文档首页/ 华为乾坤/ 安全云服务/ 典型配置案例/ 企业边界防火墙旁路镜像流状态检测(USG6000F防火墙)/ 配置防火墙
更新时间:2024-09-03 GMT+08:00
查看PDF
分享

配置防火墙

操作步骤

  1. 在管理PC上配置网口的IP地址为192.168.0.2(可以是192.168.0.2~192.168.0.254中的任何一个),子网掩码为255.255.255.0,然后打开Web浏览器访问设备的标准界面https://192.168.0.1:8443/。
  2. 配置检测接口GE0/0/6为旁路检测模式,该接口与Switch的观察端口直连。
    1. 选择网络 > 接口
    2. 单击GE0/0/6对应的,按照下图所示配置接口,注意“模式”需要选择“旁路检测”。

  3. 选择策略 > 安全策略 > 安全策略,检查default策略的动作是否为“允许”。

    如果不是,单击策略名称default进入修改安全策略界面,将动作修改为“允许”。

    图1 修改安全策略

  4. 加载云服务特性包。
    1. 登录企业技术支持网站,选择对应型号和版本,如果没有帐号请根据提示注册。

    2. 下载云服务特性包。

    3. 在管理PC上访问标准配置页面:https://192.168.0.1:8443,选择系统 > 系统更新,并单击下图中的“本地升级”

    4. 选择已下载的特性包,单击“确定”

  5. 配置防火墙与云平台对接。
    1. 选择系统 > 华为乾坤接入向导 ,进入向导界面,选择“公有云场景”并单击“下一步”
      图2 华为乾坤接入向导
    2. “前期准备”界面单击“下一步”

    3. 配置互联网接口相关参数,单击“下一步”,如果已配置请单击“跳过”

    4. 按照下图所示配置,并单击“检测连通性”,连接成功后再单击“下一步”

    5. 按照下图所示配置日志发送,单击“下一步”

      设备上线后云端会自动部署边界防护与响应服务套餐,部署成功后“攻击取证”“流量报表”将被开启。

    6. 按照下图所示,启用云端授权模式,单击“完成”,然后单击界面右上角的提交按钮。

  6. 配置业务参数(边界防护与响应服务)。
    1. 确认安全策略已成功下发。

      设备上线后,云端会部署套餐,需要2分钟左右,部署成功后安全策略会自动下发。

      安全策略下发后,如图3所示。共有5条安全策略,其中default安全策略被自动修改为禁止
      图3 安全策略
    2. 选择系统 > 升级中心,检查“入侵防御特征库”“反病毒特征库”是否在线升级成功,升级需要10分钟左右,请耐心等待。如果不成功,请单击“立即升级”
      图4 升级中心

    3. 选择系统 > 配置 > 时钟配置,检查设备系统时间是否与当前时间一致,如果不一致,请调整设备系统时间,以保证云端能够精确掌握威胁事件的发生时间。
      图5 时钟配置

    4. 单击右上角按钮,在系统显示界面单击“确定”,保存配置以避免设备重启后配置丢失。
      图6 保存配置

  7. 配置旁路检测所需要的安全策略。
    1. 选择网络 > 安全区域。将GE0/0/6加入trust安全区域。

    2. 选择策略 > 安全策略 > 安全策略,单击“新建安全策略”,配置名称为“trust-trust”的安全策略,源安全区域为trust,目的安全区域为trust,反病毒、入侵防御采用云端下发的配置文件,动作为“允许”

  8. 配置漏洞扫描和云日志审计接口。

    已购买漏洞扫描服务云日志审计服务时需要执行本步骤。

    请按照如下方式配置GE0/0/2接口。请保证上报日志的资产与此IP地址路由可达。
    1. 选择网络 > 接口
    2. 单击GE0/0/2对应的,按照如下参数配置接口。

      安全区域

      trust

      模式

      路由

      IPv4

      IP地址

      192.168.56.10/24
  9. 配置业务参数(漏洞扫描服务
    1. 选择策略 > 安全策略 > 安全策略,单击“新建安全策略”,根据不同服务配置不同的安全策略。
      表1 上行口在untrust域,资产在trust域场景

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      ipsec-tunnel

      local

      untrust

      any

      any

      udp: 隧道协商

      允许

      vss

      untrust

      trust

      any

      any

      any: 漏洞扫描

      允许
      表2 上行口在untrust域,资产在untrust域场景

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      ipsec-tunnel

      local

      untrust

      any

      any

      udp: 隧道协商

      允许
      表3 上行口在trust域,资产在trust域场景

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      ipsec-tunnel

      local

      trust

      any

      any

      udp: 隧道协商

      允许
      表4 上行口在trust域,资产在untrust域场景

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      ipsec-tunnel

      local

      trust

      any

      any

      udp: 隧道协商

      允许

      vss

      trust

      untrust

      any

      any

      any: 漏洞扫描

      允许
    2. 单击右上角“保存”,在系统显示界面单击“确定”,保存配置以避免设备重启后配置丢失。
      图7 保存配置

  10. 配置业务参数(云日志审计服务
    1. 选择策略 > 安全策略 > 安全策略,单击“新建安全策略”,根据不同服务配置不同的安全策略。

      表5中的源安全区域和目的安全区域为举例说明,请根据资产实际所处的区域配置。

      表5 安全策略

      服务类型

      安全策略名称

      源安全区域

      目的安全区域

      源地址

      目的地址

      服务

      动作

      云日志审计服务

      trust-local

      trust

      local

      any

      any

      udp:资产上传日志到防火墙。

      允许

      local-untrust

      local

      untrust

      any

      any

      any

      允许
    2. 单击右上角“保存”,在系统显示界面单击“确定”,保存配置以避免设备重启后配置丢失。
      图8 保存配置

相关文档