文章 首页 > 文章列表> 文章

华为USG防火墙配置命令实战指南

华为USG防火墙配置命令

常用命令

<SRG>     //用户视图,用户视图只能使用查看命令
<SRG>?  //查看用户视图下的所有命令
<SRG>display version  //查看VRP系统版本
<SRG>system-view   //进入系统视图
[SRG]sysname R1         //修改设备名称为R1
[R1]display clock  //查看系统时间
[R1]quit  //返回上一级
<SRG>save       //保存配置
<SRG>display saved-configuration     //查看保存的配置
<SRG>display current-configuration  //查看当前运行的配置
<SRG>reboot   //重启设备
<USG6000>reset saved-configuration    //恢复出厂配置

查看license信息及esn码

[USG6000]display license //查看license信息
[USG6000]display esn  //查看esn码

查看接口IP信息

[USG6000]display ip interface brief    //查看接口IP简要信息
[USG6000]display current-configuration interface GigabitEthernet 1/0/0 //查看该接口的运行信息

设置接口IP地址

[SRG]interface GigabitEthernet 0/0/0  //进入接口模式
[SRG-GigabitEthernet0/0/0]ip address 10.10.10.11 24         //24为子网掩码
[SRG-GigabitEthernet0/0/0]shutdown         //禁用接口
[SRG-GigabitEthernet0/0/0]undo shutdown    //启用接口
[SRG-GigabitEthernet0/0/0]display this  //查看该接口信息

设置vlan1管理地址,并允许ssh及https访问

[USG6000]interface Vlanif 1
[USG6000-Vlanif1]ip address 192.168.80.100 24
[USG6000-Vlanif1]service-manage ssh permit 
[USG6000-Vlanif1]service-manage https permit 
[USG6000-Vlanif1]service-manage ping permit        //注意这种方式会导致策略不生效
[USG6000-Vlanif1]undo service-manage enable        //必须关闭服务管理,策略才生效

设置静态默认路由

[USG6000]ip route-static 0.0.0.0 0.0.0.0 192.168.80.1

设置旗标和登录成功后提示

[SRG]header login information "zhuhai huanao zaixianjianceshi usg2000"
[SRG]header shell information "Wecome to Huawei USG2000"

设置时区及日期

<R1>clock timezone beijin add 08:00  //设置时区为北京东八区
<R1>clock datetime 11:20:10 2021/02/03  //11点20分10秒,2021年02月03日

设置console口密码及超时时间

[SRG]user-interface console 0  //进入console口配置模式
[SRG-ui-console0]authentication-mode password cipher huawei@123    //设置密码为huawei@123
[SRG-ui-console0]idle-timeout 20  //设置超时时间为20分钟

设置console口使用用户名密码登录(usg2000)

[SRG]user-interface console 0
[SRG-ui-console0]authentication-mode aaa    //认证模式为AAA
[SRG]aaa  //进入AAA配置模式
[SRG-aaa]local-user chb password cipher huawei@123  //创建chb用户名,密码为huawei@123
[SRG-aaa]local-user chb service-type terminal   //指定chb用户的类型为console口用
[SRG-aaa]local-user chb level 15  //指定chb用户的权限等级为15(15表示最高权限)
[SRG-aaa]display local-user  //查看本地用户

创建AAA用户管理console口,ssh,web

[USG6000]aaa //进入AAA配置模式
[USG6000-aaa]manager-user chbadmin   //创建用户chbadmin
[USG6000-aaa-manager-user-chbadmin]password cipher huawei@123    //设置密码为huawei@123
[USG6000-aaa-manager-user-chbadmin]service-type terminal ssh web    //指定为console,ssh,web用
[USG6000-aaa-manager-user-chbadmin]level 15  //设置级别为15,数值越大权限越高,15是最高权限

web登录配置管理

1. 配置USG的IP地址(略)

2. 配置UGS接口Web设备管理

[SRG-GigabitEthernet0/0/0]service-manage enable        //默认已开启
[SRG-GigabitEthernet0/0/0]service-manage https permit     //允许https,也可以设置允许Ping

3. 启动web管理功能

[SRG]web-manager enable
[SRG]web-manager security enable port 8443
[SRG]web-manager timeout 60    //设置超时时间为60分钟

telnet登录配置管理

1. 开启telnet服务

[SRG]telnet server enable 

2. 配置USG接口telnet设备管理

[SRG-GigabitEthernet0/0/0]service-manage enable 
[SRG-GigabitEthernet0/0/0]service-manage telnet permit    //设置接口允许telnet
[SRG-GigabitEthernet0/0/0]service-manage ping permit      //设置接口允许ping

