华为6670防火墙ipsec配置实例过程

好，我们来讲下一个啊，这个 l t p ow， 而 p 赛特，呃，单纯的 led p 是没有加密功能的，我们可以配合 ip 赛特来结合，就是说 在 ip 赛特里面跑 l t p， 这样的话来够能能够用 ip 赛特来保护这个 l t p 的那个安全性，当然它的延迟会比 r t p p 会高一些， 那么我们来看一下怎么配吧。环境很简单 啊，跟之前一样，一个测试的环境，电脑用来接到这里测试，然后呢，这里借了，借了万瓦方 墙，然后有个踹死的一个电焖机，我们尽量是访问他的那个内网的电焖机功能电焖机去， 那么我们这里做的只是基本的对接，包括简单的安全策略，还有耐特工呢，其他的我们没有做，那么这个时候我们来做什么呢？首先我们还是老样子啊，先要放心 那个 x s 的到 logo 的流量这里注意啊，我们这里的流量多了很多，第一个我们多了呀，突击 p 啊呀，突击 p 是有的，在这个基础上面我们多了 一个 i k e 的第一阶段，也就是 s 看某 udp 的五百端口号以及 esp 这两个协议。 所以呢，你如果实在不确定的话，我啊那么建议大家就是直接 楼口，然后放行，我们到到这个门店我们不严格匹配他的服务了，我们直接这样放行就可以 可以了，然后我们配置 ip 赛的，呃， ip 标不 ip 赛的有两个地方可以配，第一个呢，我们这里可以看到有一个这个我们直接进入这个场地就可以配了。 还有我们在 ip 赛腾里面新降的时候有一个点到多点，我们可以选择 ltv p o vip 赛的，这样的话也是可以， 这个时候我们在，我们两两个都可以啊，我们这里就选一个，然后对端，我们不不选择，因为是那个，然后我们选择 paphone 恰谱都允许， 这里我新建一个地址，吃 app 幺九二点幺六八点幺零幺点一二幺九二点幺六八点幺零幺点二百五十， 好，从二开始吧。啊， dns 的话我们可以分配一个，或者说 啊这个 ds 有两个作用啊，就是说如果你的内网涉及到域名解析的话，我们需要给他分配一个内网的 ds， 让他能够解析内网的服务。还有一个就是说一旦你要突 tp 播录到防火墙的时候，你所有的流量都被引到的 朋友圈了，你需要上万网的话，你需要分配一个电 s k， 他按他从你这边的出口的电 s 出去，这样的话他才能够上万网。所以呢这有两个作用，如果你不分配的话，你会发现你上不了网的，所以呢这里注意一下， 然后加密的流量，这个流量就是我们原根部，我们都任意，然后协议呢，我们选 udp 端口号原端口幺七零幺，这个是 led p 的端口，我们选择确定，就是说 ip 赛特只加密 ltv 的流量，其他的我们不加密。然后这里有一个接受任意对端，任意的那个过来的那个客户端的那个安全加密协商的， 这样的话就不管你是安卓的也好，苹果的也好啊，微软的也好，都可以帮你协商，那么我们点击 好，这个时候我们可以来试一下啊啊，我们把这个删掉，我们重新建一个， 新建一个，然后选择连接到工作区域 啊，二零二点一百点一点一后天，然后我们 选择 led p 开始的一二三。哦，账号密码我们还没建立呢啊，我们来建立一下啊，账号密码的话，我们 我们这里有一个对象，里面有一个用户，我们在这里创建就行了。好，这里之前我是忘记删了啊，这里有一个也有个账号密码忘记删了。 当这个创建以后，我们首先选一下，之前我们这里选的是 led p， 那么我们这里选的是证书，那么这里不一样了啊，我们选择的是预贡小蜜药，我们输入那个蜜药， 然后还是一样选择未加密或者是那个，然后我们来连一下。好，已经连上了啊，怎么看我们用的是不是 ip 赛的呢？ 我们在这个详细信息里面你会发现有一个加密用的是 ip 赛的，用的是 a e s 一百二十八位的加密 啊。还有可以看的地方就是在网络这里有一个 ip 赛的，有一个监控，可以发现他的 ip 还可以协商，跟 ip 赛可协商都有，包括 led p p 里面有一个绘画都有。然后我们来拼一下呀，啊，那个幺九二点幺六八点两百点二，也就是我们的这一台服务器 啊，你会发现不通，因为我们我们刚刚只放行了。什么啊？只放行了，就是说当我们的流量从 发起到那个防火墙建立的流量，我们是放心的，但实际的流量从踹石的就建立后，他会从踹石的到达巅峰之一， 这个流量我们是没有放行的，所以呢，我们这边需要再添加一个策略，首创始的到 dmj， 我们允许 xs 到 dmj， 然后原地址，我们可以选什么呢？选那个要 ttp 的地址是那个就幺九二点幺六八点幺零幺点零 那个网段过来的，去往目的地，我们去往哪个呢？