华为usg5500使用教程

大家好，我是新萌教育的麒麟，今天呢，给大家录个小视频，就是关于华为 usg 防火墙的基本配置啊。 什么叫基本配置呢？就说你把这个防火墙配完之后，能保证防火墙下面的主机可以正常的返回互联网，哎，这就叫最基本的配置步骤。另外呢，大家注意一点，基本上现在国内外的厂家，呃，防火墙厂家非常多， 他们最基本的配置步骤呢？基本类似啊，当然有的例外，你像四科的 aic 防火枪，还有之前拆个炮的防火枪，他们的配置方法跟 华为的，跟三十网科的，跟申信福的，跟安恒的，跟天龙信的，可能稍微有点不一样啊。今天的呢，咱们说的是华为 usg 的防网枪最基本的配置步骤，四步，我先 给大家把这四步写出来。第一步呢，我们要把接口划分到安全域与划分的安全域。 什么叫安全浴呢？就是他是防火墙上面的一个概念，就是现在绝大多数的防火墙厂家，基本上有将近百分之九十九的防火墙厂家，他们都是基于安全浴的。 只要是基于安全域的防火枪，你在用的时候必须得把接口划分到安全域里面去，你不划分这个接口就是废的。当然关于安全域的概念呢，我今天不过多说，咱们今天主要还得给大家普及一下华为防火枪的基本配置。 呃，接口划分安全域之后呢，你要给接口配个 ip 地址，并且配置 ip 地址，这是第一步。第二步呢，我们要做的就是陆游，要做陆游就是你防我强，有能 能力把内部主机的数据包发到互联网上去，那什么叫有能力呢？方光枪，他也是具备三层路由功能的设备，那既然要转发，他得有路吗？他得知道怎么转发，对吧？所以说待会我们要写路由，但主要是缺省路由， 缺少路由，你也可以说成是默认路由。然后第三步。第三步大家注意。呃， 对于我们平常来说，我们上网的时候，我们的电脑，我们的主机都是在我们企业内部，或者在我们的家庭内部，而我们电脑上面的 ip 地址基本都是私网的 ip 地址， 你要想返回互联网的话，你需要，呃，让互联网上的主机给你返回流量的时候，肯定不能直接返回给你的主机，为啥呢？因为你的私网地址咋办呢？ 这个时候我们要做一项技术，叫做 aat， 叫网络体质转换，也就是说你内部的主机，你公司内部的家庭内部的主机，返回互联网的时候，你要 把你这个数据包原 ip 地址，也就是四网地址转成你出你那个出口设备的外网口地址，而你出口设备的外网口地址正好是一个公网地址，这样呢，互联网上的设备就可以对你进行正常的响应，可以对你经回报，可以吧？ a e t 啊 啊？第四步，策略，大家切记要注意一点，在防火墙上面，策略非常非常重要，默认情况下，绝大多数的防火墙厂家，他们是所有流量都不同的，注意，这是绝大多数。当然了，华为稍微有点类似。呃，不是华为稍微有点 例外。呃，并不是说华为的防火墙默认情况下所有的接口流量都不通，呃，也不是说他都通，这个有条件的，什么条件呢？我先不说，我先把这四步给大家简单演示一下，可以吧？ 首先大家来看我这搭建好了一个环境，在这个环境里面呢啊，右边这一块模拟的是公司的内部网络，在公司的内部网络里面呢，一共有两个网段，这是福气的网段，这是办公的网段， 那中间呢？中间的红色区域是用来模拟互联网的，左边呢是用来模拟我们的家庭的。当然今天我们不管那么多，我们只需要在华为的防火墙上面，也就是 usb 六纤维上面做配置，我把这四个最基本的配置步骤给大家演示一 下，可以吧？首先大家来看，在这个图里面，内网接口记一杠零杠一，外网接口记一杠零杠零，连接服务器区的接口记一杠零杠二。所以我们要把这三个接口分别加到不同的安全域里面去，你比如叉式的， dm 类， angela 式的， 对吧？先加到不同的安全域里面去，给大家演示一下，呃，登录 的密码是 a、 d， m a。 然后我们通过 cmv 进入到配置视图，或者说系统视图。进来之后呢，我们要 先把接口划分到安全域，注意系统默认情况下是有四个安全域的。 dm 一般用来连接服务器区域，他叫缓冲区。凹槽式的他叫不 信任区域，一般用来连接互联网区域。刷似的叫信任区域，一般用来连接办公网络。 logo， 那是防火墙本地的，就是抵达防火墙本地的 logo， 或者防火墙始发的叫 logo。 下面呢，我先把接口划到安全域里面去，放中 chuas 的 a、 d、 d 音能 face 记一杠零，杠一，这样 g 一杠零，杠一这个口子就进入到了 chous 的安全域，然后放重 nxus 的 add 音能 face 记一杠零杠零， 这样一杠零杠零，这个接口就进入到了昂刷式的这个监狱发中电位 a、 d、 d enfes 记一杠零。二。好，现在呢，我已经把三个接口都划分进了对应的安全域，下面要做的就是给接口配置 ip 地址， 一杠零，杠一口的地址是幺九二点幺六八点一点一，二十四位。验码一杠零杠零。接口的地址是二零二点一，零点一，二十四位验码 一杠零杠二，接口的地址是幺七二点幺六点一点一，二十四位。烟马，看到没有？现在相当于我把第一步给做完了，接口划分的按键域，并且也配了地址。下面呢，我来做第二步配置，确省路由。这个简单 配置，千层路由 ip 如特斯坦特写八个零，吓一跳，是谁呢？吓一跳，那肯定是运营商所给你的那个网关，当然在我们这个环境里面是二零二点一，零点十，对吧？