华为USG6000基本内容总结 | 您所在的位置:网站首页 › 华为ngfirewall防火墙usg6000默认IP › 华为USG6000基本内容总结 |
1、防火墙的接口必须将其接入到某个区域,否则这个接口最终无法与其内部的多种功能配合,这个十分重要!!!!必须加入,不然ping都不行。 2、防火墙的域内流量是可以不配置任何安全策略的,只要将接口配置好IP地址,同时将接口加入到对应的安全区域后,就可以直接通信。 3、区域间的流量是通过安全策略进行控制的,默认的动作是全部禁止,输入security-policy,然后输入default-action [deny|permit] 的方式设置默认动作是禁止还是允许 4、接口视图上的service-manage xxx [deny|permit] 是对进入防火墙的流量进行控制,它有几个选项比如telnet,ssh,http,https,这几个都是用来控制防火墙,比如telnet登录,ssh登录,web方式登录。 5、输入security-policy 然后输入rule name xxx创建一个安全策略,安全策略的控制方式有下面几种: 1、原区域、目的区域 2、原IP地址,目的IP地址 3、原IP地址集合,目的IP地址集合 4、服务、服务集合(或者说是协议) 5、用户 6、时间 7、地区 我们在输入security-policy后,再输入rule name xxx,进入安全策略视图,然后输入destination-zone,或者source-zone,可以对流的出发区域和目的区域进行配置,然后就是souce-address与destination-address可以对流的原和目的地址进行配置,我们可以结合地址集合与该命令一起配置。 输入time-range可以对时间段进行配置,这个和ACL的配置一样。 输入user xxx 可以针对用户进行流的控制 输入service xxx 可以针对协议进行控制,也可以输入service protocol xxx 针对ICMP,TCP,UDP一些协议中的源端口和目的端口,ICMP的包类型作为条件。 profile xxx:这是配置安全配置文件的命令,当条件都符合后,会再由这个安全配置文件进行后面的操作。 最后:当条件都设立完后,输入action [deny|permit],对条件符合的动作进行设置。 |
CopyRight 2018-2019 实验室设备网 版权所有 |