服务器的两百点二三十二，然后我们点确定， 这个时候我们再去拼，应该是可以了，你看 可以了啊，然后我们用外表来访问一下幺九二零幺 六八点两百点二啊，我看一下这个开了没有哦，等会啊， 我们我的八零没开，我开一下八零端口啊，然后我再访问一下，要加两百点两百点二。好，这个服务 ok， 就现在我已经播录到 内网里面，相当于在内网养，我可以访问任意的资源，只要你策略放心的得到，那就可以了啊。像苹果啊，苹果机他是必须得用 ltv p o vip 赛的的，因为他不支持纯 ltvp。 如果你是手机的话啊，手机安卓他是支持 led p 的，电脑端的话也支持。旧苹果的话，你只能用 vip p o wifi 的，如果你有平的或者 ipad 的这些的话，你只能说用这种方式来对接。

哈喽，大家好，这里是网络专家 vlog， 我是你们的黄老师，今天的话就帮一个朋友呢配置一个福气，外网映射的问题啊，然后这个朋友他的网络环境呢大概就是这个样子给大家画一下， 就像我们用电脑的这个画图工具来给大家画一下。 这朋友外网的话接的是一个华为的 usg 防火墙， usg 防火墙，然后在下面呢就接一台接入交换机，这个的话就是交换机啊， 然后交换机下面的话就分别接了两台啊服务器，一台呢是三零点三， 然后另外一台的话是三零点五， 然后呢他的网关的话就是在这台交换机上面的，然后在防火墙上面的话就接了一条运营商的外网线路， 然后这个朋友呢就希望他可以从家里就是从互联网访问到我们的这个三零点三以及三零点五，那么我们就需要在防火墙上面呢做这个啊浮区映射，做这个浮 雾气 映射，做这个技技术。那么今天 是怎么配的呢？首先的话我们就先把这些端口配置好，然后呢把路由呢也配置好， 路由的话也配置好，然后呢我们就通过在防火墙的这个啊接口上面的话做一个服务区映射， 然后呢就可以让我们的这个外网通过我们的这个公网例子再加端口号就可以访问我们的内网的业务了。然后现在的话我们测试一下，就用他们 这个公网的地址，然后呢加这个公网的端口，然后我们回车， 回车我们发现啊现在的话就再删了，这个呢就说明我们已经挑来到他内网的一些啊内容了，说明我们的这个 外网映射就做成了，然后我们在这边的话想要访问里面的一些内容呢，就可以访问了。然后我们大概来看一下这个网络，首先接口的话，我们先把这个外网配置到 m trust 这个端口， 然后呢把我们的策略的话也配置好，然后我们就配这个安全策略就可以。然后在这里还有一个 我们的那个 m a t 策略的话，是在这里啊 m a t 策略，然后点这个 m a t 策略，然后下面有个服务区映射，然后这里的话要呃跟大家讲要注意一点，就我们点开这条策略给大家看一下，我们在这个安全区域这里呢我们 一定要选这个 any 啊，如果我们选叉死的话会有问题的，因为我们的这个啊内，因为我们这这个是双线的，所以呢我们就选 any， 他从任何一个方向来做转换的都是可以的， 这个是一个关键点啊。好，那么今天的视频呢就到这里结束了，如果大家喜欢我视频可以点击关注，再见。

如果你觉得防火墙配置起来比较难，那么今天我们来讲一下防火墙配置的三个步骤，只要把这个流程搞懂以后呢，我们任何品牌防墙都可以搞定的，那么今天我们以华为的防火墙来做一个整体的配置流程， 我们通过这张图呢能看到，呃，这个方块呢是我们模拟的外网，那么这里面呢是我们企业内网， 我们怎么去配置防火墙能让我们这两台主机上网呢？当然我们这个交换器是一个傻瓜交接，我们不需要配置，那么现在我们就直接第一步呢，先打开防火墙，在防火墙我们第一步呢先要配置两个接口的地址， 那么首先第一步呢，我们需要给这个呃，零杠零杠一啊，我们配上一个外网接口地址呢，呃，二二零点一点一点二啊，这是 防火墙地址啊，他，当然呢是三十位的造泥巴。好，那么接下来呢，我们再给咱们内网口零杠零杠零啊，我们的一个内网的网关是幺九二点幺六八点一点一啊，这是二十四位的造泥巴。 那么其实我们这样配置完以后呢，这个地址呢，就是我们这两台啊终端设置的网关接口地址，配置好以后呢，下面我们还需要配置一条，缺省漏油啊我们， 呃，直销八个零六零点零点零点零，空格零点零点零点零。好，那我们下定了，指到二二零点一点一点一。好，这是我们外方的网关， 那么这样呢，我们还需要做一个安全策略的，一个配置定一个 policy 啊。呃，当然我们去选择是圆的创字区到目标到 ontrot 区，我们方向的是出去方向 啊，那我们呢定一条策略呢，为一个动作叫 permit。 