3. 配置vty 并设置密码登录(或者参照下一条使用用户密码登录)

[SRG]user-interface vty 0 4       //进入vty配置模式
[SRG-ui-vty0-4]protocol inbound telnet    //配置vty允许telnet
[SRG-ui-vty0-4]authentication-mode password cipher huawei@123   //设置认证模式为密码
[SRG-ui-vty0-4]user privilege level 3   //设置权限级别为3

4. 配置vty并设置用户名密码登录即AAA认证

[USG6000]user-interface vty 0 4
[USG6000-ui-vty0-4]protocol inbound telnet
[USG6000-ui-vty0-4]authentication-mode aaa     //设置认证模式为AAA
[USG6000-ui-vty0-4]idle-timeout 60      //设置超时时间60分钟

[USG6000]aaa          //进入AAA配置
[USG6000-aaa]manager-user telchb     //创建用户telchb
[USG6000-aaa-manager-user-telchb]password cipher huawei@123    //设置密码为huawei@123
[USG6000-aaa-manager-user-telchb]service-type telnet         //设置服务类型为telnet
[USG6000-aaa-manager-user-telchb]level 3       //设置级别为3

通过SSH方式登录管理

1. 启用Stelnet服务

[SRG]stelnet server enable 

2. 配置防火墙管理接口允许SSH管理

[SRG-GigabitEthernet0/0/0]service-manage enable 
[SRG-GigabitEthernet0/0/0]service-manage ssh permit 

3. 配置RSA本地密钥对

[SRG]rsa local-key-pair create 

4. 配置vty线路

[SRG]user-interface vty 0 4
[SRG-ui-vty0-4]authentication-mode aaa
[SRG-ui-vty0-4]protocol inbound ssh   //允许ssh
[SRG-ui-vty0-4]idle-timeout 60    //设置超时时间为60分钟

5. 配置ssh登录用户名密码

[SRG]ssh user chbssh
[SRG]ssh user chbssh authentication-type password 
[SRG]ssh user chbssh service-type stelnet 

[SRG]aaa
[SRG-aaa]local-user chbssh password cipher huawei@123
[SRG-aaa]local-user chbssh service-type ssh

[SRG-aaa]local-user chbssh level 3

文件管理

<SRG>dir  //查看当前目录文件
<SRG>copy private-data.txt 123.txt  //复制private-data.txt到当前目录并改名为123.txt
<SRG>move 123.txt 111.txt        //移动123.txt到当前目录并改名为111.txt
<SRG>delete 111.txt   //删除111.txt,并非彻底删除可以恢复
<SRG>dir /all   //查看当前目录所有文件
<SRG>undelete 111.txt   //恢复刚才删除的文件111.txt
<SRG>delete /unreserved 111.txt   //彻底删除111.txt
<SRG>mkdir flash:/backup   //在根目录下创建文件夹backup
<SRG>cd backup   //切换目录到backup文件夹中
<SRG>pwd  //查看当前路径
<SRG>cd /   //切换到根目录
<SRG>copy private-data.txt flash:/backup/private-data-bak.txt //复制文件到指定路径
<SRG>move private-data.txt flash:/private-data.txt  //移动文件到指定路径

将flash中的文件备份到TFTP和FTP

#将flash中的vrpcfg.zip上传到tftp服务器
<R1>tftp 192.168.10.11 put flash:/vrpcfg.zip  

#将tftp服务器的vrpcfg2.zip下载到flash中
<R1>tftp 192.168.10.11 get vrpcfg2.zip flash:/vrpcfg2.zip  

<R1>ftp 192.168.10.11 21  //登录ftp服务器端口号21
输入用户名
输入密码
[R1-ftp]get 111.txt 111.txt   //下载ftp中的111.txt到flash中
[R1-ftp]put vrpcfg.zip vrpcfg-bak.zip  //上传flash中的vrpcfg.zip到ftp中

设置系统启动使用的文件及配置文件

<SRG>display startup    //查看系统启动使用的系统文件和配置文件
<SRG>startup system-software filename1.zip  //设置系统启动文件
<SRG>startup saved-configuration vrpcfg2.zip  //指定保存配置的文件

将防火墙设置为ftp服务器

需设置防火墙规则允许(略)

