华为usg6525e设置教程

大家好，今天给大家演示一下华为防火墙如何开启网页访问管理，由于时间关系，我把设备已经添加好了，提前启动了华为防火墙电脑我已经设置成 dhcp 自动获取。 打开防火墙，你输入默认的账号密码，第一次登录一定要修改密码，那边防火墙默认是用秘密管理的，很不友好。启动了网页访问管理以后就非常方便。 进入接口，给接口设置一个 ip， 打开接口的 http 功能， 也许所有人访问这个时候还听不懂。 ip， 需要把接口设置的安全区域 接着设到安全区以后就可以拼多了，拼多了网页功能就可以保温了。默认档口是八四四三， 登录网页以后就可以像普通的防火墙一样设置了，很简单明了， 选择内网档口，输入内网 ip 的地址， 电子 cp 的 dna 是填上。现在我们来看一下那个推网电脑能不能上网，等过去的 ip ip 已经获取成功，看一下能不能拼图很正常，拼音外网也正常， 这样以后通过微博来管理的话，非常方便，谢谢大家。

大家好，我是新萌教育的麒麟，今天呢，给大家录个小视频，就是关于华为 usg 防火墙的基本配置啊。 什么叫基本配置呢？就说你把这个防火墙配完之后，能保证防火墙下面的主机可以正常的返回互联网，哎，这就叫最基本的配置步骤。另外呢，大家注意一点，基本上现在国内外的厂家，呃，防火墙厂家非常多， 他们最基本的配置步骤呢？基本类似啊，当然有的例外，你像四科的 aic 防火枪，还有之前拆个炮的防火枪，他们的配置方法跟 华为的，跟三十网科的，跟申信福的，跟安恒的，跟天龙信的，可能稍微有点不一样啊。今天的呢，咱们说的是华为 usg 的防网枪最基本的配置步骤，四步，我先 给大家把这四步写出来。第一步呢，我们要把接口划分到安全域与划分的安全域。 什么叫安全浴呢？就是他是防火墙上面的一个概念，就是现在绝大多数的防火墙厂家，基本上有将近百分之九十九的防火墙厂家，他们都是基于安全浴的。 只要是基于安全域的防火枪，你在用的时候必须得把接口划分到安全域里面去，你不划分这个接口就是废的。当然关于安全域的概念呢，我今天不过多说，咱们今天主要还得给大家普及一下华为防火枪的基本配置。 呃，接口划分安全域之后呢，你要给接口配个 ip 地址，并且配置 ip 地址，这是第一步。第二步呢，我们要做的就是陆游，要做陆游就是你防我强，有能 能力把内部主机的数据包发到互联网上去，那什么叫有能力呢？方光枪，他也是具备三层路由功能的设备，那既然要转发，他得有路吗？他得知道怎么转发，对吧？所以说待会我们要写路由，但主要是缺省路由， 缺少路由，你也可以说成是默认路由。然后第三步。第三步大家注意。呃， 对于我们平常来说，我们上网的时候，我们的电脑，我们的主机都是在我们企业内部，或者在我们的家庭内部，而我们电脑上面的 ip 地址基本都是私网的 ip 地址， 你要想返回互联网的话，你需要，呃，让互联网上的主机给你返回流量的时候，肯定不能直接返回给你的主机，为啥呢？因为你的私网地址咋办呢？ 这个时候我们要做一项技术，叫做 aat， 叫网络体质转换，也就是说你内部的主机，你公司内部的家庭内部的主机，返回互联网的时候，你要 把你这个数据包原 ip 地址，也就是四网地址转成你出你那个出口设备的外网口地址，而你出口设备的外网口地址正好是一个公网地址，这样呢，互联网上的设备就可以对你进行正常的响应，可以对你经回报，可以吧？ a e t 啊 啊？第四步，策略，大家切记要注意一点，在防火墙上面，策略非常非常重要，默认情况下，绝大多数的防火墙厂家，他们是所有流量都不同的，注意，这是绝大多数。当然了，华为稍微有点类似。呃，不是华为稍微有点 例外。呃，并不是说华为的防火墙默认情况下所有的接口流量都不通，呃，也不是说他都通，这个有条件的，什么条件呢？我先不说，我先把这四步给大家简单演示一下，可以吧？ 首先大家来看我这搭建好了一个环境，在这个环境里面呢啊，右边这一块模拟的是公司的内部网络，在公司的内部网络里面呢，一共有两个网段，这是福气的网段，这是办公的网段， 那中间呢？中间的红色区域是用来模拟互联网的，左边呢是用来模拟我们的家庭的。当然今天我们不管那么多，我们只需要在华为的防火墙上面，也就是 usb 六纤维上面做配置，我把这四个最基本的配置步骤给大家演示一 下，可以吧？