好，那这是我们做完策略以后呢，接下来我们还要配置 nit 啊，在这里我们先定义一个外网的一个被转换的地址组啊，这里是地址组的 名字呢，为一啊，我们定地址是我们出户地址二，二零点一点一点二啊，二，二零点一点一点二。 好，那我们配置完以后呢，接下来我们需要调用 n i t 的一个策略啊， n i t 杠 policy c， 那我们也是同样定义他这个区域呢，为原区域串色，目标区域呢？为 on 串色出现方向 啊，这层我们也是创建第一条策略，我们啊创建一个动作叫 ok 做圆按按器啊，我们还需要定义就是哪些地址 能够备注恩爱七啊，我们臊死，原地址就是我们内网网站地址，幺九二点幺六八点一点零，反应码，零点零点零点二五五。 好，那这样我们做完以后呢，我们的 dress， 呃，地址走时机，接下来我们直接用 pcr 啊，我们去拼下外网地址，我们敲回车啊，咱们看能不拼通呢。那么这时候呢，我们看到啊，他是，呃不能通的， 那不能通的原因到底是什么呢？其实我们还放一件事，我们需要给内外网每个接口，我们需要划分区啊，这是一个呃重点啊， 在防火墙里面，那么我们先创建这个串色区域接口呢，我们添加接口，就我们内网接口呢，现在规划的是，呃，零杠零杠零啊，我们加进去以后呢，这个接口呢，他默认加进去了啊，我们在 同样方式在这个呃外网区安创的区，我们去把这个呃他的外网接口，我们规划是零杠，零杠一，现在我们再去做下尝试，我们去拼一下，二二零点一点一点一，应该是这次应该没问题了，对吧？

啊，我们接着把这个破谱再做一下。呃，现在把防火墙配置一下。配置这个防火墙，我先用纯命令的形式配置一下，做完这个下一个视频，然后用歪脖浏览器来配置防火墙。 嗯，他的默认密码是大写的 a， 然后 admin 艾特一二三， 那你改密码，改个密码，输入旧密码。 我们现在把接口划入相应的区域，先把昂创始的区域给做了， 帮我种 dm， 把借口都划到相应的区域里面，我们给借口配置 ip 地址，领口。二零二点二点二点一三四， 嗯，他默认默认所有的接口都是进聘的，进管理的，我们把接口所有的功能都放行，都打开。 四点一， 嗯， 我自己刚刚 三十味的烟。 嗯，我们现在增加两条静态旅游，一条静态旅游是指向运营商的，另一条静态旅游是指向回回网，内网。幺七二点幺六点，这一个网段的地址交给谁？ 运营商的是二零二点二点二点一， 嗯，防火墙的配置完了，然后我们现在要配置一下核心路由器， 嗯，核心交换机也要有一条静态绿油指向我们的防火墙。 零点零点零十六点，零点，零点零点一， 好像已经天亮了 啊，已经有了， 我们把防火墙放行一下， 嗯，防护墙默认的策略是所有都是给拒绝的，我们把防护墙的拒绝命令给他全部改成允许 nice policy screen policy default， default active command， 这就把所有的都已经放心了，但是这样做是不安全的啊。 然后我们再配置一下一人 ap， 就是 nice 转换 nice。 刚考了一次 内蒙，嗯，叫奈特， 嗯， igose， 英特费斯吉达贝特，出剪口是一杠零杠零口， 然后阿根廷木少斯奈特 evip。 啊，可以了。 我看路由器的地址 配过了啊？已经配过了， 武器。幺九二点幺零八点四点幺零 幺九二点幺六八点四点一。 嗯， 嘟， 嗯，现在已经通了。我们把 dmz 区域的一台福气里面的一个外包网站给他映射出去。嗯，我这里选的是随便 做了一个，是放在地盘的歪脖，这一个启动我们要在防火墙上给他映射一下。 net server， 葡萄 call tcp， 然后 global， 这里要填供网的地址。二零二点二点二点一， 然后内网的 instance 幺九二点幺六八点 十点幺零，没有了吗？ 不对，这是在 内网的幺九二点幺六八点四点幺零 幺九二点幺六八点四四二零二点二点二点一。 嗯，可以了。

大家好，我是隐私网络的王老师，今天我们来看一下华为防火墙的基础配置。首先我们应该了解一个概念，就是安全域， 对于防护墙来说，他是通过安全域来进行隔离数据的， 通过设定不同的安全域来设置数据的转发方向，或者是通过策略。 那么在华为防滑墙里面有四种安全域，一种呢是 local 一个，另一个呢是 trust， 第三个是 untrust， 第四个是 d m z。 我在这里给大家写一下， 安全域分为 logo、 trust、 untrust、 不信任的还有个 dmz 这四个， 对于 logo 来说，它是指防火墙内部的，指防火墙本身，那么它就指 logo。 