臨近年底,某公司網管年終獎都沒拿,直接跑了,網絡也給整癱瘓了,這是有多大仇啊。
用的是華為USG5000系列統一安全網關:Secoway USG5120BSR,這玩意是當年華為和賽門鐵克聯合出品的,能夠為用戶提供防火墻、防入侵、反病毒、反垃圾郵件、URL過濾等多項安全功能,提供全方位的網絡安全防護,保障網絡高效運行。
當年用得起這家伙的,也算是舍得花錢的主,不過,外部的危險防住了,到頭來卻被內鬼破壞了,看來內部管理也得加強啊。
如今這年代,沒網差不多就是半停工狀態,想必客戶已經期待已久,廢話不多說,直接上手吧,連接Console線,找支筆頂住Reset鍵,大概30秒后,燈全滅,然后又亮,伴隨著“直升機起飛”的聲音,筆記本電腦屏幕上顯示設備正在啟動。
出現“Press Ctrl+B to Enter Main Menu...”的時候,快速按下Ctrl+B,然后出現“Password:”,莫慌,這不是管理員密碼,此時需輸入BootROM密碼:O&m15213,隨后就進入BootROM菜單了。
此時輸入數字6,即選<6> Reset Factory Configuration,恢復出廠設置,需要注意的是,客戶要求我們全部重新配置,所以選擇此項,如果只是需要重置管理員密碼,那么此時應該按下Ctrl+Z進入隱藏菜單,輸入“Recover Console Password”對應的數字序號即可。
系統提示:此操作將丟失當前配置,選擇“Yes”就繼續,此時輸入數字1。
這里沒什么好說的,輸入數字1,啟動系統。
根據以往經驗,重新進入系統后,必須馬上修改密碼,否則登錄超時或重啟后又得重新來一遍!
筆記本電腦網卡配置IP地址:192.168.0.2,子網掩255.255.255.0,然后網線連接到防火墻的G0/0/0口(默認的管理口),打開瀏覽器,輸入https:192.168.1.1:8443
用戶名:admin,密碼:Admin@123,注意,有的版本默認密碼為Admin@huawei,也有的版本是admin@huawei,com,多試幾次,總有一款適合你。
看看這界面吧, 還是熟悉的味道、熟悉的配方。開始動手配通網絡吧。
1、配置內網接口:設定G0/0/1為內網口,IP地址為192.168.10.1;
2、配置外網接口:設定G0/0/3為外網口,IP地址為運營商提供的固定IP;
注意把接口放到相應的安全區域,望文知義:內網口當然是Trust區域,外網口當然就是Untrust區域了
3、新建安全策略:Trust2Untrust,源安全區域Trust,目的安全區域Untrust,動作為permit(允許),意思很明顯,內網到外網的通信是被允許的;注意,Untrust2Trust的安全策略,應該設置為deny,禁止外網無限制地訪問內網。
4、配置NAT,實現內網用戶訪問互聯網,源安全區域:Trust,目的安全區域:Untrust,源地址:192.168.10.0/24,動作:NAT轉換,將源地址轉換為:出接口IP地址。
5、當然,不能忘記配置默認路由,否則還是上不了外網,這里的下一跳地址就是運營商給的網關地址;
此時,外網恢復,筆記本電腦改回自動獲取IP地址,接入核心交換機:華為S5700-28P,還算好,配置應該沒丟,正常獲取到IP,并且能夠訪問互聯網。
先通知客戶,網絡已恢復,我們接著干活:發布內網服務器,下面以發布windows Server的遠程桌面為例說明:
1、新建虛擬服務器,外部地址直接選擇外網接口即可,內部地址填寫服務器的IP地址,勾選“端口轉換”,協議選擇“TCP”,以安全起見,外部端口強烈建議使用自定義端口,不要使用服務默認的端口,內部端口填寫實際上使用的端口,這里是遠程桌面,所以填寫為3389。
2、新建一條與之匹配的安全策略,否則外網是無法訪問這臺服務器的,因為我們前面把Untrust2Trust改為deny了。
做完以后,保證這條策略在deny策略的上面,否則就是無效策略了。
至于其他服務器的其他端口需要映射到外網,那就以此類推了,只是安全策略必須一一對應匹配。
全部配置完畢后,注意點“保存”,否則設備一旦重啟,所有配置全部丟失
我的常規操作是,保存配置后,再導出配置文件到電腦,哪天真有問題,直接導入配置就行了,省了很多麻煩。每次變更配置,也可以導出一份,相信我,越多的配置文件,使你能更輕松地應對各種問題。
——筆者為網絡工程師,擅長計算機網絡領域,創業多年,希望把自己的經驗分享給大家,覺得有用的,可以關注、點贊、轉發,如有相同或者不同觀點,歡迎評論。最近已開通“圈子”,有興趣的朋友歡迎進圈共同學習和討論。
