-.z.USG6310S防火墻配置說(shuō)明概述防火墻使用場(chǎng)景為子站保護(hù)管理機(jī)（安全I(xiàn)I區(qū)）接入站內(nèi)繼保保護(hù)裝置（安全I(xiàn)區(qū)），通過(guò)對(duì)IP地址及端口進(jìn)行限制，達(dá)到阻止非法訪問(wèn)的目的。為方便現(xiàn)場(chǎng)調(diào)試及日后維護(hù)工作現(xiàn)規(guī)定如下：防火墻ETH0的IP固定為，用作配置用；防火墻ETH0接從交換機(jī)過(guò)來(lái)的網(wǎng)線；防火墻ETH4接從子站管理機(jī)過(guò)來(lái)的網(wǎng)線。登錄將筆記本通過(guò)網(wǎng)線接入防火墻的ETH0，通過(guò)瀏覽器訪問(wèn):8443。用戶名：admin、密碼：Admin123（初始密碼）進(jìn)行配置，第一次登錄時(shí)需要修改密碼，將密碼改為“Nice2003”。登錄后設(shè)置界面如下圖所示圖STYLEREF1\s2SEQ圖\*ARABIC\s11登錄首頁(yè)網(wǎng)絡(luò)配置點(diǎn)擊快捷按鈕“網(wǎng)絡(luò)”,可以對(duì)所使用的接入口進(jìn)行配置，操作順序如下圖所示：裝置后面板網(wǎng)口標(biāo)識(shí)0至7與配置頁(yè)面中接口名稱對(duì)應(yīng)關(guān)系如下：后面板ETH0對(duì)應(yīng)配置頁(yè)面中接口GE0/0/0后面板ETH1對(duì)應(yīng)配置頁(yè)面中接口GE0/0/1…后面板ETH7對(duì)應(yīng)配置頁(yè)面中接口GE0/0/7ETH0配置ETH保留作為配置使用。出廠時(shí)已經(jīng)設(shè)好，無(wú)需變更。圖STYLEREF1\s3SEQ圖\*ARABIC\s11ETH0配置ETH1配置選擇GE0/0/1行右則的編輯，在彈出的界面中設(shè)置如下：圖STYLEREF1\s3SEQ圖\*ARABIC\s12ETH1配置配置項(xiàng)如下：別名：保護(hù)安全區(qū)域：trust模式：交換連接類型：Access確定后第一次操作會(huì)彈出提示，如下圖所示，確定即可。圖STYLEREF1\s3SEQ圖\*ARABIC\s13模式切換確認(rèn)提示ETH4配置選擇GE0/0/4行右則的編輯，在彈出的界面中設(shè)置如下：圖STYLEREF1\s3SEQ圖\*ARABIC\s14ETH4配置配置項(xiàng)如下：別名：子站安全區(qū)域：dmz模式：交換連接類型：Access對(duì)象配置對(duì)象配置中主要配置需放行的IP及端口號(hào)，IP在“地址”中配置、端口號(hào)在“服務(wù)中配置”，配置操作順序如下圖所示：圖STYLEREF1\s4SEQ圖\*ARABIC\s11對(duì)象配置操作順序地址配置首次配置選擇“新建”，如已有配置則選擇“編輯”，配置界面如下圖所示：圖STYLEREF1\s4SEQ圖\*ARABIC\s12保護(hù)IP配置注：第行可配置1個(gè)IP/*圍或MAC地址，行之間使用回車分隔；掩碼可以使用255.255.*.*樣式，也可使用掩碼位數(shù)來(lái)表示；IP配置支持多種方式，若連續(xù)的IP，可在首末2個(gè)IP之間通過(guò)“-”連接，如；單個(gè)IP配置，其掩碼必須為或32，否則保存時(shí)其最后1至2段會(huì)變成0；新建地址分兩部分，一是可以通過(guò)IP，一是需要屏蔽的IP圖STYLEREF1\s4SEQ圖\*ARABIC\s13子站地址配置服務(wù)配置服務(wù)配置服務(wù)配置中我們選擇放行的端口，根據(jù)實(shí)際配置：常用放行的端口如下：icmp:ping服務(wù)服務(wù)組配置為方便選擇及管理，將子站與保護(hù)通信的端口歸到保護(hù)通信組中。策略點(diǎn)擊快捷按鈕“策略”,可以對(duì)所使用的策略進(jìn)行配置，操作順序如下圖所示：圖STYLEREF1\s5SEQ圖\*ARABIC\s11策略配置順序通過(guò)策略配置對(duì)需要從防火墻放行的IP及服務(wù)進(jìn)行配置，配置如下：圖STYLEREF1\s5SEQ圖\*ARABIC\s12子站至保護(hù)策略圖STYLEREF1\s5SEQ圖\*ARABIC\s13保護(hù)至子站策略保存配置修改完畢，按界面右上角“保存”，如下圖所示保存所做的配置。圖STYLEREF1\s6SEQ圖\*ARABIC\s11保存配置重啟點(diǎn)擊快捷按鈕“系統(tǒng)”,在左側(cè)目錄樹(shù)中選擇“系統(tǒng)重啟”，選擇“保存并重啟”，彈出確認(rèn)對(duì)話框，確定即可。重啟后所做的配置即生效，防火墻裝置重啟后至系統(tǒng)正常時(shí)間較長(zhǎng)。備份點(diǎn)擊快捷按鈕“系統(tǒng)”,在左側(cè)目錄樹(shù)中選擇“配置文件管理”，選擇“導(dǎo)出”，在彈出的對(duì)話框中選擇文件備置位置及文件名，確定即可。圖STYLEREF1\s8SEQ圖\*ARABIC\s11備份導(dǎo)出復(fù)位當(dāng)無(wú)法測(cè)試出防火墻的登錄密碼后，可在防火墻通電正常運(yùn)行后用頂端尖硬的物體去捅防火墻后面板上RST鍵5秒以上，防火墻會(huì)清空當(dāng)前配置恢復(fù)出廠設(shè)置。復(fù)位過(guò)程中前面板SYS燈先熄滅、后閃爍最后長(zhǎng)亮，如果想快速啟動(dòng)可在按RST鍵5秒后關(guān)電重啟防火墻。附錄同一安全區(qū)域多個(gè)網(wǎng)口同一安全區(qū)域如trust若有多個(gè)網(wǎng)線接入，將接入網(wǎng)口的安全區(qū)域配置成待加入的安全區(qū)域即可。同區(qū)域內(nèi)多個(gè)網(wǎng)口間是互通，與交換機(jī)類似。對(duì)象及策略無(wú)需特殊配置。