那么对于创斯的安创斯特，包括 dmz 呢，都属于各个接口对于 的所在的个区域啊，这里边要指定哪个接口处于哪个区域，那么接口下所对应的设备就会处于这个区域之中， 通常情况下各个区域之间他们的信息是不互通的，必须通过策略来进行放行。那么在这里给大家说一下这个防火墙的配置的流程。 第一步呢， 将 端口，这里是将方块墙的端口，某一个端口，将防火墙的端口划分到安全域。第一步 比如说在这里边，你比如说有二号口，还有一个一号口，如果他们分数不同的安全域的话，就要划到不同的安全域中去。 你像我们现在这个脱谱结构，那么对于我们这个这个区域，我们是作为一个 信任的安全域就是 trust， 那么这一块呢是一个外网，外网区域我们通常认为它是 一个安特色就是不安全的区域，当然了它内部呢就是一个 logo， 这里面我们还可以 再划分出一个区域来。你比如说一个服务器的一个集群，那么外部网络要访问这个服务器集群的时候，那么我们是为了能够让外部网络直接能够访问这个外部区域，但同时又要保证 外部区域不能直接通过我们这个服务系集群来访问内部网络。我们可以设置一个 dmz， 就是非军事化区，就是一个缓冲区域， 他相当于说外部网络可以访问这个 dmz， 但是 dmz 却不能访问我们的内部网络， 通常我们的内部网络都是一个 trust， 就是一代可信任的网络之内。第二为端口设置 rp 地址， 端口设置 ip 地址。 第三步设置路由，设置路由，那么这个路由呢？一般情况下我们要配着，就是配着他的默认路由。 第四要设置 nat， nat， 如果有必要的话，我们可以设置一个 nat， 你说我们内网内部网络的设 或者终端，那么如果要跟外部网络进行通信啊，我们可以通过地址转化的形式， 然后呢到达外国防护墙的外网口，把地址转化成更网的地址来给外国网络进行通信， 这是设置 nt。 第五个是要配置策略，配置策略，那么策略是防火墙中的一个非常重要的一环， 在这里边如果没有策略，那我们这个防火墙的各个区域之间，你就没法进行设置他们之间的这个数据通信，所以说他必须要依赖于这个 策略，对于方向来说提升的策略非常非常多，他这里边可以有 an 气策略，就是禁止转化的策略，也有安全的策略， 可以通过我们的命令来实现对房号权重各个策略的一个查询。那么现在呢，我演示一下 我们这五个流程，这五步，这个流程的五步怎么去操作。 那么在这里大家想首先先看一下这个拓谱结构，那么我们 把蓝色的区域作为一个信任区域，把绿色的区域作为一个非镇，非信任区域就是安 trust。 那么这里面一般情况是指外网区域， 我在这里边用一个边界路由器作为外网的一个边界，那么防火墙是处在我们内网的边界上，是我们这个边界防火墙 或叫出口方口腔 pc 一 pc 二，那么他们的 rp 地址段呢？是一点一点一点零， 那么在方法强和边界录取之间是二点二点二点零的网段，方法强的路由器的右侧是三点三点三点零的一个网段。 那么我们现在要做的首先第一步是将发货墙的端口划分到安全域，那我们先把这个启动一下，已经启动了啊 啊，现在他的数据你看了，目前来说这些数据是导通的，都是呈现一个绿色点，他们之间数据 相互之间可以进行通信，链路是通的，而对于这一段链路和这一段链路却是断可的。那么现在我们对方向进行一个配置，让我们的这台 pc 就是这个区域的 pc 能够访问 pc 三， 而且呢是以禁止转换的形式访问，就是说 pc 一或者 pc 二要要跟 pc 三进行通信的话， 我们要经过这个端口，谁的端口来一这一杠零，杠二上的这个二配地址转换成这个二配地址来进行访问，跟 p c 三的这些地址进行互通。 那我们首先来看一下第一步 还没起来，关掉，停止一下 启动， 他需要一段时间方，好像启动稍微有点慢， 哎，起半天， 嗯，这个起来了，这个都没问题。 好，那么他的用户名默认情况下，华为方法强的 usg， 这应该是 五零零，他的用户名是额的密，密码呢是大写的 a d m i a， 小写的就大写 a， 开头艾特一二三， 那么他让你去这个密码需要修改，需要，要不改变密码？ 先输入这个老的密码 a d m i n i 一二三， 然后改成新的密码，我们改成小写 a d m 啊 a 一二三 a d m i n i t 一二三。 ok， 已经改动成功了，我们进入到钢化条里边，我们把这个信息啊，防止这个信息出现在滚屏， 我们把它这个信息提示去掉，按住一放， 可以了。那么我们现在呢，把一号口，二号口分别划分到 chance 的区域和安 chance 的区域就是第一步 int j， 先进入到区域里边儿，把它加到区域里边儿啊。 