USG6310S防火墙配置说明书

实用文档

USG6310S防火墙配置说明

1.概述

防火墙使用场景为子站保护管理机（安全II区）接入站内继保保护装置（安全I区），通过对IP地址及端口进行限制，达到阻止非法访问的目的。

为方便现场调试及日后维护工作现规定如下：

1)防火墙ETH0的IP固定为192.168.0.1，用作配置用；

2)防火墙ETH0接从交换机过来的网线；

3)防火墙ETH4接从子站管理机过来的网线。

2.登录

将笔记本通过网线接入防火墙的ETH0，通过浏览器访问https://192.168.0.1:8443。用户名：admin、密码：Admin@123（初始密码）进行配置，第一次登录时需要修改密码，将密码改为“Nice2003”。

登录后设置界面如下图所示

图 2-1 登录首页

实用文档

3.网络配置

点击快捷按钮“网络”,可以对所使用的接入口进行配置，操作顺序如下图所示：

装置后面板网口标识0至7与配置页面中接口名称对应关系如下：

后面板ETH0对应配置页面中接口GE0/0/0

后面板ETH1对应配置页面中接口GE0/0/1

…

后面板ETH7对应配置页面中接口GE0/0/7

3.1.ETH0配置

ETH保留作为配置使用。出厂时已经设好，无需变更。

实用文档

图 3-1 ETH0配置

3.2.ETH1配置

选择GE0/0/1行右则的编辑，在弹出的界面中设置如下：

图 3-2 ETH1配置

配置项如下：

别名：保护

实用文档

安全区域：trust

模式：交换

连接类型：Access

确定后第一次操作会弹出提示，如下图所示，确定即可。

图 3-3 模式切换确认提示

3.3.ETH4配置

选择GE0/0/4行右则的编辑，在弹出的界面中设置如下：

图 3-4 ETH4配置

配置项如下：

别名：子站

实用文档

安全区域：dmz

模式：交换

连接类型：Access

4.对象配置

对象配置中主要配置需放行的IP及端口号，IP在“地址”中配置、端口号在“服务中配置”，配置操作顺序如下图所示：

图 4-1 对象配置操作顺序

4.1.地址配置

首次配置选择“新建”，如已有配置则选择“编辑”，配置界面如下图所示：

实用文档

图 4-2 保护IP 配置

注：

1) 第行可配置1个IP/范围或MAC 地址，行之间使用回车分隔；

2) 掩码可以使用255.255.X.X 样式，也可使用掩码位数来表示；

3) IP 配置支持多种方式，若连续的IP ，可在首末2个IP 之间通过“-”

连接，如172.20.80.1-172.20.80.200；

4) 单个IP 配置，其掩码必须为255.255.255.255或32，否则保存时其最

后1至2段会变成0；

新建地址分两部分，一是可以通过IP ，一是需要屏蔽的

IP

实用文档

图 4-3 子站地址配置

4.2.服务配置

4.2.1.服务配置

服务配置中我们选择放行的端口，根据实际配置：常用放行的端口如下：

icmp:ping服务

实用文档

4.2.2.服务组配置

为方便选择及管理，将子站与保护通信的端口归到保护通信组中。

实用文档

5.策略

点击快捷按钮“策略”,可以对所使用的策略进行配置，操作顺序如下图所示：

图 5-1 策略配置顺序

通过策略配置对需要从防火墙放行的IP及服务进行配置，配置如下：

实用文档

图 5-2 子站至保护策略

图 5-3 保护至子站策略

实用文档

6.保存

配置修改完毕，按界面右上角“保存”，如下图所示保存所做的配置。

图 6-1 保存配置

7.重启

点击快捷按钮“系统”,在左侧目录树中选择“系统重启”，选择“保存并重启”，弹出确认对话框，确定即可。重启后所做的配置即生效，防火墙装置重启后至系统正常时间较长。

8.备份

点击快捷按钮“系统”,在左侧目录树中选择“配置文件管理”，选择“导出”，在弹出的对话框中选择文件备置位置及文件名，确定即可。

图 8-1 备份导出

实用文档

9.复位

当无法测试出防火墙的登录密码后，可在防火墙通电正常运行后用顶端尖硬的物体去捅防火墙后面板上RST键5秒以上，防火墙会清空当前配置恢复出厂设置。复位过程中前面板SYS灯先熄灭、后闪烁最后长亮，如果想快速启动可在按RST键5秒后关电重启防火墙。

10.附录

10.1.同一安全区域多个网口

同一安全区域如trust若有多个网线接入，将接入网口的安全区域配置成待加入的安全区域即可。同区域内多个网口间是互通，与交换机类似。对象及策略无需特殊配置。

图 10-1 同安全区域多个网口接入

10.2.配置案例

!Software Version V500R001C30SPC100

!Last configuration was saved at 2017-08-21 01:42:05 UTC

#

sysname USG6300

#

undo l2tp sendaccm enable

实用文档

l2tp domain suffix-separator @

#

ipsec sha2 compatible enable

#

undo factory-configuration prohibit

#

undo telnet server enable

undo telnet ipv6 server enable

#

clock timezone Beijing add 08:00:00

#

hrp configuration auto-check 1440

#

firewall detect ftp

#

firewall defend action discard

#

log type traffic enable

log type syslog enable

log type policy enable

undo log type threat enable

undo log type url enable

undo log type um enable

#

undo dataflow enable

#

sa force-detection enable

#

isp name "china mo …… 此处隐藏：2810字，全部文档内容请下载后查看。喜欢就下载吧 ……