华为USG5500防火墙配置实验一

1、实验拓扑

内网：192.168.0.0/24

：192.168.1.0/24

其他设备地址规划如图，按照拓扑图搭建网络，并配置设备地址

2、具体配置命令

AR1

system-view

[Huawei]sysname AR1

[AR1]interface g0/0/0

 [AR1-GigabitEthernet0/0/0]ip address 192.168.0.150 24

[AR1-GigabitEthernet0/0/0]quit    退出

[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1   配置默认路由

AR1开启Telnet服务

[AR1]user-interface vty 0 4   开启远程线程

[AR1-ui-vty0-4]au    

 [AR1-ui-vty0-4]authentication-mode password   认证方式为password

Please configure the login password (maximum length 16):888  登录密码

 [AR1-ui-vty0-4]user privilege level 3   设置用户等级

[AR1-ui-vty0-4]

AR2

system-view

[Huawei]sysname AR2

[AR2]interface g0/0/0

[AR2-GigabitEthernet0/0/0]ip add     

[AR2-GigabitEthernet0/0/0]ip address 192.168.1.150 24

[AR2-GigabitEthernet0/0/0]q

[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

AR2配置Telnet

AR2]us    

[AR2]user-interface v    

[AR2]user-interface vty 0 4

[AR2-ui-vty0-4]au    

[AR2-ui-vty0-4]authentication-mode p    

[AR2-ui-vty0-4]authentication-mode password 

Please configure the login password (maximum length 16):666 或者

[AR2-ui-vty0-4]set authentication password cipher 666

 [AR2-ui-vty0-4]user privilege level 3

[AR2-ui-vty0-4]q

防火墙配置：

The device is running!

system-view

[SRG]sysname FW1

[FW1]interface g0/0/0

[FW1-GigabitEthernet0/0/0]ip add 192.168.0.1 24

Warning: Address already exists!      默认接口地址已经存在，不用管

[FW1-GigabitEthernet0/0/0]q

[FW1]interface g0/0/1

[FW1-GigabitEthernet0/0/1]ip add 192.168.1.1 24

[FW1-GigabitEthernet0/0/1]q

[FW1]display zone    显示区域配置

local

 priority is 100

#

trust

 priority is 85

 interface of the zone is (1):

    GigabitEthernet0/0/0

#

untrust

 priority is 5

 interface of the zone is (0):

#

dmz

 priority is 50

 interface of the zone is (0):

#

[FW1]

[FW1]firewall zone name outside      创建一个名字为outside的区域

[FW1-zone-outside]set priority 30    设置安全等级为30

[FW1-zone-outside]q

[FW1]firewall zone name inside

[FW1-zone-inside]set priority 90

[FW1-zone-inside]q

[FW1]display zone 

[FW1]firewall zone outside        进入outside区域  ，把接口g0/0/1接入该区域

[FW1-zone-outside]add interface GigabitEthernet 0/0/1

 [FW1-zone-outside]display this    显示当前的配置

#

firewall zone name outside

 set priority 30

 add interface GigabitEthernet0/0/1

#

return

[FW1-zone-outside]q

[FW1]display policy all      查看策略

policy zone local

#

policy zone trust

#

policy zone untrust

#

policy zone dmz

#

policy zone outside

#

policy zone inside

#

policy interzone local trust inbound

 firewall default packet-filter is permit

#

policy interzone local trust outbound

 firewall default packet-filter is permit

#

policy interzone local untrust inbound

 firewall default packet-filter is deny

#

policy interzone local untrust outbound

 firewall default packet-filter is permit

#

policy interzone local dmz inbound

 firewall default packet-filter is deny

#

policy interzone local dmz outbound

 firewall default packet-filter is permit

#

policy interzone local outside inbound

 firewall default packet-filter is deny

#

policy interzone local outside outbound

 firewall default packet-filter is permit

#

policy interzone local inside inbound

 firewall default packet-filter is deny

#

policy interzone local inside outbound

 firewall default packet-filter is permit

#

policy interzone trust untrust inbound

 firewall default packet-filter is deny

#

policy interzone trust untrust outbound

 firewall default packet-filter is deny

#

policy interzone trust dmz inbound

 firewall default packet-filter is deny

#

policy interzone trust dmz outbound

 firewall default packet-filter is deny

#

policy interzone trust outside inbound

 firewall default packet-filter is deny

#

policy interzone trust outside outbound

 firewall default packet-filter is deny

#

policy interzone inside trust inbound

 firewall default packet-filter is deny

#

policy interzone inside trust outbound

 firewall default packet-filter is deny

#

policy interzone dmz untrust inbound

 firewall default packet-filter is deny

#

policy interzone dmz untrust outbound

 firewall default packet-filter is deny

#

policy interzone outside untrust inbound

 firewall default packet-filter is deny

#

policy interzone outside untrust outbound

 firewall default packet-filter is deny

#

policy interzone inside untrust inbound

 firewall default packet-filter is deny

#

policy interzone inside untrust outbound

 firewall default packet-filter is deny

#

policy interzone dmz outside inbound

 firewall default packet-filter is deny

#

policy interzone dmz outside outbound

 firewall default packet-filter is deny

#

policy interzone inside dmz inbound

 firewall default packet-filter is deny

#

policy interzone inside dmz outbound

 firewall default packet-filter is deny

#

policy interzone inside outside inbound

 firewall default packet-filter is deny

#

policy interzone inside outside outbound

 firewall default packet-filter is deny

#

[FW1]