fire firewall， 先把它一号口画到信任区 trust， 然后 add 添加，添加哪个端口呢？ 印特这一杠零杠一，是不是这一杠零杠一？这一杠零杠一。对，我这样笑， 好，我们再进入到安卓子区域 zol on trust i int j 一杠零杠二。 那么现在我把这两个端口分别划到的 创始区域和安创始的区域。第二步为端口式 rp 地址，那我们现在 为他们分别配扎出记者 yent j 一杠零杠一 rpadd， 当然这你可以补全啊，用命令应按踏板键补全命令。 然后呢是一点一点一点二五四，一点一点一点二五四，压码长度是二十四位二十四， ok， 那么我们这一个地址就设置完了。 yante j 一杠零杠二，配着他的 rp 地址， rp ddd 是二减二减二五四，二减二减二减二五 四二十四位严码好，可以 it 对错，那么现在第二步就配置完了。第三步是设置路由， 那么这个路由啊，通常我们会设置一个默认的一个静态路由，那么在这里大家可以看我们设置这个静态路由呢？ 嗯，我们内部网络如果要访问外部网络，那我们这里边就是要到达这个网络，你比如说我们要到达三这个网络，因为对于方向来说，他直联网络是 二点二点二点零网络和一点一点一点零的网络，这两个是直连的，不需要我们设置路由。那么对于这两个，对于这个三点三点零这个网络，他是他不是直连的，所以说我们要设置一个路由， 当然你可以直接写目标的路由，也可以设设置一个默认的路由 ip root root static， 然后默认陆游零点零点零八个零啊，零点零点零，零点零点零点零，雅马呢，也是零点零零零点零，然后呢他的下一跳，下一跳呢，我们就把数据包 传给谁了，创建这个边界路由器的零杠零杠二号口，那就是二点二点一百，所以他的下一条就是二点二点二点幺零零。 好，那么现在他的默认录由已经设置完毕了。 no。

三十秒钟带大家学会防火墙的基本配置。第一，创建防火墙的信任区域，非信任区域。第二，配置安全域，把外网划分到 entrust 区域。 第三，配置安全策略，放行内网到外网的数据包。第四，配置 nat， 将内网发往外网的包进行地址转化。详细的十大配置教学，点击左下角链接即可免费领取！

大家好，我是镜头网的技术，今天我们来讲 usg 六千微防火墙啊，使用 wiber 方式呢配置的一个实验，那么在这里呢，我们这个 top 是这样的 pc 呢，它是一个 dscp 啊克林，它呢通过防火墙的 ge 一杠零杠一这个接口呢 啊来获取 ip 地址啊，它是一个内部的一个丝网地址啊，就是幺九二幺六八十点零这个网站的地址，而我这个防火墙的这个右边啊，就是记忆一杠零杠零连接的是我们的运营商的路由器， 那么我们这个防火墙呢是通过啊这个 p p p o e 啊，就是拨号上网的方式呢，来获取一个官网地址，就是在记忆一杠零杠零这个接口上获取官网地址。而我们这个运营商连接的这个路由器呢， 它是作为 pvp oe 的一个服端来为对端呢来分配地址，那么我们拨号连接拨号上网的时候呢，我们需要使用用户名和密码在这里呢，我们使用的用户名呢？是啊，我们改一下啊，我们使用的用户名呢是 user 零零幺这个用户名啊，密码呢是一二三四五六。好，那么我们现在先来看一下，我们首先呢去配置 a r 一运营商这边的路由器的设备，我们要配置它 p p p p p o e 的负段，我们如何去配置呢？我们来看一下， 那么我们首先呢进入到我们的路由器啊，修改设备的名称叫 a r e， 首先呢我们要去创建一个三 a 视图，在路由器上面呢，我们先去配置一个本地用户啊，就是我们 零零零零零一这个用户密码呢是一个加密的密码，一二三四五六，这个用户名和密码呢主要用于我们防火墙进行拨号来使用啊，这个用户啊 us user 零零幺，那么它的一个服务类型呢是 p p p 协议，因为我们这个中间啊防火墙与路由器之间呢使用的是 p p p o e 的这样的一个协议啊，就是把 p p p 加载到我们探网上来用 好，配置完以后呢我们退出，然后呢我们去创建一个地址池，这个地址池的名称呢叫炮一，地址池呢 的地址呢主要为我们 swg 啊，防火墙这个 gp 杠零杠零这个接口呢来获取 ip 地址，获取 ip 地址的地址就是这个，那首先呢我们配置网关，这个网关是指的是我们啊这个对端啊他 的一个网关 ip 地址，那么也就是说防火前呢通过这个网关地址呢来访问我们云山右侧的这一块的互联网的网络 啊，网段呢是幺九，网段呢是一点一点一点零，这个网段获取的地址年码呢我们这里设成二十四个年码。