当我们拿到一个新的华为防火墙,需要开局配置时,基本上有三种方法:第一种,直接console线进入到命令行,直接配置,这适合高手。第二种方法,直接进入到web界面配置,不使用web向导去配置。第三种方法,就是直接使用WEB快速向导去配置,对于很多新手来说,很多厂家路由器或者防火墙的WEB向导配置真的太适合小白去使用了。话不多说,今天我来看一下,华为防火墙web向导如何开局配置?
WEB向导配置过程
需要将自己的电脑网口连接到华为防火墙的G0/0/0号口,默认的IP地址是192.168.0.1,然后打开自己的电脑网卡。
然后更改自己的网卡IP地址,将地址更改为192.168.0.2。
然后使用电脑去ping 192.168.0.1防火墙的G0/0/0号口IP地址,发现可以正常ping通。
通过网页输入192.168.0.1会默认跳转到https://192.168.0.1:8443,然后选择高级。
选择继续访问192.168.0.1(不安全)
这时就跳出来华为防火墙的WEB登录界面了,默认的用户名:admin,密码:Admin 123
新防火墙,开局后,会跳出来,快速向导,直接下一步。
配置设备主机名称,可以修改防火墙密码,然后下一步。
设置系统时间,可以选择手动配置,或者网络时间同步。
选择接入互联网方式:对于这种上网方式大家应该不陌生,在这里再简单的讲一下:
静态IP地址:就是专线,这个只有大公司才用的起,到营业厅办理了专线业务后,他们就会给你分配一下静态公网IP地址,然后你把这个运营商给你分配的静态公网IP地址输入在这里就可以了。
如果你的防火墙架构上面还有路由器,当然这里也可以选择静态IP地址,只不过这时的静态IP地址,需要配置路由器下面的私网IP地址。
DHCP:动态获取IP地址,如果你的防火墙直接连接猫,猫作为路由转发模式,那么这里就可以选DHCP方式。
如果你的防火墙上联是一个路由器,那么这里也可能配置静态IP地区或者DHCP动态获取,这个取决于你上联路由器互联时,有没有启用DHCP服务。如果启用了DHCP,那么这里就可以选择DHCP,如果没有启用,还是得配置静态IP地址。
PPPOE:这个很好理解,当我们上联的是猫时,猫的模式是桥接,那这时,我们就选择PPPOE拨号上网,当猫更改为桥接模式后,装维的小哥,会给你提供一个带宽的上网帐号和密码。
4G:就是我们手机用的卡,4G上网卡,由于很偏远的地方,不好接光纤,但是又要临时有网,就可以通过4G上网卡,去上网。
我这里上联的是一个路由器,我这里选择DHCP,下一步。
然后上联的路由器连接到这个防火墙的G0/0/1号口,也就是把防火墙的G0/0/1号口当外网口,然后下一步。
防火墙的内网口,局域网接口,我选择G0/0/3号口作为防火墙的内网口,然后下一步。
这时需要给局域网口配置一个IP地址段,我配置的内网IP地址段是192.168.3.0网段,同时勾选了启用局域网DHCP服务,然后下一步。
下一步,是配置的信息核对,查看下没有问题,直接应用。
正在应用。
这时防火墙提示,恭喜您,您已经顺利完成快速接入互联网的配置。然后点击完成。
测试结果
将电脑连接到G0/0/3号口,然后将网卡更改为自动获取,发现可以正常获取到IP地址。
首先还是去ping,去ping一个公网的IP地址218.2.135.1发现可以正常ping通,说明我们的初始化配置已经成功。但是当我去ping www.baidu.com域名时,发现无法ping通。
这时查看电脑的DNS是默认的192.168.3.1防火墙自身的DNS,那这个该如何解决呢?直接到192.168.3.1接口的DHCP中,将DNS更改为公网的DNS。
更改完成之后,重新获取一下IP地址,现在可以看到DNS已经更改。
这时再去ping www.baidu.com发现就可以正常ping通了。
但是这时会有很多人会问,如果我去ping 192.168.3.1电脑的网关,可以ping通吗?
答案:是不通的。如下图所示,为什么ping www.baidu.com可以ping通,ping自己的网关不通。可以看到右下角的网络连接显示的正常联网,但是就是ping不通网关。
使用web界面打开192.168.3.1也是无法打开的。
这是由于当局域网电脑访问到防火墙本身local接口的时候,也是需要配置允许访问策略的。华为的访问配置比较简单,不需要去配置trust-local的策略允许访问,只需要找到G0/0/3接口,点击后面的编辑按钮。但是华三的路由器需要。
然后在启用访问管理,将HTTP,HTTPS,Ping三个服务勾选。
勾选完成之后,点击确定。
这时,再去ping防火墙的192.168.3.1就可以Ping通了。
使用https访问192.168.3.1:8443,也可以正常打开web界面了。
更深一层的理解
那我们使用快速向导配置,的确很简单,这个防火墙,不是稍微懂网络的就可以配置的么?的确是这样的,简单上网配置,不需要太高的技术就可以配置成功。
但是你还要知道的是,你看似点了几步的快速向导配置,你要明白原理,你点了那几步,到底防火墙自动帮你哪些配置,如果你不使用快速向导配置,那你应该知道配置哪些选项?
使用快速向导,直接省去了配置接口划分的区域,untrust区域有哪些接口。
trust区域有哪些接口。
接口的区域,在你配置外网上网和内网上网时,防火墙就自动帮你把这两个接口划分到不同的区域了。
当你在快速向导里面,勾选了DHCP服务,你只是勾选了一下,防火墙就把DHCP的接口配置,就已经配置完成了。
当你在快速配置向导里面没有配置安全策略,但是当局域网要访问外网时,防火墙需要开通一条trust到untrust区域的一条允许的安全策略,防火墙已经帮你配置完成了。
还有一个NAT配置,你在快速向导里面没有配置的NAT配置,防火墙也默认帮你配置完成了,只不过你还不知道。
当然,还有一条默认路由,你在快速向导里面没有配置默认路由,但是防火墙已经帮你配置完成了。
你看到的快速向导配置,只是表面,其实以上的很多配置,防火墙都在你做快速向导配置时,自动帮你配置上去了。
最后将配置保存即可。