临近年底,某公司网管年终奖都没拿,直接跑了,网络也给整瘫痪了,这是有多大仇啊。
用的是华为USG5000系列统一安全网关:Secoway USG5120BSR,这玩意是当年华为和赛门铁克联合出品的,能够为用户提供防火墙、防入侵、反病毒、反垃圾邮件、URL过滤等多项安全功能,提供全方位的网络安全防护,保障网络高效运行。
当年用得起这家伙的,也算是舍得花钱的主,不过,外部的危险防住了,到头来却被内鬼破坏了,看来内部管理也得加强啊。
如今这年代,没网差不多就是半停工状态,想必客户已经期待已久,废话不多说,直接上手吧,连接Console线,找支笔顶住Reset键,大概30秒后,灯全灭,然后又亮,伴随着“直升机起飞”的声音,笔记本电脑屏幕上显示设备正在启动。
出现“Press Ctrl+B to Enter Main Menu...”的时候,快速按下Ctrl+B,然后出现“Password:”,莫慌,这不是管理员密码,此时需输入BootROM密码:O&m15213,随后就进入BootROM菜单了。
此时输入数字6,即选<6> Reset Factory Configuration,恢复出厂设置,需要注意的是,客户要求我们全部重新配置,所以选择此项,如果只是需要重置管理员密码,那么此时应该按下Ctrl+Z进入隐藏菜单,输入“Recover Console Password”对应的数字序号即可。
系统提示:此操作将丢失当前配置,选择“Yes”就继续,此时输入数字1。
这里没什么好说的,输入数字1,启动系统。
根据以往经验,重新进入系统后,必须马上修改密码,否则登录超时或重启后又得重新来一遍!
笔记本电脑网卡配置IP地址:192.168.0.2,子网掩255.255.255.0,然后网线连接到防火墙的G0/0/0口(默认的管理口),打开浏览器,输入https:192.168.1.1:8443
用户名:admin,密码:Admin@123,注意,有的版本默认密码为Admin@huawei,也有的版本是admin@huawei,com,多试几次,总有一款适合你。
看看这界面吧, 还是熟悉的味道、熟悉的配方。开始动手配通网络吧。
1、配置内网接口:设定G0/0/1为内网口,IP地址为192.168.10.1;
2、配置外网接口:设定G0/0/3为外网口,IP地址为运营商提供的固定IP;
注意把接口放到相应的安全区域,望文知义:内网口当然是Trust区域,外网口当然就是Untrust区域了
3、新建安全策略:Trust2Untrust,源安全区域Trust,目的安全区域Untrust,动作为permit(允许),意思很明显,内网到外网的通信是被允许的;注意,Untrust2Trust的安全策略,应该设置为deny,禁止外网无限制地访问内网。
4、配置NAT,实现内网用户访问互联网,源安全区域:Trust,目的安全区域:Untrust,源地址:192.168.10.0/24,动作:NAT转换,将源地址转换为:出接口IP地址。
5、当然,不能忘记配置默认路由,否则还是上不了外网,这里的下一跳地址就是运营商给的网关地址;
此时,外网恢复,笔记本电脑改回自动获取IP地址,接入核心交换机:华为S5700-28P,还算好,配置应该没丢,正常获取到IP,并且能够访问互联网。
先通知客户,网络已恢复,我们接着干活:发布内网服务器,下面以发布windows Server的远程桌面为例说明:
1、新建虚拟服务器,外部地址直接选择外网接口即可,内部地址填写服务器的IP地址,勾选“端口转换”,协议选择“TCP”,以安全起见,外部端口强烈建议使用自定义端口,不要使用服务默认的端口,内部端口填写实际上使用的端口,这里是远程桌面,所以填写为3389。
2、新建一条与之匹配的安全策略,否则外网是无法访问这台服务器的,因为我们前面把Untrust2Trust改为deny了。
做完以后,保证这条策略在deny策略的上面,否则就是无效策略了。
至于其他服务器的其他端口需要映射到外网,那就以此类推了,只是安全策略必须一一对应匹配。
全部配置完毕后,注意点“保存”,否则设备一旦重启,所有配置全部丢失
我的常规操作是,保存配置后,再导出配置文件到电脑,哪天真有问题,直接导入配置就行了,省了很多麻烦。每次变更配置,也可以导出一份,相信我,越多的配置文件,使你能更轻松地应对各种问题。
——笔者为网络工程师,擅长计算机网络领域,创业多年,希望把自己的经验分享给大家,觉得有用的,可以关注、点赞、转发,如有相同或者不同观点,欢迎评论。最近已开通“圈子”,有兴趣的朋友欢迎进圈共同学习和讨论。