[USG6000]ftp server enable   //开启ftp服务

[USG6000]aaa
[USG6000-aaa]manager-user ftpchb 
[USG6000-aaa-manager-user-ftpchb]password cipher huawei@123
[USG6000-aaa-manager-user-ftpchb]service-type ftp      //指定服务类型为ftp
[USG6000-aaa-manager-user-ftpchb]ftp-directory hda1:     //指定ftp的根目录为hda1
[USG6000-aaa-manager-user-ftpchb]level 3

[USG6000]undo ftp server    //关闭ftp服务

安全区域设置并将接口划入该区域

[USG6000]firewall zone untrust     //进入untrust区域配置
[USG6000-zone-untrust]add interface GigabitEthernet 1/0/0   //将该接口加入到该区域
[USG6000-zone-untrust]display this    //查看该区域的配置信息

[USG6000]firewall zone trust 
[USG6000-zone-trust]add interface Vlanif 1     //将vlan1接口划入该区域

[USG6000]firewall zone name Inbound     //创建区域Inbound ,并进入该区域配置
[USG6000-zone-Inbound]set priority 90  //设置优先级为90,数值越大信任级别越高
[USG6000-zone-Inbound]add interface GigabitEthernet 1/0/5    //将该接口加入到该区域

[USG6000]display zone  //查看区域信息

配置安全策略

[USG6000]security-policy //进入安全策略配置
[USG6000-policy-security]default action deny    //设置默认策略为禁止
[USG6000-policy-security]rule name SUL02 //新建一条规则名称是SUL02
[USG6000-policy-security-rule-SUL02]source-zone untrust  //源区域是untrust
[USG6000-policy-security-rule-SUL02]destination-zone local  //目标区域是local
[USG6000-policy-security-rule-SUL02]action permit   //动作是允许

[USG6000]display security-policy rule all //查看所有安全策略条目名称

[USG6000]display security-policy rule name SUL02 //查看SUL02这条安全策略

[USG6000]interface GigabitEthernet 1/0/1  //进入该接口模式
[USG6000-GigabitEthernet1/0/0]undo service-manage enable  //关闭服务管理,才能使安全策略生效

配置安全策略示例

[USG6000]security-policy 
[USG6000-policy-security]rule name UT02    //新建一个规则名称叫UT02
[USG6000-policy-security-rule-UT02]source-address 192.168.10.12 32
[USG6000-policy-security-rule-UT02]source-address 192.168.11.0 0.0.0.255   //使用反掩码表示地址范围,即192.168.11.0/24这个网段
[USG6000-policy-security-rule-UT02]source-address range 192.168.12.1 192.168.12.50     //指定地址范围在192.168.12.1~192.168.12.50
[USG6000-policy-security-rule-UT02]destination-address any     //目标地址是any,表示所有地址
[USG6000-policy-security-rule-UT02]user any    //用户是所有用户,这条命令是默认的,可以省略
[USG6000-policy-security-rule-UT02]service protocol  tcp destination-port 22    //指定目标端口是TCP的22号端口
[USG6000-policy-security-rule-UT02]service protocol udp destination-port 888    //指定目标端口是UDP的888端口
[USG6000-policy-security-rule-UT02]service protocol  icmp    //允许ping
[USG6000-policy-security-rule-UT02]service protocol icmp icmp-type echo-reply   //上一条命令包含这条命令,这个表示只允许icmp的回显包

[USG6000-policy-security]undo rule name UT02    //删除UT02这条规则
[USG6000-policy-security]display this     //查看规则内容

使用地址组,服务组,时间组的方式配置安全策略

  1. 创建相应的地址组
[USG6000]ip address-set A01 type object    //创建对象A01
[USG6000-object-address-set-A01]address 192.168.11.0 0.0.0.255    //添加地址范围,注意是反掩码写法
[USG6000-object-address-set-A01]address 192.168.12.0 0.0.0.255

[USG6000]ip address-set A02 type object      //创建对象A02
[USG6000-object-address-set-A02]address 192.168.20.0 0.0.0.255
[USG6000-object-address-set-A02]address 192.168.21.0 0.0.0.255

[USG6000]ip address-set A type group     //创建组A
[USG6000-group-address-set-A]address address-set A01   //添加对象A01
[USG6000-group-address-set-A]address address-set A02
[USG6000-group-address-set-A]address 192.168.3.0 0.0.0.255    //也可以在组里面,直接添加地址范围

