華為防火牆實戰指南

《華為防火牆實戰指南》針對華為HCNA安全課程所涉及的實驗內容，從基本操作開始，由淺入深地介紹華為防火牆產品的各種配置及其使用。為方便讀者閱讀，本書採用命令行和圖形界面兩種配置模式進行介紹，同時為了保證實驗的真實性，所有實驗不使用eNSP模擬器，全部使用物理防火牆和運營商提供的網際網路IP位址，讓實驗更具有實戰參考價值。

《華為防火牆實戰指南》語言通俗易懂，可操作性強，可作為華為USG防火牆管理人員參考用書，也可作為華為HCNA安全課程的實驗手冊。

第 1章 防火牆基礎知識 1

1.1 防火牆的概念 1

1.2 防火牆的發展歷史 2

1.2.1 包過濾防火牆 2

1.2.2 代理防火牆 2

1.2.3 狀態檢測防火牆 2

1.2.4 統一威脅管理防火牆 2

1.2.5 下一代防火牆 2

1.3 華為USG6000系列防火牆介紹 3

1.3.1 精準的訪問控制 3

1.3.2 簡單的策略管理 3

1.3.3 全面的威脅防護 4

1.3.4 快速的性能體驗 4

1.3.5 華為USG6000系列防火牆產品線 4

1.4 華為USG防火牆安全區域及策略介紹 5

1.4.1 安全區域的基本概念 5

1.4.2 安全區域與接口關係 6

1.4.3 安全策略的基本概念 6

1.5 華為防火牆NAT介紹 6

1.5.1 源NAT的基本原理 7

1.5.2 NAT Server的基本原理 7

1.5.3 NAT環境下的路由黑洞 7

1.6 華為防火牆VPN介紹 7

1.6.1 VPN技術 8

1.6.2 GRE VPN技術 9

1.6.3 L2TP VPN技術 9

1.6.4 IPSec VPN技術 10

1.6.5 SSL VPN技術 11

1.7 華為防火牆雙機熱備介紹 12

1.7.1 為什麼使用雙機熱備技術 12

1.7.2 VRRP介紹 12

1.7.3 VGMP介紹 13

1.8 本書實驗物理設備和拓撲 14

1.8.1 實驗設備類型 14

1.8.2 實驗設備介紹 14

1.8.3 實驗拓撲 15

1.8.4 實驗台操作 16

1.9 本章小結 22

第 2章 防火牆基本操作 23

2.1 使用Console登錄防火牆 23

2.1.1 實驗目的 23

2.1.2 實驗設備 23

2.1.3 實驗拓撲 24

2.1.4 實驗步驟 24

2.2 使用Web登錄防火牆 26

2.2.1 實驗目的 26

2.2.2 實驗設備 26

2.2.3 實驗拓撲 26

2.2.4 實驗步驟 26

2.3 使用Telnet登錄防火牆 36

2.3.1 實驗目的 36

2.3.2 實驗設備 36

2.3.3 實驗拓撲 36

2.3.4 實驗步驟 37

2.4 使用SSH登錄防火牆 40

2.4.1 實驗目的 41

2.4.2 實驗設備 41

2.4.3 實驗拓撲 41

2.4.4 實驗步驟 41

2.5 恢復防火牆密碼 45

2.5.1 實驗目的 46

2.5.2 實驗設備 46

2.5.3 實驗拓撲 46

2.5.4 實驗步驟 46

2.6 防火牆其他日常配置 55

2.6.1 實驗目的 56

2.6.2 實驗設備 56

2.6.3 實驗拓撲 56

2.6.4 實驗步驟 56

2.7 本章小結 61

第3章 配置防火牆轉發策略 62

3.1 配置基本轉發策略 62

3.1.1 實驗目的 62

3.1.2 實驗設備 62

3.1.3 實驗拓撲 62

3.1.4 實驗步驟 62

3.2 配置基於IP位址的轉發策略 71

3.2.1 實驗目的 71

3.2.2 實驗設備 71

3.2.3 實驗拓撲 71

3.2.4 實驗步驟 71

3.3 本章小結 79

第4章 配置使用NAT 80

4.1 配置出接口地址源NAT轉換 80

4.1.1 實驗目的 80

4.1.2 實驗設備 80

4.1.3 實驗拓撲 81

4.1.4 實驗步驟 81