创建策略放行outbound流量

[FW1]policy interzone trust outside outbound   定义outbound流量

 [FW1-policy-interzone-trust-outside-outbound]poli    

[FW1-policy-interzone-trust-outside-outbound]policy 1

 [FW1-policy-interzone-trust-outside-outbound-1]poli    

[FW1-policy-interzone-trust-outside-outbound-1]policy so    

[FW1-policy-interzone-trust-outside-outbound-1]policy source 192.168.0.150 0

01:27:13  2016/11/15

[FW1-policy-interzone-trust-outside-outbound-1]poli    

[FW1-policy-interzone-trust-outside-outbound-1]policy de    

[FW1-policy-interzone-trust-outside-outbound-1]policy destination any

01:27:25  2016/11/15

[FW1-policy-interzone-trust-outside-outbound-1]ac    

[FW1-policy-interzone-trust-outside-outbound-1]action p    

[FW1-policy-interzone-trust-outside-outbound-1]action permit 

01:27:34  2016/11/15

[FW1-policy-interzone-trust-outside-outbound-1]

[FW1-policy-interzone-trust-outside-outbound-1]q

01:27:37  2016/11/15

[FW1-policy-interzone-trust-outside-outbound]

[FW1-policy-interzone-trust-outside-outbound]q

01:27:38  2016/11/15

[FW1]

[FW1]

[FW1]dis    

[FW1]display po    

[FW1]display poli    

[FW1]display policy i    

[FW1]display policy interzone t    

[FW1]display policy interzone trust o    

 [FW1]display policy interzone trust outside outbound 

01:27:55  2016/11/15

policy interzone trust outside outbound

 firewall default packet-filter is deny

 policy 1 (0 times matched)

  action permit 

  policy service service-set ip

  policy source 192.168.0.0 mask 255.255.255.0

  policy source 192.168.0.150 0

  policy destination any

 [FW1]firewall packet-filter default permit interzone trust outside 

Warning:Setting the default packet filtering to permit poses security risks. You

 are advised to configure the security policy based on the actual data flows. Ar

e you sure you want to continue?[Y/N]y

[FW1]dis    

[FW1]display policy interzone trust outside outbound

01:28:23  2016/11/15

policy interzone trust outside outbound

 firewall default packet-filter is permit

 policy 1 (0 times matched)

  action permit 

  policy service service-set ip

  policy source 192.168.0.0 mask 255.255.255.0

  policy source 192.168.0.150 0

  policy destination any

恢复默认值deny

[FW1]firewall packet-filter default deny interzone trust outside

[FW1]display policy interzone trust outside outbound 

01:32:06  2016/11/15

policy interzone trust outside outbound

 firewall default packet-filter is deny

 policy 1 (0 times matched)

  action permit 

  policy service service-set ip

  policy source 192.168.0.0 mask 255.255.255.0

  policy source 192.168.0.150 0

  policy destination any

用内网的路由Telnet AR2后，可以登录

在防火墙查看会话状态

[FW1]display firewall session table verbose

00:58:32  2016/11/15

 Current Total Sessions : 2

telnet VPN:public --> public

Zone: trust--> outside TTL: 00:00:10 Left: 00:00:00

  Interface: GigabitEthernet0/0/1  NextHop: 192.168.1.150  MAC: 00-e0-fc-7a-0b-5

a

<--packets:18 bytes:867 -->packets:17 bytes:728

192.168.0.150:49272-->192.168.1.150:23

telnet VPN:public --> public

Zone: trust--> outside TTL: 00:10:00 Left: 00:09:55

  Interface: GigabitEthernet0/0/1  NextHop: 192.168.1.150  MAC: 00-e0-fc-7a-0b-5

a

<--packets:16 bytes:725 -->packets:17 bytes:726

192.168.0.150:49957-->192.168.1.150:23

[FW1]

如何允许的用户Telnet到内网的路由器

[FW1]policy interzone trust outside inbound 

 [FW1-policy-interzone-trust-outside-inbound]policy 1

 [FW1-policy-interzone-trust-outside-inbound-1]policy source 192.168.1.150 0

 [FW1-policy-interzone-trust-outside-inbound-1]policy destination 192.168.0.150 0

[FW1-policy-interzone-trust-outside-inbound-1]policy service  service-set telnet

[FW1-policy-interzone-trust-outside-inbound-1]action permit

验证试验效果