首先大家来看，在这个图里面，内网接口记一杠零杠一，外网接口记一杠零杠零，连接服务器区的接口记一杠零杠二。所以我们要把这三个接口分别加到不同的安全域里面去，你比如叉式的， dm 类， angela 式的， 对吧？先加到不同的安全域里面去，给大家演示一下，呃，登录 的密码是 a、 d， m a。 然后我们通过 cmv 进入到配置视图，或者说系统视图。进来之后呢，我们要 先把接口划分到安全域，注意系统默认情况下是有四个安全域的。 dm 一般用来连接服务器区域，他叫缓冲区。凹槽式的他叫不 信任区域，一般用来连接互联网区域。刷似的叫信任区域，一般用来连接办公网络。 logo， 那是防火墙本地的，就是抵达防火墙本地的 logo， 或者防火墙始发的叫 logo。 下面呢，我先把接口划到安全域里面去，放中 chuas 的 a、 d、 d 音能 face 记一杠零，杠一，这样 g 一杠零，杠一这个口子就进入到了 chous 的安全域，然后放重 nxus 的 add 音能 face 记一杠零杠零， 这样一杠零杠零，这个接口就进入到了昂刷式的这个监狱发中电位 a、 d、 d enfes 记一杠零。二。好，现在呢，我已经把三个接口都划分进了对应的安全域，下面要做的就是给接口配置 ip 地址， 一杠零，杠一口的地址是幺九二点幺六八点一点一，二十四位。验码一杠零杠零。接口的地址是二零二点一，零点一，二十四位验码 一杠零杠二，接口的地址是幺七二点幺六点一点一，二十四位。烟马，看到没有？现在相当于我把第一步给做完了，接口划分的按键域，并且也配了地址。下面呢，我来做第二步配置，确省路由。这个简单 配置，千层路由 ip 如特斯坦特写八个零，吓一跳，是谁呢？吓一跳，那肯定是运营商所给你的那个网关，当然在我们这个环境里面是二零二点一，零点十，对吧？那千层路由也有了。进入到 第三步，配 nt 怎么配呢？大家可以直接对视 cr 查看所有的配置，在这里面你会看到有一个叫 nt 的策略，防火枪的策略非常多，看到没有，一大堆的 polo c 策略，路由什么安全策略，什么认证策略一大堆，这其实防火墙上面最重要的就是策略，各种各样的策略展现的要做的是 aat 的策略，所以说我进入到 ait pluss 里面来， 然后呢，我新建一个 nt 的规则，也就是说能够让内部主机访为互联网的，可以吧，叫如内蒙因特奈斯。 内部主机是谁呢？咱们现在为了让传世的区域可以正常的反映互联网，可以吧？所以我现在做一个 nt 策略，名字叫英特奈特。然后呢，我要去匹配流量，就 什么样的流量要被执行 nt 转换。大家来看，当流量来自于 xs 的这个安全意义，并且数据包他的原地址是来自于幺九二零幺六八零一点零网贷的，这样的流量我要给他执行 nt 转换。另外呢，我你也可以再限制一下这个 流量要去往的是哪个安全域，去哪呢？去往昂川似的，我才让你转，你去往其他的区域，将店铺里不给你转，可以吧？当然目的地的话，你也可以写下目的地址，咱们这个地方呢，既然是返回互联网，那你就应该写成暧昧，对吧？ 当然你也可以限制一下服务哈，你像 http 的流量， https 的流量我给你转， snnp 的我给你转，拼的我给你转，其他的我可以不给你转。 我们可以用室外制作限制，但既然是上网的话，咱们这个地方就不做限制了，我直接做动作叫 x， 注意做圆 n t。 为啥叫圆 n t 呢？ 因为对于 win 七来说，他访问互联网的时候，原地址是幺九二零幺六八点一点一百，他出去的时候要把原地址转成防火墙的外望接口，出去就是转的地址是原地址。所以说我们要做原 app， 关于 app 内容的非常之多，这个一两个小时也讲不完。这个正课里面需要讲啊，我记得需要讲了，一周的时间，一周三节课，每节课俩小时，内容比较多，所以今天呢，大家就 简单知道一下防火墙上面配置，上网的 nt 叫圆 nt 可以吧？那接下来的话，我们 选择 e z i p， 但还有其他选项啊，我只解释一下 e z i p 啥意思， e z i p 就说转成防火墙外部接口的 ip 地址出去可以吧？这样 ant 也做完。下面呢，我们进行到最后一步，安全策略。策略。安全策略的话呢，今天 我给大家简单解释一下，在华为防火墙上面，你内部区域在刷似的，然后互联网呢？在昂刷似的，你要是不做策略的话，这两个区域之间根本无法互通，默认情况下，任何两个安全与之间的流量是不同的。 