4.2 配置NAPT源NAT轉換 84

4.2.1 實驗目的 84

4.2.2 實驗設備 85

4.2.3 實驗拓撲 85

4.2.4 實驗步驟 85

4.3 配置No-PAT源NAT轉換 89

4.3.1 實驗目的 89

4.3.2 實驗設備 89

4.3.3 實驗拓撲 90

4.3.4 實驗步驟 90

4.4 配置NAT伺服器映射 94

4.4.1 實驗目的 94

4.4.2 實驗設備 94

4.4.3 實驗拓撲 95

4.4.4 實驗步驟 95

4.5 本章小結 102

第5章 配置防火牆雙機熱備 103

5.1 配置主備備份模式的雙機熱備 103

5.1.1 實驗目的 103

5.1.2 實驗設備 103

5.1.3 實驗拓撲 104

5.1.4 實驗步驟 104

5.2 配置負載分擔模式的雙機熱備 128

5.2.1 實驗目的 128

5.2.2 實驗設備 128

5.2.3 實驗拓撲 128

5.2.4 實驗步驟 128

5.3 本章小結 134

第6章 配置使用VPN 135

6.1 配置使用GRE VPN 135

6.1.1 實驗目的 135

6.1.2 實驗設備 135

6.1.3 實驗拓撲 136

6.1.4 實驗步驟 136

6.2 配置使用L2TP VPN 155

6.2.1 實驗目的 155

6.2.2 實驗設備 155

6.2.3 實驗拓撲 155

6.2.4 實驗步驟 155

6.3 配置使用IPSec VPN 169

6.3.1 實驗目的 169

6.3.2 實驗設備 169

6.3.3 實驗拓撲 170

6.3.4 實驗步驟 170

6.4 配置使用SSL VPN 186

6.4.1 實驗目的 187

6.4.2 實驗設備 187

6.4.3 實驗拓撲 187

6.4.4 實驗步驟 187

6.5 配置使用GRE over IPSec VPN 200

6.5.1 實驗目的 201

6.5.2 實驗設備 201

6.5.3 實驗拓撲 201

6.5.4 實驗步驟 201

6.6 配置使用L2TP over IPSec VPN 209

6.6.1 實驗目的 209

6.6.2 實驗設備 209

6.6.3 實驗拓撲 210

6.6.4 實驗步驟 210

6.7 配置使用DSVPN 215

6.7.1 實驗目的 215

6.7.2 實驗設備 215

6.7.3 實驗拓撲 215

6.7.4 實驗步驟 216

6.8 本章小結 223

第7章 配置使用UTM 224

7.1 升級UTM庫 224

7.1.1 實驗目的 224

7.1.2 實驗設備 224

7.1.3 實驗拓撲 224

7.1.4 實驗步驟 225

7.2 配置UTM防病毒 227

7.2.1 實驗目的 227

7.2.2 實驗設備 227

7.2.3 實驗拓撲 228

7.2.4 實驗步驟 228

7.3 配置UTM入侵防禦 230

7.3.1 實驗目的 230

7.3.2 實驗設備 231

7.3.3 實驗拓撲 231

7.3.4 實驗步驟 231

7.4 本章小結 235

第8章 配置用戶認證 236

8.1 配置密碼認證 236

8.1.1 實驗目的 236

8.1.2 實驗設備 236

8.1.3 實驗拓撲 236

8.1.4 實驗步驟 236

8.2 本章小結 240

第9章 生產環境案例 241

9.1 華為USG防火牆與思科ASA防火牆IPSec VPN配置 241

9.1.1 實驗目的 241

9.1.2 實驗設備 241

9.1.3 實驗拓撲 241

9.1.4 實驗步驟 241

9.2 華為USG防火牆在中小企業的典型套用 257

9.2.1 實驗目的 257

9.2.2 實驗設備 257

9.2.3 實驗拓撲 257

9.2.4 實驗步驟 257

9.3 本章小結 268