臨近年底,某公司網(wǎng)管年終獎都沒拿,直接跑了,網(wǎng)絡(luò)也給整癱瘓了,這是有多大仇啊。
用的是華為USG5000系列統(tǒng)一安全網(wǎng)關(guān):Secoway USG5120BSR,這玩意是當(dāng)年華為和賽門鐵克聯(lián)合出品的,能夠?yàn)橛脩籼峁┓阑饓Α⒎廊肭帧⒎床《尽⒎蠢]件、URL過濾等多項(xiàng)安全功能,提供全方位的網(wǎng)絡(luò)安全防護(hù),保障網(wǎng)絡(luò)高效運(yùn)行。
當(dāng)年用得起這家伙的,也算是舍得花錢的主,不過,外部的危險(xiǎn)防住了,到頭來卻被內(nèi)鬼破壞了,看來內(nèi)部管理也得加強(qiáng)啊。
如今這年代,沒網(wǎng)差不多就是半停工狀態(tài),想必客戶已經(jīng)期待已久,廢話不多說,直接上手吧,連接Console線,找支筆頂住Reset鍵,大概30秒后,燈全滅,然后又亮,伴隨著“直升機(jī)起飛”的聲音,筆記本電腦屏幕上顯示設(shè)備正在啟動。
出現(xiàn)“Press Ctrl+B to Enter Main Menu...”的時(shí)候,快速按下Ctrl+B,然后出現(xiàn)“Password:”,莫慌,這不是管理員密碼,此時(shí)需輸入BootROM密碼:O&m15213,隨后就進(jìn)入BootROM菜單了。
此時(shí)輸入數(shù)字6,即選<6> Reset Factory Configuration,恢復(fù)出廠設(shè)置,需要注意的是,客戶要求我們?nèi)恐匦屡渲茫赃x擇此項(xiàng),如果只是需要重置管理員密碼,那么此時(shí)應(yīng)該按下Ctrl+Z進(jìn)入隱藏菜單,輸入“Recover Console Password”對應(yīng)的數(shù)字序號即可。
系統(tǒng)提示:此操作將丟失當(dāng)前配置,選擇“Yes”就繼續(xù),此時(shí)輸入數(shù)字1。
這里沒什么好說的,輸入數(shù)字1,啟動系統(tǒng)。
根據(jù)以往經(jīng)驗(yàn),重新進(jìn)入系統(tǒng)后,必須馬上修改密碼,否則登錄超時(shí)或重啟后又得重新來一遍!
筆記本電腦網(wǎng)卡配置IP地址:192.168.0.2,子網(wǎng)掩255.255.255.0,然后網(wǎng)線連接到防火墻的G0/0/0口(默認(rèn)的管理口),打開瀏覽器,輸入https:192.168.1.1:8443
用戶名:admin,密碼:Admin@123,注意,有的版本默認(rèn)密碼為Admin@huawei,也有的版本是admin@huawei,com,多試幾次,總有一款適合你。
看看這界面吧, 還是熟悉的味道、熟悉的配方。開始動手配通網(wǎng)絡(luò)吧。
1、配置內(nèi)網(wǎng)接口:設(shè)定G0/0/1為內(nèi)網(wǎng)口,IP地址為192.168.10.1;
2、配置外網(wǎng)接口:設(shè)定G0/0/3為外網(wǎng)口,IP地址為運(yùn)營商提供的固定IP;
注意把接口放到相應(yīng)的安全區(qū)域,望文知義:內(nèi)網(wǎng)口當(dāng)然是Trust區(qū)域,外網(wǎng)口當(dāng)然就是Untrust區(qū)域了
3、新建安全策略:Trust2Untrust,源安全區(qū)域Trust,目的安全區(qū)域Untrust,動作為permit(允許),意思很明顯,內(nèi)網(wǎng)到外網(wǎng)的通信是被允許的;注意,Untrust2Trust的安全策略,應(yīng)該設(shè)置為deny,禁止外網(wǎng)無限制地訪問內(nèi)網(wǎng)。
4、配置NAT,實(shí)現(xiàn)內(nèi)網(wǎng)用戶訪問互聯(lián)網(wǎng),源安全區(qū)域:Trust,目的安全區(qū)域:Untrust,源地址:192.168.10.0/24,動作:NAT轉(zhuǎn)換,將源地址轉(zhuǎn)換為:出接口IP地址。
5、當(dāng)然,不能忘記配置默認(rèn)路由,否則還是上不了外網(wǎng),這里的下一跳地址就是運(yùn)營商給的網(wǎng)關(guān)地址;
此時(shí),外網(wǎng)恢復(fù),筆記本電腦改回自動獲取IP地址,接入核心交換機(jī):華為S5700-28P,還算好,配置應(yīng)該沒丟,正常獲取到IP,并且能夠訪問互聯(lián)網(wǎng)。
先通知客戶,網(wǎng)絡(luò)已恢復(fù),我們接著干活:發(fā)布內(nèi)網(wǎng)服務(wù)器,下面以發(fā)布windows Server的遠(yuǎn)程桌面為例說明:
1、新建虛擬服務(wù)器,外部地址直接選擇外網(wǎng)接口即可,內(nèi)部地址填寫服務(wù)器的IP地址,勾選“端口轉(zhuǎn)換”,協(xié)議選擇“TCP”,以安全起見,外部端口強(qiáng)烈建議使用自定義端口,不要使用服務(wù)默認(rèn)的端口,內(nèi)部端口填寫實(shí)際上使用的端口,這里是遠(yuǎn)程桌面,所以填寫為3389。
2、新建一條與之匹配的安全策略,否則外網(wǎng)是無法訪問這臺服務(wù)器的,因?yàn)槲覀兦懊姘裊ntrust2Trust改為deny了。
做完以后,保證這條策略在deny策略的上面,否則就是無效策略了。
至于其他服務(wù)器的其他端口需要映射到外網(wǎng),那就以此類推了,只是安全策略必須一一對應(yīng)匹配。
全部配置完畢后,注意點(diǎn)“保存”,否則設(shè)備一旦重啟,所有配置全部丟失
我的常規(guī)操作是,保存配置后,再導(dǎo)出配置文件到電腦,哪天真有問題,直接導(dǎo)入配置就行了,省了很多麻煩。每次變更配置,也可以導(dǎo)出一份,相信我,越多的配置文件,使你能更輕松地應(yīng)對各種問題。
——筆者為網(wǎng)絡(luò)工程師,擅長計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域,創(chuàng)業(yè)多年,希望把自己的經(jīng)驗(yàn)分享給大家,覺得有用的,可以關(guān)注、點(diǎn)贊、轉(zhuǎn)發(fā),如有相同或者不同觀點(diǎn),歡迎評論。最近已開通“圈子”,有興趣的朋友歡迎進(jìn)圈共同學(xué)習(xí)和討論。
