rocky查看防火墙配置

大家好，我是新萌教育的麒麟，今天呢，给大家录个小视频，就是关于华为 usg 防火墙的基本配置啊。 什么叫基本配置呢？就说你把这个防火墙配完之后，能保证防火墙下面的主机可以正常的返回互联网，哎，这就叫最基本的配置步骤。另外呢，大家注意一点，基本上现在国内外的厂家，呃，防火墙厂家非常多， 他们最基本的配置步骤呢？基本类似啊，当然有的例外，你像四科的 aic 防火枪，还有之前拆个炮的防火枪，他们的配置方法跟 华为的，跟三十网科的，跟申信福的，跟安恒的，跟天龙信的，可能稍微有点不一样啊。今天的呢，咱们说的是华为 usg 的防网枪最基本的配置步骤，四步，我先 给大家把这四步写出来。第一步呢，我们要把接口划分到安全域与划分的安全域。 什么叫安全浴呢？就是他是防火墙上面的一个概念，就是现在绝大多数的防火墙厂家，基本上有将近百分之九十九的防火墙厂家，他们都是基于安全浴的。 只要是基于安全域的防火枪，你在用的时候必须得把接口划分到安全域里面去，你不划分这个接口就是废的。当然关于安全域的概念呢，我今天不过多说，咱们今天主要还得给大家普及一下华为防火枪的基本配置。 呃，接口划分安全域之后呢，你要给接口配个 ip 地址，并且配置 ip 地址，这是第一步。第二步呢，我们要做的就是陆游，要做陆游就是你防我强，有能 能力把内部主机的数据包发到互联网上去，那什么叫有能力呢？方光枪，他也是具备三层路由功能的设备，那既然要转发，他得有路吗？他得知道怎么转发，对吧？所以说待会我们要写路由，但主要是缺省路由， 缺少路由，你也可以说成是默认路由。然后第三步。第三步大家注意。呃， 对于我们平常来说，我们上网的时候，我们的电脑，我们的主机都是在我们企业内部，或者在我们的家庭内部，而我们电脑上面的 ip 地址基本都是私网的 ip 地址， 你要想返回互联网的话，你需要，呃，让互联网上的主机给你返回流量的时候，肯定不能直接返回给你的主机，为啥呢？因为你的私网地址咋办呢？ 这个时候我们要做一项技术，叫做 aat， 叫网络体质转换，也就是说你内部的主机，你公司内部的家庭内部的主机，返回互联网的时候，你要 把你这个数据包原 ip 地址，也就是四网地址转成你出你那个出口设备的外网口地址，而你出口设备的外网口地址正好是一个公网地址，这样呢，互联网上的设备就可以对你进行正常的响应，可以对你经回报，可以吧？ a e t 啊 啊？第四步，策略，大家切记要注意一点，在防火墙上面，策略非常非常重要，默认情况下，绝大多数的防火墙厂家，他们是所有流量都不同的，注意，这是绝大多数。当然了，华为稍微有点类似。呃，不是华为稍微有点 例外。呃，并不是说华为的防火墙默认情况下所有的接口流量都不通，呃，也不是说他都通，这个有条件的，什么条件呢？我先不说，我先把这四步给大家简单演示一下，可以吧？ 首先大家来看我这搭建好了一个环境，在这个环境里面呢啊，右边这一块模拟的是公司的内部网络，在公司的内部网络里面呢，一共有两个网段，这是福气的网段，这是办公的网段， 那中间呢？中间的红色区域是用来模拟互联网的，左边呢是用来模拟我们的家庭的。当然今天我们不管那么多，我们只需要在华为的防火墙上面，也就是 usb 六纤维上面做配置，我把这四个最基本的配置步骤给大家演示一 下，可以吧？首先大家来看，在这个图里面，内网接口记一杠零杠一，外网接口记一杠零杠零，连接服务器区的接口记一杠零杠二。所以我们要把这三个接口分别加到不同的安全域里面去，你比如叉式的， dm 类， angela 式的， 对吧？