那千层路由也有了。进入到 第三步，配 nt 怎么配呢？大家可以直接对视 cr 查看所有的配置，在这里面你会看到有一个叫 nt 的策略，防火枪的策略非常多，看到没有，一大堆的 polo c 策略，路由什么安全策略，什么认证策略一大堆，这其实防火墙上面最重要的就是策略，各种各样的策略展现的要做的是 aat 的策略，所以说我进入到 ait pluss 里面来， 然后呢，我新建一个 nt 的规则，也就是说能够让内部主机访为互联网的，可以吧，叫如内蒙因特奈斯。 内部主机是谁呢？咱们现在为了让传世的区域可以正常的反映互联网，可以吧？所以我现在做一个 nt 策略，名字叫英特奈特。然后呢，我要去匹配流量，就 什么样的流量要被执行 nt 转换。大家来看，当流量来自于 xs 的这个安全意义，并且数据包他的原地址是来自于幺九二零幺六八零一点零网贷的，这样的流量我要给他执行 nt 转换。另外呢，我你也可以再限制一下这个 流量要去往的是哪个安全域，去哪呢？去往昂川似的，我才让你转，你去往其他的区域，将店铺里不给你转，可以吧？当然目的地的话，你也可以写下目的地址，咱们这个地方呢，既然是返回互联网，那你就应该写成暧昧，对吧？ 当然你也可以限制一下服务哈，你像 http 的流量， https 的流量我给你转， snnp 的我给你转，拼的我给你转，其他的我可以不给你转。 我们可以用室外制作限制，但既然是上网的话，咱们这个地方就不做限制了，我直接做动作叫 x， 注意做圆 n t。 为啥叫圆 n t 呢？ 因为对于 win 七来说，他访问互联网的时候，原地址是幺九二零幺六八点一点一百，他出去的时候要把原地址转成防火墙的外望接口，出去就是转的地址是原地址。所以说我们要做原 app， 关于 app 内容的非常之多，这个一两个小时也讲不完。这个正课里面需要讲啊，我记得需要讲了，一周的时间，一周三节课，每节课俩小时，内容比较多，所以今天呢，大家就 简单知道一下防火墙上面配置，上网的 nt 叫圆 nt 可以吧？那接下来的话，我们 选择 e z i p， 但还有其他选项啊，我只解释一下 e z i p 啥意思， e z i p 就说转成防火墙外部接口的 ip 地址出去可以吧？这样 ant 也做完。下面呢，我们进行到最后一步，安全策略。策略。安全策略的话呢，今天 我给大家简单解释一下，在华为防火墙上面，你内部区域在刷似的，然后互联网呢？在昂刷似的，你要是不做策略的话，这两个区域之间根本无法互通，默认情况下，任何两个安全与之间的流量是不同的。 当然安全策略我今天也不过多说。呃，内容非常多，下个视频呢，我给大家简单介绍一下华为安全策略吧。啊，今天这个由于视频比较长，我就不来单独介绍他了。 呃，默认情况下呢，就是防火墙上面，华为的防火墙两个安全翼之间的流量是不同的，你要是想让他通咋办呢？需要单独做策略去放行，可以吧？大家来看着，进到 sk 的 plass 里面 新建一个安全策略，假设名字叫 chuas 的，到英特卖的可以吧。接下来依然是匹配流量，流量从哪来呢？从 chuas 的安全域来，他要去哪呢？他要去往 oncha 似的， 原地址是多少呢？原地址是幺九二点幺零八点一点零网段，那目的地是多少呢？当然你可以不写，因为上网的话目的地是 m， 对吧？那接下来的话，你可以做一个 xomit 放行，这样子的话， 安全策略就算是做完了，对吧？这样做完之后，我给大家说这个问题，现在他就可以去访问互联网了，咱们打开问题，尝试去拼一下网关设备的幺零三点二三幺点一点十，这个接口地址，如果能拼通，那就代表成功了， 是吧？给大家演示一下哈，拼幺零三点二三幺点一点十，没问题吧？成功。当然你可以在华为的防火墙上面去查看一些信息，你比如 desplay 发奥 对，出来发奥三生推宝，查看他的绘画表。大家来看，在绘画表里面，我们看到有一条阿 cmp 的表象，原地址是幺九二点幺六八点一点一百， 防火墙呢，给你转成了二零二点一点一点一，也就是防火墙外网接口的地址，目的地呢？没有变，依然是幺零三点二三幺的一点十，对吧？ 当然你可以查看这个绘画表的详细信息啊，我再拼一下吧，再拼一下，拼完之后呢，我给你们查看一下他的详细信息， 后面加上我 boss。 大家来看中间这一个表象，这个表象叫绘画表，就是我们刚刚用温漆发送出去的拼包，他所产生的绘画表来看协议 rcmp， 这是那个绘画的标示符。绘画二 d 流量呢，是从 chuas 的去往 runchax 的，这个绘画表的超时时间是二十秒，二十秒之后这个表象就消失了， 还剩下十八秒。数据包呢，是通过一杠零杠一这个内网接口，属于 xs 的接口接收的，他要通过一杠零杠零扔出去，那数据包呢？就被方向扔出去，下一条是谁呢？二零二的一点点十，下一条的麦克地址是 a bb cc 零零，三零幺零，然后呢，这个从 xs 的到英特奈斯的一共发了四个包，二百四十个字，接返回的流量呢，也是四个包，二百四十个字，接下面是数据包的原地址，被转换之后的原地址，目的地没有变， 端口号随机的。另外这是所这个流量所撞上的策略。好，本次内容呢，就给大家介绍到这个位置，下个视频呢，我再给大家介绍一下华为防火墙上面的安全策略，点击下方购物车学习更多内容。

