[系统运维]华为USG6000基本内容总结

?1、防火墙的接口必须将其接入到某个区域，否则这个接口最终无法与其内部的多种功能配合，这个十分重要！！！！必须加入，不然ping都不行。

2、防火墙的域内流量是可以不配置任何安全策略的，只要将接口配置好IP地址，同时将接口加入到对应的安全区域后，就可以直接通信。

3、区域间的流量是通过安全策略进行控制的，默认的动作是全部禁止，输入security-policy，然后输入default-action [deny|permit] 的方式设置默认动作是禁止还是允许

4、接口视图上的service-manage xxx [deny|permit] 是对进入防火墙的流量进行控制，它有几个选项比如telnet，ssh，http，https，这几个都是用来控制防火墙，比如telnet登录，ssh登录，web方式登录。

5、输入security-policy 然后输入rule name xxx创建一个安全策略，安全策略的控制方式有下面几种：

1、原区域、目的区域

2、原IP地址，目的IP地址

3、原IP地址集合，目的IP地址集合

4、服务、服务集合（或者说是协议）

5、用户

6、时间

7、地区

我们在输入security-policy后，再输入rule name xxx，进入安全策略视图，然后输入destination-zone,或者source-zone，可以对流的出发区域和目的区域进行配置，然后就是souce-address与destination-address可以对流的原和目的地址进行配置，我们可以结合地址集合与该命令一起配置。

输入time-range可以对时间段进行配置，这个和ACL的配置一样。

输入user xxx 可以针对用户进行流的控制

输入service xxx 可以针对协议进行控制，也可以输入service protocol xxx 针对ICMP，TCP，UDP一些协议中的源端口和目的端口，ICMP的包类型作为条件。

profile xxx：这是配置安全配置文件的命令，当条件都符合后，会再由这个安全配置文件进行后面的操作。

最后：当条件都设立完后，输入action [deny|permit]，对条件符合的动作进行设置。