好，这样的话我们就退出 啊，之后呢我们要去在我们的路由器上呢要去创建一个虚拟模板啊，虚拟模板编号是一，在 这里呢我们要去配置虚拟模板的 ip 地址，就是一点一点一点二这个地址呢就是我们其实呢我们这个地址呢最后要绑定到这个记忆零杠零杠零这个接口上去， 我们配置远端的这个地址啊，也就是我这个模板，它对应的呢就是这个记忆一杠零杠零这个接口，这个接口我们获取的地址呢是通过地址池的方式来获取啊，就是我们刚才创建的地址池。 好，配置完成以后呢，我们还有一个命令呢，就是啊，因为我们中间使用的是 p p p 的这个协议啊， p p p o e 的这样一个协议，那么我们在这里呢采用的这个认定的 p p p 的认证方式呢，是 c h a p 的认证啊，这是呃安全性更高的一个认认认证方式， 他能够呢就是让我们防火墙输入用户名和密码的方式呢，来连接我们这个绿灯。好，配置完成以后我们退出。 然后呢我们进入到这个物理端口记忆零杠零这个端口，在这个端口上呢，我们去启用 p p p o e 啊，它是一个 server 端，然后呢它去绑定 我们刚才配置的这个虚拟模板，把虚拟模板一的配置呢全部绑定在这个端口上。好，这样的话我们 路由器呢配置就算完成了。下面呢我们来配置防火墙，防火墙呢我们采用 viber 方式啊，那么我们采用 wiber 方式的话，首先呢我们把这个云朵重新建一下，那么在这里呢我们 用浏览器来管理我们的防火墙，那么在这里呢我先拖一个云朵，在云朵里面呢，我们先添加一个 udp 端口啊，添加一个本地的一个黄汇网卡啊，他是一个虚拟网卡，地址呢是幺九二幺八幺三七点幺。 然后呢我们把下面的这个入编号呢给二双向通道打勾点增加关闭掉。然后呢我们用网线把它连接起来，连接到我们的这个记忆啊，零杠零杠零这个接口啊，这个零杠零杠零接口呢，它是一个管理口， 那么我们这边这个云朵实际上呢就是我本地电脑的虚拟网卡的那个地址，幺九幺六八幺三七点幺，那么我们把这个 g 零杠零杠零这个接口呢，我们首先呢要放行啊，要开通他的一个管理权限叫 https， 方便我们浏览器接入，那么我们现现在呢进入到防火墙，用户名是 id， 密码呢是 a d m i n n t 一二三，第一次使用的数呢，我们去修改密码取数，旧密码 a d m i n n t 一二三， 那么新密码 a d m m 一二三四五六 a d m m 一二三四五六。好，配置完成以后，我们进入防火墙， 然后呢我们进入到这个记忆零杠零杠零的这个接口上，然后呢我们要去开启他的这个接口的一个管理权限， 那么是 h t t p s 啊，这个主要用于我们浏览器啊，通过这个接口啊 来访问啊，通过浏览器呢来登录到我们的防火墙上，那么这 ip 地址呢，我们要改一下啊，他和幺三七点幺呢是同一网段的，所以呢我们 ip 地址呢改成幺九二点幺六八点幺三七点二， 年满二十岁。好，改完以后防火墙呢我们再用浏览器呢进行登录，打开浏览器，我们输入 https， 冒号两七杠幺九二点幺六八点幺三七点二 啊，端口号呢是八四四三啊，看到这个界面呢，说明我们登录成功点高级点继续访问， 用户名呢是 adi， 密码呢是 a d m m 一二三四五六，那么我们登登录完了以后呢，这是一个快速向导，我们点取消，然后呢点确 确定，确定确定就行。那么首先呢我们来去对这个防火墙啊，他有两个接口啊，记忆一杠零杠零这个接口我们要配着 ip， 而且这边这个接口呢，我们给他规划的安全安全 区域呢，是 cross 的区域啊，那么在这边这个区域呢，我们是一个 on cross 的区域，这样的话 互联网这区是 trust 区，那么我们首先呢来做，我们看怎么去做，在网络里面接口里面，我们去把这个记忆一杠零杠零这个接口，他连接的是我们内网 啊，在这个接口呢，我们设置它是一个 trust 的区域，我们再看一下啊，哦，这边记忆一杠零杠零是 archives 的区， 那么一杠零杠一呢是 cross 的区域，我们就要把它搞反了，所以呢在这里呢，它这是一个 on cross 的区域， 这个区域呢我们使用的是 pppoe 啊，就是拨号上网的方式，用户名呢就是我们在路由器设置的这个用户名， uze 密码呢是一二三四五六。 好，然后我们直接呢去点确定，我们来看一下，那么在这里要注意啊，这个一点零点零，他这个你看啊，安全区域他没有生效，对不对？没有设置好，我们把这个安全策略呢再重新安全区域呢，重新设置一下 好，然后呢我们点使用就行，其他不用做配置好，这样就对了。然后呢记忆一杠零杠零杠一这个接口呢，他是 是一个内部啊，内网啊，所以呢就是 trust 的区域， ip 地址呢是幺九二点幺六八点， 第二五四野马呢？