锐捷防火墙作为企业网络安全的重要设备,其配置命令的掌握对于网络管理员至关重要,本文将详细介绍锐捷防火墙的基本配置命令,包括接口配置、安全策略配置、NAT配置、VPN配置以及日志监控等核心内容,帮助用户快速上手并有效管理防火墙。
防火墙基础配置
在配置防火墙之前,首先需要通过Console口或Telnet/SSH方式登录到设备管理界面,默认情况下,防火墙的管理地址为192.168.1.1,用户名和密码均为admin,登录后,进入系统视图,开始基础配置。
-
系统名称配置
system-view sysname RG-Firewall
此命令用于设置防火墙的系统名称,方便在多设备环境中区分管理。
-
管理接口配置
假设管理VLAN为VLAN 1,IP地址为192.168.1.254/24,配置如下:
(图片来源网络,侵删)interface Vlan-interface 1 ip address 192.168.1.254 255.255.255.0 description Management
配置完成后,可通过
ping命令测试管理连通性。 -
用户登录认证配置
为提高安全性,建议配置本地用户认证:local-user admin password cipher YourPassword service-type telnet ssh authorization-attribute level 3
level 3表示最高权限级别,可根据需要调整。
接口安全配置
防火墙的接口是内外网络数据流的出入口,需合理划分区域并配置安全策略。
-
接口区域划分
常见的区域划分包括Trust(信任区)、Untrust(非信任区)和DMZ(隔离区),假设eth0/0/1连接内网,划分至Trust区域:interface GigabitEthernet0/0/1 description Internal port link-mode route zone trust
eth0/0/2连接外网,划分至Untrust区域:
interface GigabitEthernet0/0/2 description External port link-mode route zone untrust
-
接口IP配置
为Trust和Untrust区域接口配置IP地址:interface GigabitEthernet0/0/1 ip address 192.168.10.1 255.255.255.0 interface GigabitEthernet0/0/2 ip address 203.0.113.1 255.255.255.0
安全策略配置
安全策略是防火墙的核心,用于控制不同区域间的数据流访问。
-
创建安全策略
允许内网用户访问外网HTTP服务:security-policy name permit-http source-zone trust destination-zone untrust source-address 192.168.10.0 0.0.0.255 destination-address any service http action permit schedule always
-
拒绝策略配置
默认情况下,所有未明确允许的流量将被拒绝,可添加拒绝策略记录日志:security-policy name deny-all source-zone untrust destination-zone trust action deny log enable
-
策略优先级调整
默认策略按配置顺序匹配,可通过sequence调整优先级:security-policy sequence 10 name high-priority ...
NAT地址转换配置
NAT用于隐藏内网地址,实现多用户共享公网IP。
-
源NAT配置(PAT)
内网用户访问外网时,将源IP转换为防火墙出口IP:interface GigabitEthernet0/0/2 nat outbound
-
目的NAT配置(DNAT)
将外网用户访问的公网端口映射至内网服务器:nat-policy destination-zone untrust destination-address 203.0.113.1 0.0.0.0 service tcp 80 action source-nat easy-ip
-
静态NAT配置
将内网服务器192.168.10.100的80端口映射至公网203.0.113.100的80端口:nat static protocol tcp global 203.0.113.100 80 inside 192.168.10.100 80
VPN配置
VPN用于实现分支机构或远程用户的安全接入。
- IPSec VPN配置
- 定义IKE对等体:
ike peer branch-office pre-shared-key cipher YourKey remote-address 203.0.113.2
- 定义IPSec安全提议:
ike proposal 1 encryption-algorithm aes-256 authentication-algorithm sha2-256 dh group14
- 定义IPSec策略:
ipsec policy vpn-policy 1 isakmp security acl 3000 ike-peer branch-office proposal 1
- 定义ACL匹配流量:
acl number 3000 rule 10 permit ip source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
- 定义IKE对等体:
日志与监控配置
-
日志服务器配置
将日志发送至指定服务器(IP:192.168.1.100):log host 192.168.1.100 source-interface Vlan-interface 1 channel logbuffer info
-
实时监控命令
- 查看会话表:
display security-session table
- 查看策略命中统计:
display security-policy statistics
- 查看会话表:
常用配置命令速查表
| 功能类别 | 命令示例 |
|---|---|
| 系统视图进入 | system-view |
| 接口IP配置 | interface GigabitEthernet0/0/1 + ip address 192.168.1.1 24 |
| 区域划分 | zone trust + add interface GigabitEthernet0/0/1 |
| 安全策略创建 | security-policy + source-zone trust + action permit |
| NAT配置 | nat outbound(源NAT) + nat static ...(静态NAT) |
| VPN配置 | ike peer ... + ipsec policy ... |
| 保存配置 | save |
相关问答FAQs
问题1:如何验证防火墙安全策略是否生效?
解答:可通过以下步骤验证:
- 使用
display security-session table命令查看当前会话表,确认策略匹配的流量是否建立会话。 - 在内网主机上执行
tracert或telnet测试目标端口,观察防火墙日志(display logbuffer)中是否有策略命中记录。 - 若策略未生效,检查源/目的区域、地址范围及服务端口是否配置正确,并确认策略未被其他更高优先级策略覆盖。
问题2:防火墙无法上网时如何排查?
解答:排查步骤如下:
- 检查接口状态:使用
display interface确认内外网接口是否为UP状态,IP地址配置是否正确。 - 检查路由表:执行
display ip routing-table,确认是否有默认路由指向下一跳网关(如0.0.0 0.0.0.0 ...)。 - 检查NAT配置:验证
nat outbound是否在出口接口应用,以及静态NAT映射是否正确。 - 检查安全策略:确认是否有允许内网访问外网的策略(如
source-zone trust到destination-zone untrust的permit规则)。 - 检查ISP链路:联系运营商确认公网线路是否正常。