圖STYLEREF1\s9SEQ圖\*ARABIC\s11同安全區(qū)域多個(gè)網(wǎng)口接入配置案例!SoftwareVersionV500R001C30SPC100!Lastconfigurationwassavedat2017-08-2101:42:05UTC*sysnameUSG6300*undol2tpsendaccmenablel2tpdomainsuffi*-separator*ipsecsha2patibleenable*undofactory-configurationprohibit*undotelnetserverenableundotelnetipv6serverenable*clocktimezoneBeijingadd08:00:00*hrpconfigurationauto-check1440*firewalldetectftp*firewalldefendactiondiscard*logtypetrafficenablelogtypesyslogenablelogtypepolicyenableundologtypethreatenableundologtypeurlenableundologtypeumenable*undodataflowenable*saforce-detectionenable*ispname"chinamobile"setfilenamechina-mobile.csvispname"chinauni"setfilenamechina-uni.csvispname"chinatele"setfilenamechina-tele.csvispname"chinaeducationnet"setfilenamechina-educationnet.csv*user-manageweb-authenticationsecurityport8887password-policylevelhighuser-managesingle-sign-onaduser-managesingle-sign-ontsmuser-managesingle-sign-onradiususer-managesso-syncradiussettinguser-managesecurityversiontlsv1.1tlsv1.2*firewallidsauthenticationtypesha256*snmp-agentsessionhistory-ma*-numberenable*web-managersecurityversiontlsv1.1tlsv1.2web-managerenableweb-managersecurityenable*firewalldataplanetomanageplaneapplication-apperceivedefault-actiondrop*updatescheduleips-sdbdaily22:10updatescheduleav-sdbdaily22:10updateschedulesa-sdbdaily22:10updateschedulecdaily22:10*ipvpn-instancedefaultipv4-family*ipaddress-set保護(hù)地址typeobject*ipaddress-set子站地址typeobjectaddress051mask32*time-rangeworktimeperiod-range08:00:00to18:00:00working-day*aaaauthentication-schemedefaultauthentication-schemeadmin_localauthentication-schemeadmin_radius_localauthentication-schemeadmin_hwtacacs_localauthentication-schemeadmin_ad_localauthentication-schemeadmin_ldap_localauthentication-schemeadmin_radiusauthentication-schemeadmin_hwtacacsauthentication-schemeadmin_adauthentication-schemeadmin_ldapauthorization-schemedefaultaccounting-schemedefaultdomaindefaultservice-typeinternetaccessssl-vpnl2tpikeinternet-accessmodepasswordreferenceusercurrent-domainmanager-useraudit-adminpasswordcipher%%nQ*1YTEI~m/KF=h;&'6)jh3`D2e=!|2t2e%(*8*T"dYjh6)%%service-typewebterminallevel15manager-userapi-adminpasswordcipher%%+`^VN+p~RIl]*Y'yIIT+3(8B8G)*:zmSCqC&uOr4jk;3(;+%%service-typeapilevel15manager-useradminpasswordcipher%%VA>`3aSb0(40`m7kA%,L-pm>[HVj4O-WZsc6dl{p~,L0%%%service-typewebterminallevel15rolesystem-adminroledevice-adminroledevice-admin(monitor)roleaudit-adminbindmanager-useraudit-adminroleaudit-adminbindmanager-useradminrolesystem-admin*l2tp-groupdefault-lns*interfaceGigabitEthernet0/0/0undoshutdownipbindingvpn-instancedefaultservice-managehttppermitservice-managehttpspermitservice-managepingpermit*interfaceGigabitEthernet0/0/1portswitchundoshutdownportlink-typeaccessalias保護(hù)*interfaceGigabitEthernet0/0/2undoshutdown*interfaceGigabitEthernet0/0/3undoshutdown*interfaceGigabitEthernet0/0/4portswitchundoshutdownportlink-typeaccessalias子站*interfaceGigabitEthernet0/0/5undoshutdown*interfaceGigabitEthernet0/0/6undoshutdown*interfaceGigabitEthernet0/0/7undoshutdown*interfaceVirtual-if0*interfaceCellular0/0/0*interfaceNULL0*firewallzonelocalsetpriority100*firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0addinterfaceGigabitEthernet0/0/1*firewallzoneuntrustsetpriority5*firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/4*undosshserverpatible-ssh1*enable*user-interfacecon0authentication-modeaaauser-interfacevty04authentication-modeaaaprotocolinboundsshuser-interfacevty1620*sa*location*multi-interfacemodeproportion-of-weight*right-