是二十四的野马啊，然后我们点一下确定啊，点确定就行，在这里呢我们还需要注意啊，我内部要去访问，外部的话肯定是要在这个基础上呢，我要 配置一条路由，所以呢我们在这里呢会配置这条路由，静态路由啊，出去的路由呢啊，他是一个缺少路由啊， 到任何网络我们都会送给我的吓一跳，但是对于我这个防火墙来讲，我并不知道我的吓一跳的地址是多少，他的地址呢，是通过对端获取到的地址是吧？所以呢， 我的吓一跳呢应该是我的出接口，而且我这个链路呢，它本身是 p p p 协议啊，点对点的这样的一个协议的链路，所以呢它可以使用出接口啊，我们得确定好，这样的话路由我们配置完成。 路由配置完成以后呢，下面呢我们需要去配置什么呢？就是安全策略，那么首先呢，我们需要放行 trust 去到 trust 的区域的一个安全策略，这是第一，第二呢，我们 pce 这边呢是四网地址啊，那么我们这边啊就是防火墙右侧这边呢，他是公网地址， 我们还需要在防火墙呢，需要做 nice 的策略，那么使得我们的四网地址呢来进行转换成我们公网接口的这个地址啊，然后呢再进行防护，所以呢我们现在呢需要先做的第一个呢就是安全策略， 新建安全策略，呃，策略的名称呢是 t two u 啊，然后呢安全的区域呢，是 trust 区域到 untrust 区域这个方向， 然后原 ip 地址的话，我们可以选择艾尼啊，也可以选择幺九二幺零八十点零这个网段。另外呢目的地址我们可以不用选，然后呢我们直接点确定就行， 这是安全策略。第二呢我们需要去创建一个原策略，原策略呢我们去新建一下，新建一个 t two u， 然后呢它是一个耐特地区转换，原 区域呢是 trust 区域，目的区域呢是 on trust 区域，然后呢原地址呢啊，所有原地址呢都可以做 let it 地址转换，转换， 然后呢我们是转换成出接口的那个公网地址，这样的话我们就配置完成，在这里呢，还有一个啊，就是我们需要注意，就是我们 pce 呢，它是一个 dscp 的一个 clint， 是吧？客户端我们需要通过记忆一杠零杠一这个接口呢来获取地址 啊，所以呢我们在防火墙上呢去配置 dscp， 我们看一下 dscp 在什么地方啊？网络里面， dscp 服务器啊，在服务里面呢，我们要新建一个，那么选择呢，这是我们的内网接口， ip 地址呢是幺九幺零八十点一啊，网关呢？注意他可复配的地址范围啊，因为我们家默认的网关是幺九幺零八十点五四啊，这个 dns 的话我们需要给电脑制定啊，所以呢我们需要去设置一下 ds 服务器的，我们这里呢是指是八点八点八，我们点确定，但是你看他现在接口上要去配置这个，呃， dscp 基于接口地址方式啊，命令我们要去写进去啊，在这里写不了，我们怎么办？我们在这个控制台去写啊， 我们进入系统试图进入到记忆啊，一杠零杠一，这个内网防火墙的内网接口啊， 去启用 dhcp select interface， 我们设置好以后呢，我们其实呢就可以了啊，可以了，我们再点新建内网的接口， 然后呢 ip 地址，我们这边改一下这个分配的 ip 地址范围，往末日往关的话就是要讲幺零八十点二五四啊，就是那个接口地址。 好，我们这边呢是八点八点八点八，我们确定 好，这样的话我们就配置完成，我们在接口上看一下啊，有没有啥问题？没有问题，那么我们现在呢来测试一下啊，我们用 pc 一，首先呢我们去先获取 ip 地址 ip config， 那么已经获取到地址啊，幺九二幺六八十点九十五啊，网关呢是幺九二幺六八十点五四是对的，那么我们现在呢直接去拼一下我们的这个官网， 心一点一点一点二，看他通不通啊？通的呢，要说明什么？我们的其实都是正常的啊，我们所有的配置都正常，那么 对于防火墙来讲，我们其实呢也去可以查询一下他的这个接口的情况，在这里呢我们很想让我们会发现什么，我们有一个接口就是 dinner 顶，是吧？这个呢就是我们既 一杠零，杠零这个接口，他实际上呢就是创建了一个拨号接口，拨号接口获取的地址呢是幺九二点幺六八一点二五四，这个地址呢他就是由 vr 一啊分配过来的。 好，这个块呢就是我们今天讲的通过 p p p o e 啊进入互联网啊，学会了吗？可以关注老师啊，好，谢谢大家。