大家好，我是新盟教育的麒麟，今天呢，给大家讲一下华为 usg 防火墙上的安全策略。 呃，华为防火墙上的安全策略呢？内容比较多，政客里面需要讲好几节课。今天的话呢，我只是想一个小视频的形式，给大家简单的概括一下华为防火墙上面的主要的知识点，可以吧？ 呃，实验呢，我一会再做，我先给大家简单介绍一下哈关于华为防火墙的安全策略。首先大家注意一点华为的防火墙，它的安全策略 仅仅限制单播流量。注意华为防火性安全策略默认情况下默认情况下仅限制单播流量， 仅限制单播流量，也就说默认情况下对主播流量和广播流量不做限制， 直接放行。当然你可以使用专门的配置让华为的防火墙对主播流量也做限制， 可以专门配置，可以去设置，但是呢，他对广播流量是不做限制的。另外我再多说一点，虽然说华为的防火墙安全彻底默认情况下仅对单播流量做限制，但是也不是说所有的单播流量都受 华为防火墙安全策略的控制，并不是所有的单部流量都受安全策略的控制。 比如我简单举几个， olpf 的单播流量不受华为防火墙安全撤离的控制， bgp 的单播流量 不受华为防火墙安全撤离的控制，然 rp 令客的单播流量不受华为防火墙安全撤离的控制。嗯，然后还有 d 的 cp 的他的单播流量也不受华为防火墙的安全撤离的控制。等等吧，就是给大家列举了这些。 呃，这是简单一些介绍。另外呢，再给大家说一个点，就是华为防火墙它是基于安全域的，这个我我上个视频给大家 简单介绍了一下，就是基于安全域的防火墙，首先你在配置的时候呢，要把接口划分到安全域里面去，大家注意，既然是基于安全域的 防火枪，竟然是基于安全域的防火枪，他在做策略的时候也是基于安全域去做策略的， 也是机缘机做策略的。呃，华为呢，他是这么认为的，同一个安全与内部的接口，或者说同一个安全与内部的主机之间，他们本身就是属于 同一个部门的，或者说同一个公司内同一个公司的同一个团队的，这样子的话呢，他们内部是比较可信的。所以说呢，华为的防火墙对同一个安全域下面的流量是不做限制的，直接互通。注意同一个安全域 内部的接口之间直接互通，什么意思呢？大家来看这个图案， 在我现在这个环境里面，一杠零杠一这个接口在擦拭的安全域，如果说这还有一个接口，假设这个接口是记一杠零杠三， 假设啊，假设是 g 一杠零杠三，假设呢，你把一杠零杠三也划分到了叉式的安全意义，大家注意 一杠零杠一下面的主机和一杠零杠三下面的主机直接就通了，没有任何限制。直接通能理解吧？就是同一个安全与内部的接口之间直接就通，但是呢，不同安全与之间的接口默认不通， 不同安全域的接口之间的流量默认不同，默认是不同的。比如在咱们现在 这个环境里面，记一杠零杠一属于穿石的安全域，记一杠零杠二属于 dm 的安全域。 那么这个时候收我跟问题之间默认情况下就通不了。注意，通不了，你想通吗？如果想通的话，你需要单独做策略去放行， 而且你想通是怎么通呀？是想让问题主动访问蛇窝呢？还是想让蛇窝主动访问问题呢？还是说你希望他俩相互都能通呢？注意， 如果说你希望温七可以主动去访问十二 w， 那好，你就放行从 xs 的到点位的策略就可以了。返回的流量大家注意，不需要去考虑，不需要考虑，至于为什么不需要考虑呢？这是因为在华为的房 火墙上面存在的状态检测这个机制，这个机制会让华为的防火墙产生绘画表， 也就说待会华为防火墙把温漆去往收的流量放行的同时，他会产生绘画表，而待会返回的流量到了防火墙，防火墙一看有绘画表直接就放行，不再看策略，能理解吗？就好比你们 这个，你们所住的一个小区呢，是一个高档小区对吧？你比如天津这边金茂府富人区，这个金茂府内部的那些， 内部的那些那些人呢？他们可以自由的出入，他们出去的时候那个门口的保安有记录，是吧？能认识你这个人，看着你是开着法拉利出去的，待会你返回的时候呢，就直接给你放了，为啥呢？他有记录， 他有你的车牌号信息，他知道你就是这个小区内部的人员，你出去可以出去回来自动给你放，但是呢，如果你本身就不是这个小区内部的，你是外部的人员，在那个小区的门口那边呢，没有任何的记录，你是进不来的，懂了吧？就是这个意思， 也就是说，如果你想让温漆可以主动去访问色卧，那你就放行从窗式的到电位的侧脸。如果你想让色卧可以主动房间温漆，那你就放行从电位到窗式的车里。 我们只需要考虑初始流量，返回流量不需要考虑，各位能理解吗？如果说还没有理解的话呢，大家可以在评论区留言，我这个看到的话会及时给大家进行回复的。好吧，下面的话呢，我们简单做一个 个小实验，就是我们允许温漆可以去拼通十二瓦，可以吧？当然现在他是拼不通的，给大家测一下，测试一下， 现在肯定拼不通，看到没有，为啥拼不通呢？因为华为防火墙上面策略没有放行，他肯定不通，我呢？接下来在华为的防火墙上做一个策略，把流量给放了，大家来看着哈。 目前华为的防火墙上面虽然有一条策略，但是这个策略呢，是为了能够让温漆让擦拭的区域访为互联网的 注意，返回互联网的，不用管他。