配置防火墙

背景信息

云服务组件包随大包发布，请加载对应版本的组件包。
云服务组件包获取方法：访问华为安全中心平台（域名为isecurity.huawei.com），选择“特征库升级 > 特征库升级”。筛选到对应的产品和版本。

除V600R007C20SPC500版本的USG6308E-B/USG6318E-B/USG6338E-B/USG6358E-B/USG6378E-B/USG6388E-B/USG6398E-B、USG6000E-E03/USG6000E-E07外，其余版本款型的系统软件不包含云服务组件包，须手工加载云服务组件包。

操作步骤

在管理PC上配置网口的IP地址为192.168.0.2（可以是192.168.0.2～192.168.0.254中的任何一个），子网掩码为255.255.255.0，然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。
配置公网地址。
1. 选择“网络 > 接口”，选择连接Internet的网络接口，假设为GE0/0/7。
2. 设置“模式”为“路由”，“安全区域”选择“untrust”，“连接类型”和“IP地址”请根据实际IP地址的获取方式进行配置。
  图1 静态IP配置方式
  
  图2 DHCP配置方式
  
  图3 PPPoE配置方式
3. 单击“确定”，完成配置。
配置内网地址。
1. 选择“网络 > 接口”，选择内网核心/接入交换机的网络接口，假设为GE0/0/6。
  图4 选择接口
2. 设置“模式”为“路由”，“安全区域”选择“trust”，“连接类型”和“IP地址”请根据实际IP地址的获取方式进行配置。
  图5 配置接口
3. 单击“确定”，完成配置。
（可选）配置静态路由。
在步骤2时如果采用了静态IP的方式，且没有配置默认网关，此场景下需要配置静态路由。其他场景不需要配置静态路由，如：静态IP方式（配置了默认网关）、DHCP或PPPoE的方式。
1. 选择“网络 > 路由 > 静态路由”，单击“新建”。
  图6 新建静态路由
2. 设置“目的地址/掩码”为“0.0.0.0/0.0.0.0”，“出接口”为上行接口（如：GE0/0/7），“下一跳”配置为网关地址，请向租户获取该地址。
  图7 配置静态路由
3. 单击“确定”，完成配置。
配置出接口方式的源NAT策略（easy-ip方式），以便内网用户可以使用防火墙的公网IP地址来访问Internet。
1. 选择“策略 > NAT策略 > NAT策略”，在“NAT策略”页签中，单击“新建”。
  图8 新建NAT策略
2. 按照如下参数配置NAT策略，其中“源地址”请根据实际情况选择。
  图9 配置NAT策略
3. 单击“确定”，完成配置。
（可选）配置DHCP。
如果客户需要防火墙作为DHCP服务器，为内网交换机/PC分配IP地址，这种情况下需要配置DHCP。
1. 选择“网络 > DHCP服务器 > 服务”，单击“新建”。
  图10 新建DHCP服务
2. 请根据DHCP服务器规划（可选），配置DHCP。
  
  若“DNS服务”配置为“使用系统的DNS设置”，则在边界防护与响应服务部署之后，需要手动创建一条trust到local的安全策略，并放通dns服务，具体配置参见9.b。
  
  图11 配置DHCP
3. 单击“确定”，完成配置。
加载云服务组件包。
1. 访问华为安全中心平台（域名为isecurity.huawei.com），选择“特征库升级 > 特征库升级”。筛选到对应的产品和版本。
2. 下载安全云服务组件包文件。
  
  请注意系统软件版本和组件包版本的配套关系，不配套的组件包无法加载成功。
  
  图12 下载安全云服务组件包
3. 访问标准配置页面：https://192.168.0.1:8443，选择“系统 > 系统更新”，并单击下图中的“本地升级”。
  图13 升级组件包
4. 选择已下载的组件包，单击“确定”。
  图14 上传组件包
配置防火墙与云平台对接。
1. 选择“系统 > 快速上云向导”单击“下一步”。
  图15 快速上云向导
2. 按照下图所示配置安全服务平台，单击“下一步”。
  
  图16 配置安全服务平台
3. 配置DNS服务器地址，单击“下一步”。
  图17 配置DNS服务器
4. 按照下图所示配置日志发送，单击“下一步”。
  
  图18 配置日志发送
5. 启用云端授权模式，单击“下一步”。
  图19 启用云端授权模式
6. 核对信息无误后，单击“检测连通性”。
  图20 检测连通性
7. 在系统提示界面单击“确定”，继续执行连通性检测。
  图21 系统提示配置下发
8. 在系统提示界面单击“确定”。
  图22 系统提示界面
9. 等待1到2分钟，再次单击“检测连通性”，系统将显示连接状态检测通过，表示连通性检测成功，然后请依次单击“确定”、“完成”。
  图23 连通性检测成功
10. 单击界面右上角的“提交”按钮，根据提示完成配置提交。
  图24 提交配置信息
配置业务参数（边界防护与响应服务）。
1. 确认安全策略已成功下发。
  设备上线后，云端会部署套餐，需要2分钟左右，部署成功后安全策略会自动下发。
  安全策略下发后，如图25所示。共有5条安全策略，其中default安全策略被自动修改为禁止。
  如果设备上只有“default”和“rule_iss_dns”安全策略，或只有“default”安全策略时，由云端自动下发安全策略。
  
  如果设备上存在其他安全策略时，云端不会自动下发安全策略，此时请参见《FAQ》中“如何配置边界防护与响应服务需要的安全策略（USG6000E-C天关、USG6000E防火墙）”章节自行完成配置。
  图25 安全策略
2. （可选）配置trust到local的安全策略并放通dns服务。
  在6.b中“DNS服务”配置为“使用系统的DNS设置”时，此处需要手动创建一条trust到local的安全策略并放通dns服务。
  
  图26 配置安全策略
3. 选择“系统 > 升级中心”，检查“入侵防御特征库”和“反病毒特征库”是否在线升级成功，升级需要10分钟左右，请耐心等待。如果不成功，请单击“立即升级”。
  图27 特征库升级
4. 选择“系统 > 配置 > 时钟配置”，检查设备系统时间是否与当前时间一致，如果不一致，请调整设备系统时间，以保证云端能够精确掌握威胁事件的发生时间。
  图28 配置系统时间
5. 单击右上角“保存”按钮，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。
  图29 保存配置

配置业务参数（漏洞扫描服务）。

选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。

表1 安全策略
服务类型	安全策略名称	源安全区域	目的安全区域	源地址	目的地址	服务	动作
漏洞扫描服务	untrust-local	untrust	local	any	any	udp：云端与防火墙之间建立VPN隧道。 tcp：对资产进行漏洞扫描。	允许
	local-untrust	local	untrust	any	any	any	允许
	local-trust	local	trust	any	any	tcp：对资产进行漏洞扫描。	允许
	trust-local	trust	local	any	any	tcp：对资产进行漏洞扫描。	允许

单击右上角“保存”，在系统显示界面单击“确定”，保存配置以避免设备重启后配置丢失。
图30 保存配置

配置业务参数（云日志审计服务）。

选择“策略 > 安全策略 > 安全策略”，单击“新建安全策略”，根据不同服务配置不同的安全策略。

表2中的源安全区域和目的安全区域为举例说明，请根据资产实际所处的区域配置。

表2 安全策略
服务类型	安全策略名称	源安全区域	目的安全区域	源地址	目的地址	服务	动作
云日志审计服务	trust-local	trust	local	any	any	udp：资产上传日志到防火墙。	允许
云日志审计服务	local-untrust	local	untrust	any	any	any	允许