哈喽大家好，这里是网络专家 vlog， 我是你们的王老师。有很多粉丝朋友提问说我昨天呢买了一台华为的防火墙，他们的话在项目中呢也经常需要调试这个防火墙， 但是刚买回来的时候呢，因为对那一个命令还不熟悉，所以呢今天的话就教大家如何通过 vivo 来调试， vivo 呢就是通过我们电脑的浏览器来调试这个防火墙。首先呢我们介绍一下这个防火墙，前面的话， 他这里呢有一二三四五六七八，有八个千兆端口，那么华为的防火墙默认他的第零个端口，我们仔细看可以看到我们这根网线呢是接在 他的第零号端口这里，第零号端口的话，他上面的话是会有一个默认的管理 ip， 这个 ip 呢是幺九二点幺六八点零点一这个 ip， 那么如果我们需要外我调试这个防火墙的话，就需要在我们的电脑网卡那里 配置跟这个幺九二点幺六八点一点零，然后二十四位直往野马的这个网段同样的 ip， 这样的话我们就可以在我们的电脑上面来操作这个华为的防火墙，下面的话大家跟着我一起看是如何通过外婆来管理这个防火墙的， 刚刚的话我们已经把那一个线连接完毕了，然后呢我们点击我们的这个电脑的网卡，然后用 右键打开网络与共享中心，然后进入这个更改适配器设置，然后呢这一个呢就是我们的网卡，然后右键然后选择属性， 然后呢双击这个版本，然后这里的话我们就敲一个幺九二点幺六八点零点一百，只要是在这个幺九二点幺六八点零这一个段里面的都可以，然后呢确定， 确定了之后呢我们用 cnd 界面来拼一下，拼 幺九二点幺六八点零点幺，我们发现呢就可以跟这个幺九二点幺六八点零点幺来通讯了。然后呢我们打开我们的浏览器， 然后在浏览器里面输入 https， 幺九二点幺六八点零点一，然后冒号八四四三，这个呢是他的一个端口号，然后回车， 回车之后呢我们就通过 vivo 连接到华为的防火枪，然后输入用户名 odmond， 然后密码， 华为默认的那一个密码的话是这一个 a d man， 然后艾特一二三啊， 然后呢我这里改了密码，我改成了华为艾特一二三，然后登录， 登录之后呢这个就是我们华为防火墙的一个界面啊，然后这里面的话就可以配置我们的这个网络信息，包括接口啊，接口所属于的区域啊，这些都可以配置。 你要策略，这里就可以配置安全策略对象，就可以配置一些对象，包括例子对象啊，服务啊等等。 好朋友们，今天的视频呢就到这里结束了，如果大家喜欢我的视频的话，可以点击关注，再见。

哈喽，大家好，这里是网络专家 vlog， 我是你们的黄老师。今天的话帮一个朋友呢调节了一台华为的 usb 防火墙， 主要的话是帮他调三大运营商走各自的出口，他今天的话拉了两根线，一根的话是电信的，一根是联通的，那么他就需要说内网的用户访问联通的网站就走联通的链路，如果要访问那一个电信的网站，就走电信的网网络。 然后那么今天的话我们一起来看一下这个是怎么配置的吧。哈喽，大家好，今天的话就用一个实际上的防火墙呢，给大家来 配置这一个防火墙，配置多运营商出口选路的一个配置办法。首先呢我们呃登上这个防火墙，我们可以看到这个墙的一 些基础信息，包括设备名称，设备名称的话就是网络专家 vlog。 然后呢我们点网络这里点网 网络，我们就需要在啊这个防火墙的接口下面配置运营商给我们的提供的那个 ip 粒子，我们点进机一杠零杠一这个口里面， 只要在这个口里面的话，我们就选择这个虚拟系统安全区域，因为我们这个是外网，所以呢我们就选这个外网 ip 属于这个 nxx 区域， 然后在相应的 ip 地址呢填上他的 ip 地址跟直往野马，然后填上王冠，然后最主要今天就是我们需要选择这个多出口选项，多出口选项里面的话，我们选择这个接口所数出的那个运营商中国电信，然后呢把这个运营商路由勾选，缺损路 勾选，还有原进原出的这个也勾选，那么这个搜索运营商呢，需要我们来定义的，在哪里定义呢？首先我们还是点网络， 然后点这个路由，然后点智能选路，然后点运营商地址库，然后这里的话我们就可以把这个地址库呢下载下来，然后呢倒进来，那么就形成了我们的一个地址库，因为今天我们这边帮客户配的话，只有一个联通跟 电信的两条电路，所以呢我就只给他导了这两个，那么如果要导其他的呢，就需要我们在那个其他的 运营商地址库那里下载下来，然后呢直接就倒进来这个，呃文件的话我这边是有的。然后呢我们啊看一下配置完之后他的那一个 路由有什么区别？我们迪斯普瑞 ip 撸天推宝看一下导入了之后的话，他这个防火墙呢，他就在他的路由表里面就生成了这些 关于运营商的路由表，就是这个这一条，对吧？电信的路由，那么他就走电信的这个出口，都是一些地址段，这些地址段的话都是属于电信的，所以呢我们就通过路由的方式来实现， 那个电信的流量就走电信，然后联通的流量就走联通。相信这个需求的话也是有很多朋友呢在 在企业里面需要用到的。好，那么今天的视频就到这里结束了，如果大家喜欢我的视频可以点击关注，再见。