接下来我再做一条策略，允许擦拭的区域的温漆可以去访问 sor， 大家来看入内幕，创建一个规则， 这规则的名字你可以随便写，假设叫 chuss 的到店位，然后呢，我们在这里面去匹配流量，就是流量从哪个安全域来呢？流量从 chuas 的安全域来， 然后呢，他，他的原地址是多少呢？幺九二点幺六八点，一点一百，他要去哪呢？他要去往的安全意义是 dm 瑞，他要去往的目的地是多少呢？是幺七二点，幺六点一点一百。 什么类型的流量呢？仅仅放行聘包，其他的协议我们不放好，流量匹配完毕，最后执行动作挨个审扑妹的放行完事能看到吧？配置呢，还是比较简单的，这就是我刚刚所做的 安全策略，放行了从穿石的区域那个温漆到达电位区域的服务器的新的流量放行了，可以吧，给大家简单做个测试，打开温漆 再去拼一下，幺七二点，幺六点一点一百，通了吧？没有，没有任何问题，成功。当然这个 时候奢望能聘同婚期吗？各位，奢望能聘同婚期吗？不行对吧？为啥不行呢？ 因为没有放策略，他肯定通不了，对吧？我给各位测一下吧，让你们见证一下。稍等把射我打开哈，射我去评分期 拼幺九二的幺六八点一的一百，不同吧，绝对不同， 防火墙上面都没有奉行从蛇窝到温切的流量，他怎么可能通，通不了，看到没有？好了，本次内容呢，就给大家介绍到这个位置吧。

哈喽，大家好，这里是网络专家 vlog， 今天的话我买了一台华为的 usb 防火墙啊，这台防火墙他的型号呢是六三零七 防火墙，然后呢他是有一个十记忆的端口，以及两个记忆的那一个光口，然后我们可以看一下这个防火墙的信息啊，大家可以看一下，然后呢今 天的话就把这个防火墙拆箱给大家看一下里面有什么东西。之前呢我已经把这个胶纸已经打开了， 然后的话我们可以看到它里面呢有保修卡，然后还有这个合格证，然后还有一个防 火墙的主机，这个主机呢因为他是桌面级的，然后的话还有一些零配件，他的电源， 还有这一个是他的接力线，在机柜里面的话一般呢都是需要有接力的，然后我们把这个主机拿出来看一下，好现 这一个在我手上的这一个呢就是华为的 usb 防火墙啊，他这个型号呢是桌面机的，我们可以看到在他这里的话是有两个万兆的端口， 然后有万口，有两个万口，八九号口是万口，以及有零到七有八个千兆口。 这个这个防火墙呢主要是用于小型企业，比如说五十人以下的一些企业用来用的。然后呢他是十二伏的一个电，我们可以看到华为的整体做工还是比较完美的，前面的话他是有一个玻璃镜面， 我们看前面的话他有那一个电源灯、系统灯、 usb 灯、云灯，以及他这个啊这个 sd 卡的这个灯， 这个防火墙呢重量不是很重啊，之前的话我在网上面的话也帮人家调试过很多这一款防火墙，他的那个反病毒能力啊，还有那个内容过滤等等的话，都是非常非常好的。 这个防火墙呢是华为的下一代防火墙，他是支持那个，他是支持那个 utm 策略的。后面的话我将会用这一台防火墙的话来做防火墙的实验，以及 给大家讲解一下防火墙的一些基本概念，让大家呢可以从零基础学习配置这个防火墙。因为 现在的网络的话，国家的安全法规定现在网络的话不能直接公布在外网，所以说现在的网络在前面一定要有一台这样的防火墙作为内网的一个安全防护。好，如果大家喜欢我的视频，请点击关注。

哈喽，大家好，这里是网络专家 vlog， 我是你们的黄老师。今天的话像这个拓谱一样啊，就这个朋友呢，就是在他们的内网里面就部署了一台华为的 usg 防火枪， 然后呢他们就希望通过外网，通过那个 sslvpn 的技术拿来访问内网的这个 pc， 这个 pc 呢是幺九二点幺六八点八点八。 然后呢我们这边的话已经把这个 hclv 片呢给配置好了，在这里面 我们检查这个 shlv 片的话是没什么问题的，配置这些都没问题，但是呢当我们通过这个 华为的这个登录软件登录上去，我们呢正常是可以获取到那个 ip 地址的，是 ip config， 正常的话我们已经配置成功了。就今因为今天我们重点讲解的不是 shlv 篇怎么配置啊，因为 shl 配置的话很简单的，今天主要呢告诉大家怎么排查这一个 shl 的一个故障啊， 现在呢我们聘这个幺九二点幺六八点八点一，我们聘这个防火墙的接口是可以聘通的，但是当我们聘这个内网的这台主机的话，我们发现呢就不通，不通的话我们就需要通过命令行呢来排 查一下，这里面的话我已经写了一条命令行三零零二 expect， 这一点六九，对吧？我们写了这一条 a 七幺，然后用来 匹配那个流量过滤啊，这里面我们看一下获取到的 ip 是多少？ ip config， 这里是六九，对吧？没错。然后呢我们就通过这个防火墙的抓包来看一下究竟是什么问题啊。 首先呢我们呃退出这个 a 消，然后呢 dia， 然后回车进入这个调试终端，然后发 fireware steady， acl， 三千零二赢 abo。 通过这一条命令的话，我们来对流量进行一个过滤啊， 配置完了之后，我们在这里再拼一下杠提长拼一下， 现在的话我们是拼不通这个内网的服务器的，这个内网服务器是在哪里呢？我们把这个删掉啊， 这内网服务器是直接接到我们的这个防火墙上面的， 这个就是幺九二点幺六八点八点八， 这个一杠零杠二呢，这里就是幺九二点幺六八点八点一啊，那么我们通过外网的话可以访问到这个八点一，但是访问不了这个八点八，我们这个课程主要就是排查这个防火墙的故障啊。 