当然安全策略我今天也不过多说。呃，内容非常多，下个视频呢，我给大家简单介绍一下华为安全策略吧。啊，今天这个由于视频比较长，我就不来单独介绍他了。 呃，默认情况下呢，就是防火墙上面，华为的防火墙两个安全翼之间的流量是不同的，你要是想让他通咋办呢？需要单独做策略去放行，可以吧？大家来看着，进到 sk 的 plass 里面 新建一个安全策略，假设名字叫 chuas 的，到英特卖的可以吧。接下来依然是匹配流量，流量从哪来呢？从 chuas 的安全域来，他要去哪呢？他要去往 oncha 似的， 原地址是多少呢？原地址是幺九二点幺零八点一点零网段，那目的地是多少呢？当然你可以不写，因为上网的话目的地是 m， 对吧？那接下来的话，你可以做一个 xomit 放行，这样子的话， 安全策略就算是做完了，对吧？这样做完之后，我给大家说这个问题，现在他就可以去访问互联网了，咱们打开问题，尝试去拼一下网关设备的幺零三点二三幺点一点十，这个接口地址，如果能拼通，那就代表成功了， 是吧？给大家演示一下哈，拼幺零三点二三幺点一点十，没问题吧？成功。当然你可以在华为的防火墙上面去查看一些信息，你比如 desplay 发奥 对，出来发奥三生推宝，查看他的绘画表。大家来看，在绘画表里面，我们看到有一条阿 cmp 的表象，原地址是幺九二点幺六八点一点一百， 防火墙呢，给你转成了二零二点一点一点一，也就是防火墙外网接口的地址，目的地呢？没有变，依然是幺零三点二三幺的一点十，对吧？ 当然你可以查看这个绘画表的详细信息啊，我再拼一下吧，再拼一下，拼完之后呢，我给你们查看一下他的详细信息， 后面加上我 boss。 大家来看中间这一个表象，这个表象叫绘画表，就是我们刚刚用温漆发送出去的拼包，他所产生的绘画表来看协议 rcmp， 这是那个绘画的标示符。绘画二 d 流量呢，是从 chuas 的去往 runchax 的，这个绘画表的超时时间是二十秒，二十秒之后这个表象就消失了， 还剩下十八秒。数据包呢，是通过一杠零杠一这个内网接口，属于 xs 的接口接收的，他要通过一杠零杠零扔出去，那数据包呢？就被方向扔出去，下一条是谁呢？二零二的一点点十，下一条的麦克地址是 a bb cc 零零，三零幺零，然后呢，这个从 xs 的到英特奈斯的一共发了四个包，二百四十个字，接返回的流量呢，也是四个包，二百四十个字，接下面是数据包的原地址，被转换之后的原地址，目的地没有变， 端口号随机的。另外这是所这个流量所撞上的策略。好，本次内容呢，就给大家介绍到这个位置，下个视频呢，我再给大家介绍一下华为防火墙上面的安全策略，点击下方购物车学习更多内容。

哈喽，大家好，这里是网络专家 vlog， 我是你们的黄老师。今天的话像这个拓谱一样啊，就这个朋友呢，就是在他们的内网里面就部署了一台华为的 usg 防火枪， 然后呢他们就希望通过外网，通过那个 sslvpn 的技术拿来访问内网的这个 pc， 这个 pc 呢是幺九二点幺六八点八点八。 然后呢我们这边的话已经把这个 hclv 片呢给配置好了，在这里面 我们检查这个 shlv 片的话是没什么问题的，配置这些都没问题，但是呢当我们通过这个 华为的这个登录软件登录上去，我们呢正常是可以获取到那个 ip 地址的，是 ip config， 正常的话我们已经配置成功了。就今因为今天我们重点讲解的不是 shlv 篇怎么配置啊，因为 shl 配置的话很简单的，今天主要呢告诉大家怎么排查这一个 shl 的一个故障啊， 现在呢我们聘这个幺九二点幺六八点八点一，我们聘这个防火墙的接口是可以聘通的，但是当我们聘这个内网的这台主机的话，我们发现呢就不通，不通的话我们就需要通过命令行呢来排 查一下，这里面的话我已经写了一条命令行三零零二 expect， 这一点六九，对吧？我们写了这一条 a 七幺，然后用来 匹配那个流量过滤啊，这里面我们看一下获取到的 ip 是多少？ ip config， 这里是六九，对吧？没错。然后呢我们就通过这个防火墙的抓包来看一下究竟是什么问题啊。 首先呢我们呃退出这个 a 消，然后呢 dia， 然后回车进入这个调试终端，然后发 fireware steady， acl， 三千零二赢 abo。 