文档首页/ 华为乾坤/ 安全云服务/ 典型配置案例/ 企业边界防火墙双机组网(三层)--上行路由器(ospf)下行交换机/ 配置FW1
更新时间:2024-01-10 GMT+08:00
查看PDF
分享

配置FW1

  1. 配置接口。
    1. 选择“网络 > 接口”。
    2. 单击GE0/0/5,按如下参数配置,单击“确定”。

      安全区域

      untrust

      模式

      路由

      IPv4

      IP地址

      10.2.0.1/24
    3. 参考上述步骤按如下参数配置GE0/0/4接口。

      安全区域

      trust

      模式

      路由

      IPv4

      IP地址

      10.3.0.1/24
    4. 参考上述步骤按如下参数配置GE0/0/7心跳接口。

      安全区域

      dmz

      模式

      路由

      IPv4

      IP地址

      10.1.0.1/24
  2. 配置双机热备。
    1. 选择“系统 > 高可靠性 > 双机热备”,单击“配置”。
    2. 开启“双机热备”,按如下参数配置,单击“确定”。

    3. 在系统试图下,执行命令hrp standby config enable,开启备用设备的部分配置功能。 
      HRP_M<FW1> system-view
HRP_M[FW1] hrp standby config enable
      • 启用允许配置备用设备的功能后,所有可以备份的信息都可以直接在备用设备上进行配置。且备用设备上的配置可以同步到主用设备。如果主备设备上都进行了某项配置,则从时间上来说,后配置的信息会覆盖先配置的信息。
      • hrp standby config enable命令在双机热备中的两台FW上均可配置,且相互备份。如果主备设备上都配置了这条命令,则从时间上来说,后配置的会覆盖先配置的。
  3. 配置OSPF,保证路由可达。
    1. 选择“网络 > 路由 > OSPF”,单击“新建”。按照下图配置创建OSPF。

    2. 点击高级配置按钮,按如下参数进行区域配置。

      区域

      0.0.0.0

      网段IP

      10.2.0.0

      正/反掩码

      255.255.255.0

      认证模式

      NONE
    3. 按如下参数进行网络配置。

      区域

      0.0.0.0

      网段IP

      10.3.0.0

      正/反掩码

      255.255.255.0
  4. 配置安全策略。
    配置双机热备后再配置安全策略,安全策略会自动同步到FW2。
    1. 选择“策略 > 安全策略 > 安全策略”。
    2. 单击“新建安全策略”,依次创建名称为“untrust-trust”、“trust-untrust”、“local-cloud”“rule_iss_dns”的安全策略。具体配置方法请参见如何配置边界防护与响应服务需要的安全策略(USG6000E-C天关、USG6000E防火墙)
    3. 单击“新建安全策略”,创建名称为“ha_local_to_dmz”的安全策略。按如下参数配置,单击“确定”。

    4. (可选)单击“default”安全策略,并将default安全策略的动作修改为“允许”,单击“确定”。
      • 仅V600R007C20SPC602之前版本,需要执行此步骤。V600R007C20SPC602及之后版本不需要修改default安全策略的动作为“允许”。
      • 设备连云成功后,需将default安全策略的动作修改为“禁止”。
    5. 单击“新建安全策略”,创建两条安全策略, 许FW1与部署在untrust区域上行路由器交互OSPF报文,按照如下参数配置,单击“确定”。

相关文档