ok， 我们抓完包之后呢，我们看一下啊 display， fireworks status acl， 然后回车，回车的话我们可以看到啊，这里面有个啊 car 的 dta information， 我们可以看到我们这个之所以拼不通这个要求二点幺六八点八点八呢，主要就是因为这个麦克地址的问题啊，然后因为关注到这个麦克地址，对吧？所以呢我们一般会 看我们这个认证了，然后呢我们在对象这里，然后在在对象在用户，然后呢在这个 认证选项这里，然后呢我们在这里可以看到啊，有个在线用户麦克地址检测，我们把这个去掉，然后点应用， 然后我们再来看一下，去掉了之后我们再拼一下，再拼一下，然后我们就可以发现可以通了，然后呢我们 再挑两一下，这个三三八九幺九二点幺六八点八点八，三三八九， ok， 那么我们现在的话就已经把这个 acc 的故障给排查完了， 好希望这个视频能够让大家学到知识啊，也希望大家点赞关注，再见。

好，今天我们再来讲一个远程波路的方面的啊，远程波路的话指的是说当你有员工在外面办办公的时候，他需要波路到防火墙里面来访问里面的资源，也就是说相当于在局域网一样。 那么远程访问技术有两种，一种是比较老的 l two t p 这种技术，还有的就是现在主流的 s s l v p n， 那么今天我们讲那个 l two t p 好 l two d p 的话，我们来配置一下。首先我们要确定好它的流量方向，就是说它从 entrust 拨入到那个防火墙，也就是说我们第一件事啊，我们需要放行， 我们需要放行那个 untrust 到 local 的那个 l two t p 的流量，因为默认情况下它是允许的，嗯，拒绝的，那么我们需要去 local， 我们写一个公望二零二点一百点一点一杠三十二云服务 air todp 选择一下，也就是说当你的外网的流量访问到这个公网的 l two d p 的流量的时候，我们允许它好，这个时候就可以了。然后我们来配置一下 下 l two d p， l two d p 的话，我们首先要启用，而且系统默认内置的一个远程波路的啊 l n s， 也就是说它能够充当服务器， 你千万这里不要点新建啊，点新建的话，他指的是说你用的其他的网络设备来播录，如果你用默认组的话，他是与默他默认的一个组有个好处，就是什么他不会指定对单的隧道名称， 而你新建的他是需要明确的指定对档的隧道名称的，如果你不指定的话，他会让你他不让你输入，一般你新建的是用于对接那种第三方的啊，比如你用微软的电脑拨路的话，那么我们只能用这个 dpod 组，或者你往第三方的软件，你可以用 新建的，这个是没有任何关系。好，我们这里我们用用那个默认的密码的话，我们啊，我们不用隧道认证啊，然后我们在 entrust 的就是他那个呀， todb 的接口，我们属于哪个里面？我们可以属于 entrust 的， 也可以自建一个。如果你想简单一点，你跟 dmg 在一个区域，那么你后续的策略都不需要放心了。如果你想控制的话，你建议放在一个另外的区域，然后这里的服务器地址我们选择一个内网没被使用过的，这样的好处就是访问起来比较方便，也好控制， 我们选幺九二点幺六八点幺零幺点二，幺九二点幺六八点幺零幺点二五四。好，然后点击确定，现在就好了， 那我们可以来试一下测试，比较简单啊，我们先点击新建，点击连接工作区啊，我们这里输入幺九二点幺六八点一点一，然后点击不连接，然后， 好，这里要输入用户名密码，我们刚刚并没有创建，所以我们这里要创建一下，在对象有一个用户 default， 这里有一个 ap 啊，这个是我之前创建的，创建简单啊，就新建用户，这里输入用户名密码，那么这里我创建了，我就不创建了啊，我这里输入一下 test 点一二三， 这个就是我的之前创建的。好，当我们创建好后，我们需要改一下客户端的参参数啊，它默认 的是自动的，那么我们选择啊 ipsite 的第二层 air top。 微软只支持 ai aipsite ov 啊， air top over aipsit。 但是呢，你如果修改注册表，它是支持重任 air top p 的，也就是说我们不加密， 一般的构思的系统是已经把这个功能加进去了，如果他提示你需要加密的话，你可以百度搜索一下怎么去让他不加密。那么这里呢，我们没没使用啊， ip 赛的，我们不需要共享密，要使使用默认的就可以了。然后这里我们选择可选加密， 允许的是 paper 跟恰好这个时候我们拨拨录一下好，你会发现很快就拨上了，分配到了一个幺零幺点三七。但是这个时候如果我们 去聘幺九二点幺六版的两百点二的时候，你会发现他不通。不通的原因是我们刚刚只放行了 untrust 到 logo 的流量，现在已经拨通了，他的实际流量是从 trust 他的接口地址在 trust 抵达店门之一。 那么我们这里并没有放行这个策略。所以呢，我们需要再放一个 trash 的到 dmg 的流量 串死到 d m g， 这个时候原地址你可以写地址词啊，也可以严格匹配。