通过这一条命令的话，我们来对流量进行一个过滤啊， 配置完了之后，我们在这里再拼一下杠提长拼一下， 现在的话我们是拼不通这个内网的服务器的，这个内网服务器是在哪里呢？我们把这个删掉啊， 这内网服务器是直接接到我们的这个防火墙上面的， 这个就是幺九二点幺六八点八点八， 这个一杠零杠二呢，这里就是幺九二点幺六八点八点一啊，那么我们通过外网的话可以访问到这个八点一，但是访问不了这个八点八，我们这个课程主要就是排查这个防火墙的故障啊。 ok， 我们抓完包之后呢，我们看一下啊 display， fireworks status acl， 然后回车，回车的话我们可以看到啊，这里面有个啊 car 的 dta information， 我们可以看到我们这个之所以拼不通这个要求二点幺六八点八点八呢，主要就是因为这个麦克地址的问题啊，然后因为关注到这个麦克地址，对吧？所以呢我们一般会 看我们这个认证了，然后呢我们在对象这里，然后在在对象在用户，然后呢在这个 认证选项这里，然后呢我们在这里可以看到啊，有个在线用户麦克地址检测，我们把这个去掉，然后点应用， 然后我们再来看一下，去掉了之后我们再拼一下，再拼一下，然后我们就可以发现可以通了，然后呢我们 再挑两一下，这个三三八九幺九二点幺六八点八点八，三三八九， ok， 那么我们现在的话就已经把这个 acc 的故障给排查完了， 好希望这个视频能够让大家学到知识啊，也希望大家点赞关注，再见。

客户那边发来一台老款的华为 usg 六零零零防火墙，据说买来至今已经跑了十年。尴尬的是，前前前任网管离职时，其他设备都交接了密码，唯独漏了这个黑铁盒子。客户也不清楚哪个前任网管设置的密码， 调试好后也几乎没人动过配置。客户计划更换新款防火墙，让我们先把密码找回来，必须保证配置不丢失，然后要导出配置文件，方便后续导入新设备。在我印象里，华为老款防火墙步向交换机直接 ctrl 加 b 就 能跳过密码 防火墙，操作稍微有点麻烦，接下来让我们实操一下怎么搞定这台十年老机。首先碰碰运气，试了几个常见的绕口令都不对，果断重启防火墙，等待防火墙自检倒置。按 ctrl 加 b 输入初使拨窗密码， 这里选择二设置启动软件和配置文件，再选择一修改设置到这里比较关键，输入表示防火墙临时以空配置启动， 再输入一启动系统，防火墙启动好后，电脑直连 m g m t 口，打开浏览器，输入 初使用户名 admin 密码 admin 幺二三，再修改初识密码，成功。登录系统后，找到系统配置文件管理，可以看到下次启动配置为 now， 点击选择下次启动的配置文件， 找到时间最近的一次配置文件，点击下载配置文件，下载完成后，以记事本方式打开配置文件，然后按 control 加 f， 输入 manager user， 查找关键词， 找到 manager user admin 设置，直接修改 password 后面的密文，密码，后面以这个密码登录防火墙即可。修改完后 ctrl 加 s 保存文本，保存后修改文本名称， 再次打开防火墙配置文件管理，点击上传刚才修改的配置文件，导入配置文件， 点击这个小灯泡，设置为下次启动的配置文件，小灯泡亮了就代表设置成功。再点击系统重启，重启， 等待防火墙重启好后，再次登录防火墙外部界面，用刚才设置好的用户名密码登录防火墙，到这一步密码就恢复成功了。录制不易，关注我，后续会分享更多实用案例。

企业网络安全威胁多运为难，性能跟不上。今天带来的是华为昆凌 u s g 六千一杠 s 系列防火墙，从芯片、 cpu、 操作系统全自主可控、 一机多能，集多种安全能力于一身，卓越性能全面提升业务处理能力，智能防御，主动发现未知威胁， 极简运维，即插即用。全新 ui 界面，数据图表化，直观地图联动华为乾坤云，威胁检测率达百分之九十九点九五，安全能力不断升级，保持安全防御的持续性。 自适应高密固定端口对接无忧，灵活切换，用于双电源智能变频，节能省电。可插拔硬盘风扇，可显著提升散热效能。多种款式适配中小企业、院校门店等。 华为昆凌 u s g 六千一杠 s 系列防火墙，智能防御，保护万物互联的数字世界。

欢迎来到华为防火墙回收专场，这是华为企业级智能 ai 防火墙，型号是 usg 六五二五一和专机架式的硬件防火墙。我们长期回收企业园区和数据中心网络设备，比如 交换机、防火墙、路由器、无线 a p、 网络安全光纤模块、电源模块等等。有货的联系。