你了解华为防火墙配置思路与操作步骤吗?那么,今天就由北京华为防火墙代理商来为您介绍华为防火墙配置思路与操作步骤。
一、配置思路
1、配置下行链路。
在Vlanif 1上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS服务器地址均为Vlanif 1接口。
PC上网通常需要解析域名,这就需要为其指定DNS服务器地址。本例中采用USG作为DNS中继设备。
2、配置上行链路。
3、将接口加入到安全区域,并在域间配置NAT和包过滤。
将连接公司局域网的接口加入到高安全等级的区域(Trust),将连接Internet的上行接口加入到低安全等级的区域(Untrust)。
局域网内通常使用私网地址,访问Internet时,必须配置NAT。本例中,因为上行接口通过拨号获得IP地址,每次拨号获得的IP地址可能不一样,所以采用Easy IP。
4、配置DNS代理。
指定DNS服务器地址为Dialer接口拨号后,从运营商处获得。
5、配置静态路由,指定出接口为Dialer 1。
二、操作步骤
1、配置下行链路。
# 配置Vlanif 1接口的IP地址。
<USG> system-view
[USG] interface Vlanif 1
[USG-Vlanif1] ip address 10.1.1.1 24
# 在Vlanif 1上开启DHCP Server服务,为PC动态分配IP地址,指定PC获得的网关和DNS服务器地址均为Vlanif 1接口。
[USG-Vlanif1] dhcp select interface
[USG-Vlanif1] dhcp server dns-list 10.1.1.1
[USG-Vlanif1] quit
2、配置上行链路。
# 创建Dialer 1接口,并启用共享DCC。
[USG] dialer-rule 20 ip permit
[USG] interface Dialer 1
[USG-Dialer1] dialer user test
[USG-Dialer1] dialer-group 20
必须确保命令dialer-group中的参数group-number和dialer-rule中的参数group-number保持一致。本配置举例中取值为20。
dialer user username命令用来启动共享DCC。其中username可以取任意值,比如abc,test。
# 配置使用协商方式获取IP地址。
[USG-Dialer1] ip address ppp-negotiate
# 配置从运营商处获得DNS服务器地址。
[USG-Dialer1] ppp ipcp dns admit-any
# 在Dialer接口下配置用户名(user)和密码(Admin@123)。
[USG-Dialer1] ppp chap user user
[USG-Dialer1] ppp chap password cipher Admin@123
[USG-Dialer1] ppp pap local-user user user password cipher Admin@123
# 配置Dialer Bundle。
[USG-Dialer1] dialer bundle 1
[USG-Dialer1] quit
# 在GigabitEthernet 0/0/2上建立一个PPPoE会话,并指定该会话所对应的Dialer Bundle。
[USG] interface GigabitEthernet 0/0/2
[USG-GigabitEthernet0/0/2] pppoe-client dial-bundle-number 1
[USG-GigabitEthernet0/0/2] quit
3、将接口加入到安全区域,并在域间配置NAT和包过滤。
# 将接口加入到安全区域。
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/2
[USG-zone-untrust] add interface dialer 1
[USG-zone-untrust] quit
[USG] firewall zone trust
[USG-zone-trust] add interface vlanif 1
[USG-zone-trust] add interface Ethernet 6/0/0
[USG-zone-trust] add interface Ethernet 6/0/1
[USG-zone-trust] quit
# 域间配置NAT和包过滤。
[USG] firewall packet-filter default permit all
[USG] nat-policy interzone trust untrust outbound
[USG-nat-policy-interzone-trust-untrust-outbound] policy 1
[USG-nat-policy-interzone-trust-untrust-outbound-1] action source-nat
[USG-nat-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1.0 0.0.0.255
[USG-nat-policy-interzone-trust-untrust-outbound-1] easy-ip dialer 1
[USG-nat-policy-interzone-trust-untrust-outbound-1] quit
[USG-nat-policy-interzone-trust-untrust-outbound] quit
firewall packet-filter default permit all
命令中,打开了所有安全区域间的包过滤。请根据网络情况关闭不需要开放的域间缺省包过滤。
4、配置DNS代理。
[USG] dns proxy enable
[USG] dns server unnumbered interface dialer 1
5、配置静态路由。
[USG] ip route-static 0.0.0.0 0.0.0.0 Dialer 1
6、在局域网内PC上,配置自动获得IP地址和DNS服务器地址。
以上就是北京华为防火墙代理商为你介绍的防火墙配置思路与操作步骤。如果您还有其他的问题需要咨询的,可以随时联系我们。