那么这里呢，我就简单一点了，我， 嗯，幺九二点幺六八点，两百点，二杠三十二，我们允许他就是允许从 charts 的到 d m g 不允许访问这个 server 地址。我们再拼一下 传奇的老铁们记刚刚的区域说一下啊，已经通了啊，你可以看到已经通了，我们看一下这个服务开了没有，我们可以开一下八零的服务，我们试一下。开了 啊，这个就相当于我们已经在内网里面了 啊，两百点二啊，可以访问。当然这里会存在一个问题，就是你会发现你的路由表， 嗯， 啊，你会发现你的路由表啊，会被所有的默认路由都指向，都会被引到 lv 片里面去，包括你上网的流量，现在你会发现现在什么都上不了了， 这个是在实际中容易遇到的，那么解决办法呢？第一个啊，有两个啊，第一个 用把这个参数给去掉，那么他不会添加网关，但带来的问题就是说我们需要手动指定去往那个微偏的流量走这个隧道出去，而且这个地址不固定，你每次重播会就需要重新写一次，这个比较麻烦 啊。还有个比较简单的，就是比较推荐的啊，就用华为的客户端啊，华为的 错误端有个好处，就是说我打开看一下啊，大家在新建 l two t p 的时候，这里有一个就说连接成功后允许访问 internet， 也就是说他会把那个做一个隧道的分离， 你可以人为的就是说哪些流量走位片你可以在这里写，他播录后会自动的去添加。所以呢，大家在工作中更多的建议用第三方客户端，也就是我们用的华为的这种比较方便， 如果用这种的话，我们是上不了网，当然你可以让他去上网啊，你做一个 light 策略就行了，就比如我们做一个 light 策略，嗯，做一个 untrust 的啊， untrust 的那种出接口出去，这样的话他就可以上网了，但是我们这里是实验环境，没有 这个，所以我们上不了网，这个就不演示了，在实际中是可以这样做的，这个就是 l twotp 的功能，你拨录进来就相当于在本地的局域网一样，可以访问里面的资源， 当然还有其实还有更多的方案或者说是解决办法啊，就是说能够访问还有一些注意的事项， 那这里就是简单的演示一下怎么剥露，对于常见的需求还是可以满足了啊。今天这个啊，这个内容就到这里了，觉得可以的朋友可以帮忙点点赞，然后点一下那个，再看及转发一下，谢谢大家。

好，我们来讲下一个啊，这个 l t p ow， 而 p 赛特，呃，单纯的 led p 是没有加密功能的，我们可以配合 ip 赛特来结合，就是说 在 ip 赛特里面跑 l t p， 这样的话来够能能够用 ip 赛特来保护这个 l t p 的那个安全性，当然它的延迟会比 r t p p 会高一些， 那么我们来看一下怎么配吧。环境很简单 啊，跟之前一样，一个测试的环境，电脑用来接到这里测试，然后呢，这里借了，借了万瓦方 墙，然后有个踹死的一个电焖机，我们尽量是访问他的那个内网的电焖机功能电焖机去， 那么我们这里做的只是基本的对接，包括简单的安全策略，还有耐特工呢，其他的我们没有做，那么这个时候我们来做什么呢？首先我们还是老样子啊，先要放心 那个 x s 的到 logo 的流量这里注意啊，我们这里的流量多了很多，第一个我们多了呀，突击 p 啊呀，突击 p 是有的，在这个基础上面我们多了 一个 i k e 的第一阶段，也就是 s 看某 udp 的五百端口号以及 esp 这两个协议。 所以呢，你如果实在不确定的话，我啊那么建议大家就是直接 楼口，然后放行，我们到到这个门店我们不严格匹配他的服务了，我们直接这样放行就可以 可以了，然后我们配置 ip 赛的，呃， ip 标不 ip 赛的有两个地方可以配，第一个呢，我们这里可以看到有一个这个我们直接进入这个场地就可以配了。 还有我们在 ip 赛腾里面新降的时候有一个点到多点，我们可以选择 ltv p o vip 赛的，这样的话也是可以， 这个时候我们在，我们两两个都可以啊，我们这里就选一个，然后对端，我们不不选择，因为是那个，然后我们选择 paphone 恰谱都允许， 这里我新建一个地址，吃 app 幺九二点幺六八点幺零幺点一二幺九二点幺六八点幺零幺点二百五十， 好，从二开始吧。啊， dns 的话我们可以分配一个，或者说 啊这个 ds 有两个作用啊，就是说如果你的内网涉及到域名解析的话，我们需要给他分配一个内网的 ds， 让他能够解析内网的服务。还有一个就是说一旦你要突 tp 播录到防火墙的时候，你所有的流量都被引到的 朋友圈了，你需要上万网的话，你需要分配一个电 s k， 他按他从你这边的出口的电 s 出去，这样的话他才能够上万网。所以呢这有两个作用，如果你不分配的话，你会发现你上不了网的，所以呢这里注意一下， 然后加密的流量，这个流量就是我们原根部，我们都任意，然后协议呢，我们选 udp 端口号原端口幺七零幺，这个是 led p 的端口，我们选择确定，就是说 ip 赛特只加密 ltv 的流量，其他的我们不加密。然后这里有一个接受任意对端，任意的那个过来的那个客户端的那个安全加密协商的， 这样的话就不管你是安卓的也好，苹果的也好啊，微软的也好，都可以帮你协商，那么我们点击 好，这个时候我们可以来试一下啊啊，我们把这个删掉，我们重新建一个， 新建一个，然后选择连接到工作区域 啊，二零二点一百点一点一后天，然后我们 选择 led p 开始的一二三。