先加到不同的安全域里面去，给大家演示一下，呃，登录 的密码是 a、 d， m a。 然后我们通过 cmv 进入到配置视图，或者说系统视图。进来之后呢，我们要 先把接口划分到安全域，注意系统默认情况下是有四个安全域的。 dm 一般用来连接服务器区域，他叫缓冲区。凹槽式的他叫不 信任区域，一般用来连接互联网区域。刷似的叫信任区域，一般用来连接办公网络。 logo， 那是防火墙本地的，就是抵达防火墙本地的 logo， 或者防火墙始发的叫 logo。 下面呢，我先把接口划到安全域里面去，放中 chuas 的 a、 d、 d 音能 face 记一杠零，杠一，这样 g 一杠零，杠一这个口子就进入到了 chous 的安全域，然后放重 nxus 的 add 音能 face 记一杠零杠零， 这样一杠零杠零，这个接口就进入到了昂刷式的这个监狱发中电位 a、 d、 d enfes 记一杠零。二。好，现在呢，我已经把三个接口都划分进了对应的安全域，下面要做的就是给接口配置 ip 地址， 一杠零，杠一口的地址是幺九二点幺六八点一点一，二十四位。验码一杠零杠零。接口的地址是二零二点一，零点一，二十四位验码 一杠零杠二，接口的地址是幺七二点幺六点一点一，二十四位。烟马，看到没有？现在相当于我把第一步给做完了，接口划分的按键域，并且也配了地址。下面呢，我来做第二步配置，确省路由。这个简单 配置，千层路由 ip 如特斯坦特写八个零，吓一跳，是谁呢？吓一跳，那肯定是运营商所给你的那个网关，当然在我们这个环境里面是二零二点一，零点十，对吧？那千层路由也有了。进入到 第三步，配 nt 怎么配呢？大家可以直接对视 cr 查看所有的配置，在这里面你会看到有一个叫 nt 的策略，防火枪的策略非常多，看到没有，一大堆的 polo c 策略，路由什么安全策略，什么认证策略一大堆，这其实防火墙上面最重要的就是策略，各种各样的策略展现的要做的是 aat 的策略，所以说我进入到 ait pluss 里面来， 然后呢，我新建一个 nt 的规则，也就是说能够让内部主机访为互联网的，可以吧，叫如内蒙因特奈斯。 内部主机是谁呢？咱们现在为了让传世的区域可以正常的反映互联网，可以吧？所以我现在做一个 nt 策略，名字叫英特奈特。然后呢，我要去匹配流量，就 什么样的流量要被执行 nt 转换。大家来看，当流量来自于 xs 的这个安全意义，并且数据包他的原地址是来自于幺九二零幺六八零一点零网贷的，这样的流量我要给他执行 nt 转换。另外呢，我你也可以再限制一下这个 流量要去往的是哪个安全域，去哪呢？去往昂川似的，我才让你转，你去往其他的区域，将店铺里不给你转，可以吧？当然目的地的话，你也可以写下目的地址，咱们这个地方呢，既然是返回互联网，那你就应该写成暧昧，对吧？ 当然你也可以限制一下服务哈，你像 http 的流量， https 的流量我给你转， snnp 的我给你转，拼的我给你转，其他的我可以不给你转。 我们可以用室外制作限制，但既然是上网的话，咱们这个地方就不做限制了，我直接做动作叫 x， 注意做圆 n t。 为啥叫圆 n t 呢？ 因为对于 win 七来说，他访问互联网的时候，原地址是幺九二零幺六八点一点一百，他出去的时候要把原地址转成防火墙的外望接口，出去就是转的地址是原地址。所以说我们要做原 app， 关于 app 内容的非常之多，这个一两个小时也讲不完。这个正课里面需要讲啊，我记得需要讲了，一周的时间，一周三节课，每节课俩小时，内容比较多，所以今天呢，大家就 简单知道一下防火墙上面配置，上网的 nt 叫圆 nt 可以吧？