[USG6000]display ip address-set all     //查看地址组
[USG6000]display ip address-set verbose A01 item    //查看地址组A01详细
[USG6000]display ip address-set verbose A item 
  1. 创建相应的服务组
[USG6000]ip service-set S01 type object     //创建服务对象S01
[USG6000-object-service-set-S01]service protocol tcp destination-port 80    //添加目的地址端口为TCP的80
[USG6000-object-service-set-S01]service protocol tcp destination-port 22

[USG6000]ip service-set S02 type object 
[USG6000-object-service-set-S02]service protocol tcp destination-port 8080
[USG6000-object-service-set-S02]service protocol tcp destination-port 8081

[USG6000]ip service-set S type group     //创建服务组
[USG6000-group-service-set-S]service service-set S01   //添加服务对象S01
[USG6000-group-service-set-S]service service-set S02

[USG6000]display ip service-set all      //查看服务组
[USG6000]display ip service-set verbose S01 item    //查看服务组S01详细
[USG6000]display ip service-set verbose S item 
  1. 创建相应的时间组
[USG6000]time-range T      //创建时间组T
[USG6000-time-range-T]period-range 08:00:00 to 18:00:00 working-day    //设置周期时间为,工作日为周一到周五的8点到18点
[USG6000-time-range-T]absolute-range 08:00:00 2021/04/02 to 18:00:00 2020/12/30    //设置绝对时间
[USG6000-time-range-T]undo absolute-range all       //删除上一条命令
[USG6000-time-range-T]display this
  1. 配置安全策略时使用刚才创建的组
[USG6000]security-policy
[USG6000-policy-security]rule name UT03    //创建或者是进入条目UT03编辑
[USG6000-policy-security-rule-UT03]service S     //指定服务组为S
[USG6000-policy-security-rule-UT03]destination-address address-set A    //指定目标地址为地址组A

[USG6000-policy-security-rule-UT03]time-range T    //设置时间组为T
[USG6000-policy-security-rule-UT03]undo time-range    //删除上一条命令

[USG6000-policy-security-rule-UT03]action permit      //动作允许

查看路由及设置默认路由

[USG6000]ip route-static 0.0.0.0 0.0.0.0 172.16.10.3 //设置默认路由
[USG6000]undo ip route-static 0.0.0.0 0.0.0.0 //删除上一条命令
[USG6000]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 172.16.10.3     //设置默认路由,并指定出去的接口

[USG6000]display ip routing-table     //查看路由表

设置接口为交换口

[USG6000]interface GigabitEthernet 1/0/1  //进入接口模式
[USG6000-GigabitEthernet1/0/1]portswitch  //设置接口为交换口
[USG6000-GigabitEthernet1/0/1]port link-type access   //设置接口类型为接入接口
[USG6000-GigabitEthernet1/0/1]undo portswitch   //取消上一条命令,即接口恢复为路由口

查看防火墙会话表

[USG6000]display firewall session table //查看会话表简要信息
[USG6000]display firewall session table verbose //查看会话表详细信息
[USG6000]display firewall server-map //查看server-map信息

将ASPF检测FTP流量的端口改为其他端口

  • 防火墙默认是开启ASPF检测的,针对多协议服务,如FTP服务,ASPF会针对FTP服务临时开放安全策略
[USG6000]acl 2001 //创建ACL编号2001
[USG6000-acl-basic-2001]rule permit source 10.21.50.10 0.0.0.0  //允许该源地址
[USG6000]port-mapping FTP port 2121 acl 2001 //将关于ASFP检测的FTP服务转移到2121端口,ACL条目是2001
[USG6000]undo firewall detect ftp   //关闭aspf检测ftp浏览

番外:SSH方式连接华为USG2000防火墙报错

SecureCRT使用SSH方式连接华为USG2000防火墙报错如下:

The client has disconnected from the server. Reason:
Message Authentication Code did not verify (packet #4). Data integrity has been
compromised.

解决方法:
改为使用SSH1协议登录即可
通过telnet该地址的22端口可以看出SSH使用的版本是1.9

华为USG防火墙重置密码

以下操作会初始化华为USG防火墙,所有配置清空哦

通电情况下,用圆珠笔按住reset按钮10秒,笔记本接好console口,等待画面,出现提示按ctrl+B,输入默认密码O&m15213 然后选择对应的数字“Reset Factory Configuration”,返回后选择数字1,启动系统,然后输入默认的用户名admin,默认密码Admin@123 网页登录地址是https://192.168.0.1:8443 用户名密码也是admin和Admin@123