哦，账号密码我们还没建立呢啊，我们来建立一下啊，账号密码的话，我们 我们这里有一个对象，里面有一个用户，我们在这里创建就行了。好，这里之前我是忘记删了啊，这里有一个也有个账号密码忘记删了。 当这个创建以后，我们首先选一下，之前我们这里选的是 led p， 那么我们这里选的是证书，那么这里不一样了啊，我们选择的是预贡小蜜药，我们输入那个蜜药， 然后还是一样选择未加密或者是那个，然后我们来连一下。好，已经连上了啊，怎么看我们用的是不是 ip 赛的呢？ 我们在这个详细信息里面你会发现有一个加密用的是 ip 赛的，用的是 a e s 一百二十八位的加密 啊。还有可以看的地方就是在网络这里有一个 ip 赛的，有一个监控，可以发现他的 ip 还可以协商，跟 ip 赛可协商都有，包括 led p p 里面有一个绘画都有。然后我们来拼一下呀，啊，那个幺九二点幺六八点两百点二，也就是我们的这一台服务器 啊，你会发现不通，因为我们我们刚刚只放行了。什么啊？只放行了，就是说当我们的流量从 发起到那个防火墙建立的流量，我们是放心的，但实际的流量从踹石的就建立后，他会从踹石的到达巅峰之一， 这个流量我们是没有放行的，所以呢，我们这边需要再添加一个策略，首创始的到 dmj， 我们允许 xs 到 dmj， 然后原地址，我们可以选什么呢？选那个要 ttp 的地址是那个就幺九二点幺六八点幺零幺点零 那个网段过来的，去往目的地，我们去往哪个呢？服务器的两百点二三十二，然后我们点确定， 这个时候我们再去拼，应该是可以了，你看 可以了啊，然后我们用外表来访问一下幺九二零幺 六八点两百点二啊，我看一下这个开了没有哦，等会啊， 我们我的八零没开，我开一下八零端口啊，然后我再访问一下，要加两百点两百点二。好，这个服务 ok， 就现在我已经播录到 内网里面，相当于在内网养，我可以访问任意的资源，只要你策略放心的得到，那就可以了啊。像苹果啊，苹果机他是必须得用 ltv p o vip 赛的的，因为他不支持纯 ltvp。 如果你是手机的话啊，手机安卓他是支持 led p 的，电脑端的话也支持。旧苹果的话，你只能用 vip p o wifi 的，如果你有平的或者 ipad 的这些的话，你只能说用这种方式来对接。

好，兄弟们，大家夜里好，我是心目交易，康 sir 啊，我又在我的 f b i 的小房厢里面，哈哈哈哈，给大家录制一个预告啊，现在是凌晨两点三十七分啊， 啊，我们预告的是周一的时间啊，周一晚上八点啊，然后应咱们兄弟们的要求给大家讲讲防火墙啊啊，我们这次讲的话讲什么呢？讲 usg， 华为 usg 防火墙。 呃，我们其中会涉及到几个基本的问题啊？第一个来说呢，就是说我们在企业里边用防火墙好还是路由器好， 是吧？防火墙和路由器有什么区别是吧？这是一个第一个问题啊，第二个问题来说的时候的话，这个防火墙这个东西呢，它里边都有什么功能啊？就说这个防火墙呢，买完之后他能解决什么问题呢？是不是能治理什么安全的？就是能达到更安全吗？ 哎，这是我们说的第二个问题啊，那第三个就是防火墙这东西啊怎么配啊？就是这设备设设备的话我怎么跟接啊，是吧？然后我这设备的话应该调怎么调啊？是不是能通过外部界面吗？啊？能，还是说通过这个命字行调啊？哎，我们说这是第三个 好，那我们呢会在周一晚上八点钟啊，在我们的直播间里边准时跟大家见面啊，如果兄弟们感兴趣，点击屏幕上的预约啊，支持一下啊。好，那咱们周一晚上的八点见啊，到时间拜拜。

哈喽兄弟们大家凌晨好，现在是凌晨十二点十五分啊，我是心目教育康 sir 啊，给大家录制一个明天我们晚上的预告啊。明天晚上的时候，我们来讲讲安全知识啊，讲讲 usp 防火墙啊，防火墙片啊。因为这两天的时间的话，我们一直偷菜 聊路由协议是吧？我们讲了三天路由协议，我觉得大家听的肯定是云里雾里， 我也讲烦了。哈哈哈哈，好吧，太难的讲不了，太简单的就变得没意思了啊。所以我们明天换一个方向，我们学一些知识，明天我们了解一个恰 ust 防火墙的技术 啊。当然了，他并不仅仅针对华为的 usg 这个系列的产品啊，但除此之外的话，所有的防火墙产品的属性方向是一样的。那很多同学们的话，企业里面都有防火墙对吧？有的企业里甚至不买 路由器使用方向。那这个东西具体来说，我们在公司里，在企业中怎么用？他能解决什么问题对吧？有什么好处？好，有什么功能啊？我们明天晚上八点钟准时开播。好，如果大家感兴趣，点击 屏幕上方的预约啊！好，然后我们明天晚上八点准时见啊！不，今天晚上八点啊，今天晚上八点准时见吧。好，拜拜。

想把云拍出动的效果，但是拍出来却是这样的，人在动云不动。嗯，试试跟我这样拍。点击更多，打开延时摄影，点击自动速率调到九十倍，让云动起来。时间选择无限时， 点击 proiso， 选择一百二十五，让画面更纯净。快门速度调到三百二十分之一，让曝光准确。白平衡选择五千五百 k， 一起来拍拍看吧！