那接下来的话，我们 选择 e z i p， 但还有其他选项啊，我只解释一下 e z i p 啥意思， e z i p 就说转成防火墙外部接口的 ip 地址出去可以吧？这样 ant 也做完。下面呢，我们进行到最后一步，安全策略。策略。安全策略的话呢，今天 我给大家简单解释一下，在华为防火墙上面，你内部区域在刷似的，然后互联网呢？在昂刷似的，你要是不做策略的话，这两个区域之间根本无法互通，默认情况下，任何两个安全与之间的流量是不同的。 当然安全策略我今天也不过多说。呃，内容非常多，下个视频呢，我给大家简单介绍一下华为安全策略吧。啊，今天这个由于视频比较长，我就不来单独介绍他了。 呃，默认情况下呢，就是防火墙上面，华为的防火墙两个安全翼之间的流量是不同的，你要是想让他通咋办呢？需要单独做策略去放行，可以吧？大家来看着，进到 sk 的 plass 里面 新建一个安全策略，假设名字叫 chuas 的，到英特卖的可以吧。接下来依然是匹配流量，流量从哪来呢？从 chuas 的安全域来，他要去哪呢？他要去往 oncha 似的， 原地址是多少呢？原地址是幺九二点幺零八点一点零网段，那目的地是多少呢？当然你可以不写，因为上网的话目的地是 m， 对吧？那接下来的话，你可以做一个 xomit 放行，这样子的话， 安全策略就算是做完了，对吧？这样做完之后，我给大家说这个问题，现在他就可以去访问互联网了，咱们打开问题，尝试去拼一下网关设备的幺零三点二三幺点一点十，这个接口地址，如果能拼通，那就代表成功了， 是吧？给大家演示一下哈，拼幺零三点二三幺点一点十，没问题吧？成功。当然你可以在华为的防火墙上面去查看一些信息，你比如 desplay 发奥 对，出来发奥三生推宝，查看他的绘画表。大家来看，在绘画表里面，我们看到有一条阿 cmp 的表象，原地址是幺九二点幺六八点一点一百， 防火墙呢，给你转成了二零二点一点一点一，也就是防火墙外网接口的地址，目的地呢？没有变，依然是幺零三点二三幺的一点十，对吧？ 当然你可以查看这个绘画表的详细信息啊，我再拼一下吧，再拼一下，拼完之后呢，我给你们查看一下他的详细信息， 后面加上我 boss。 大家来看中间这一个表象，这个表象叫绘画表，就是我们刚刚用温漆发送出去的拼包，他所产生的绘画表来看协议 rcmp， 这是那个绘画的标示符。绘画二 d 流量呢，是从 chuas 的去往 runchax 的，这个绘画表的超时时间是二十秒，二十秒之后这个表象就消失了， 还剩下十八秒。数据包呢，是通过一杠零杠一这个内网接口，属于 xs 的接口接收的，他要通过一杠零杠零扔出去，那数据包呢？就被方向扔出去，下一条是谁呢？二零二的一点点十，下一条的麦克地址是 a bb cc 零零，三零幺零，然后呢，这个从 xs 的到英特奈斯的一共发了四个包，二百四十个字，接返回的流量呢，也是四个包，二百四十个字，接下面是数据包的原地址，被转换之后的原地址，目的地没有变， 端口号随机的。另外这是所这个流量所撞上的策略。好，本次内容呢，就给大家介绍到这个位置，下个视频呢，我再给大家介绍一下华为防火墙上面的安全策略，点击下方购物车学习更多内容。

迪普 uag 三千防火墙配置防火墙原本配置为固定 ip 设置防火墙，上网模式为 ppp oe， 将防火墙重启，通过串口线查看重启状态，查询防火墙拨号状态，查询拨号虚拟端口设置防火墙默认路由设置防火墙 nnt， 最终将酒店网络打通，使每台电脑能够正常上网。