-GigabitEthernet0/0/0]quit
[USG]interface GigabitEthernet 0/0/7
[USG-GigabitEthernet0/0/7]gateway 192.245.1.2
[USG-GigabitEthernet0/0/7]quit
(二)在vlanif下允许网络流量数据通过
[USG]interface Vlanif 10
//这一句命令至关重要,这一句意思是允许这个vlan进行数据转发业务(注意,不仅仅是ping,还包括各种UDP报文)
[USG-Vlanif10]service-manage ping permit
[USG-Vlanif10]quit
(三)将端口(及vlanif)加入指定区域中
这个区域,主要指trust和untrust的区域,这个也是导致防火墙策略起作用的一个关键点,防火墙策略将在下一篇文章中讲述,故名思意,trust就是可以信任的,untrust就是不可信任的。
局外的当然是不可信任的,所以将局外端口归类为untrust,局内的当然认为是可信任的,将局内端口归类为trust。
首先是将G 0/0/0归入untrust。
[USG]firewall zone untrust
[USG-zone-untrust]add interface GigabitEthernet 0/0/0
[USG-zone-untrust]quit
其次是将G 0/0/1至G 0/0/6划入trust
[USG]firewall zone trust
[USG-zone-trust]add interface GigabitEthernet 0/0/1
[USG-zone-trust]add interface GigabitEthernet 0/0/2
[USG-zone-trust]add interface GigabitEthernet 0/0/3
[USG-zone-trust]add interface GigabitEthernet 0/0/4
[USG-zone-trust]add interface GigabitEthernet 0/0/5
[USG-zone-trust]add interface GigabitEthernet 0/0/6
[USG-zone-trust]quit
另外,要 特别注意 的是,特别特别注意,要将vlanif,也划入trust区域中。
[USG]firewall zone trust
[USG-zone-trust]add interface Vlanif 10
[USG-zone-trust]quit
四、整理一些问题
- 现在的命令是ping permit,那除了IGMP的协议,别的协议,比如UDP之类的组播报文能正常通过吗?
答:能通过。 - 防火墙了不同的区域,untrust和trust之类的,防火墙是只有在跨区域,比如从untrus t到trust之间传输数据的时候,才会对数据报文进行过滤吗?在trust之间,会过滤吗?
答:同区域默认放行,如果需要控制,需要将default策略中的命中同域流量开关关闭。 - 防火墙安全策略里,有一条default策略,默认一切通过,我配置了自己的策略以后,这条策略是不是就默认失效了?
答:策略从上到下依次匹配,上面的条件没匹配上会依次向下查询直到最后一条的default。 - loopback端口,他不能划到某个安全区域吗?
答:loopback不能划分区域,默认local区域。 - 防火墙的端口怎么设置qos pq和trust dscp?
答:防火墙现在基本没有qos的说法,都是做的带宽策略,dscp重标记也在带宽策略中做。 - 交换模式的vlan下面,端口下面不能配置IGMP-snooping的嘛?
答:防火墙没有igmp snooping。
五、结语
以上配置仅供参考,在不同型号的防火墙中,配置有差异,但核心思想类似。最重要的是防火墙中与交换机、路由器所不同的部分,当然,其实在较新的交换机中,也可以有类似的防火墙配置,不过各有侧重。
另外,根据个人习惯,在网络配置中,也可以通过https登录网页进行配置。