华为手机如何像单反一样拍摄晚霞？遇到好看的晚霞，你拍摄的普通平淡，试着和我这样拍。滑到专业模式，调整焦距，拉近晚霞。手动白平衡五千五百 k 色彩氛围拉满。 iso 五十，保证画质。快门六十分之一秒，开 开看效果。

现在我们的国产华为手机，它的功能真的是越来越强大，只有你想不到，没有他做不到的。因为之前有很多事这样事情发生，就是我们很多人在去商场超市购物的时候， 我们要去排队买单，这个时候呢很多人会提前打开我们的这个支付码，等待进行一个扫码支付。但这个时候呢也给一些别有用心的人创造了一些机会，他们会扫取我们的这个收款码，对我们的这个强者进行一个窃取。 但是现在华为手机呢，为了浙江的事情在发生，他现在给我们的这个支付进进行了一个升级啊， 他是怎么升级呢？就是说在我们正常的一个状态下，就是在平常那个手机界面中就可以进行一个扫码支付。 我可能说出这一点很多人会不相信，是不是就说在我们正常桌面没有二维码怎么进行支付？但是华为手机他真的做到了这一点，这个也是我自己在手机设置中去找查找那个 我在充电的时候无意中发现的，然后我当时就做了个测试，真的可以的，如果不相信的话，我们待会呢就用我们这个卡机可以做个试验，因为这个卡机他和我们这个收银功能那个是一样的，因为他他只是二维码不一样， 他这个跟收银的还有我们那个自主去付款的那个扫码那个功他都是一样的，只是二维码不一样。待会呢我就用用我们这台机可以给大家先做一个测试，如果你学 会的话，你也可以去商场超市去做个测试，绝对是可以的，绝对会颠覆你的三观，盯着你的下巴，如果不相信的话，我们现在可以来进行一个测试，给大家看一下啊。好，现在给大家看一下啊， 我们这个手机怎么进行一个快捷支付啊？让你见证奇迹，现在我们就拿这个做实验，我现在手机是没有打开微信，也没有打开支付宝的，我们现在做个实验啊，来看一下啊， 看到没有？返回，返回我们再来另外一个桌面再看一下啊， 看到没有？我没有动任何键，就可以 一个扫码支付。好，现在呢？我通过屏幕录制的方法，现在来教一下大家怎么打开我们手机中这个快速安全的付款方式啊。我们首先打开设置， 然后下拉找到这个辅助功能啊，找到一个辅助功能的，这里辅助功能啊，点开它， 然后这里往下面找，这里有个智慧感知，看到没？这里有个智慧感知，我们把智慧感知点开，然后这里显示有个快速显示付款二维码，我们点击开， 看到没有？当时我也是就是在这里无意中发现的。然后我们现在点开质感支付，然后在上面 就可以默认是微信还是支付宝，还是云闪付还是钱包，我们默认一个点击确定就可以了。然后这样再去扫码的时候，他就 就在我们正常的手机桌面桌面情况下，就可以进行一个快速扫码支付，既安全又方便。

大家好，我是精彩网络技术，在我们企业内部呢，经常会使用防火墙，那么防火墙呢，主要是对我们企业内部网络呢做一个安全防护啊，在这里面我们来看一下，我们企业内部网络呢，主要在 pc 这一段，这个呢我们会把它划分到一个区域叫 trust 区域， 而我们其内部的外边服务器我们一般会放在 dmz 区，在我们这里面做几个配置，首先呢我们在接口上呢，要配置 ip 地址，其次呢我们把该接口呢，我们要划到相应的这个区域，比如说 trust 区域， 而我们右边这个接口呢，我划到 dmz 区。然后呢我们再放行 chance 的到 dmz 区域的啊，区域的安全策略，这样的我我们 pc 一呢就可以访问服务器了，而我们服务器呢，他不能主动访问 pc 一啊，因为我们没有放行 dmz 到 trust 去。好，下面我们看具体的配置。首先打开防火墙，进入系统，试图关闭信息东西， 进入记忆一杠零杠零接口，配备 ip 地址幺零点零点零点二二十四位。退出去创建 fast 区域 啊，增加我们这个接口啊，一杠零杠零。好，这是第一个。然后呢我们再进入接口一杠零，杠一，配置 ap 地址幺九二点幺六八点 十点一二十四位。那么退出去创建 dmz 区域归家接口记忆一杠零杠一。 下面呢，我们要做安全策略，要放行什么呢？要放行 pc 一到 sever 一这个两个区域的安全策略。首先呢创建安全策略的名称叫 t 五 b 圆区域，我们设置为 retrust 区域，目标区域是 dmz 区， 原 ip 地址是幺零点零点零点零，王段二十四， 目的地址 是幺九二点幺六八点十点二， 他是一个主机地址啊，就是三十二位的严码程度啊，然后呢，在我们激活 啊，最后这个安全策略 xx 追妹子，好，下面呢，我们来配置 pcip 地址啊， pcip 地址我们已配好了， ip 地址是十点零点零点一，那么紫外线嘛，是三个二，五点零，网管是十点零点零点二， 那么服务器的 ip 地址我们也配好了。好，下面呢，我们直接用 pc 一去拼一下 pc 二 听幺九二点幺六八零十点二， 我们发现是通着的，是吧？那么如果我们服气来访问我们 pc 呢，我们来看一下他是否能够正常访问，那么我们访问的地址是幺零点零点零点一，我们平时给报， 最后我们发现是什么是失败的啊，是，原因就在于我们并没有把 dmz 一区放行， trust 啊的安全策略，好，我们就讲到这里，学会了吗？学习更多网络知识，关注老师。