&&&&华为防火墙技术漫谈-强叔侃墙(&货号:)
邀请好友参加吧
版 次：页 数：字 数：印刷时间：日开 本：16开纸 张：胶版纸包 装：平装是否套装：否国际标准书号ISBN：9所属分类：&&&
下载免费当当读书APP
品味海量优质电子书，尊享优雅的阅读体验，只差手机下载一个当当读书APP
本商品暂无详情。
当当价：为商品的销售价，具体的成交价可能因会员使用优惠券、积分等发生变化，最终以订单结算页价格为准。
划线价：划线价格可能是图书封底定价、商品吊牌价、品牌专柜价或由品牌供应商提供的正品零售价（如厂商指导价、建议零售价等）或该商品曾经展示过的销售价等，由于地区、时间的差异化和市场行情波动，商品吊牌价、品牌专柜价等可能会与您购物时展示的不一致，该价格仅供您参考。
折扣：折扣指在划线价（图书定价、商品吊牌价、品牌专柜价、厂商指导价等）某一价格基础上计算出的优惠比例或优惠金额。如有疑问，您可在购买前联系客服咨询。
异常问题：如您发现活动商品销售价或促销信息有异常，请立即联系我们补正，以便您能顺利购物。
当当购物客户端手机端1元秒
当当读书客户端万本电子书免费读tip 来源：华为星火计划培训分类：华为WLAN设计特点：网优网归 场景规划主题：方案设计【资料简介】华为Wlan网络网规网优技术、场景规划与方案设计，从0开始设计到交付，一本完完整整的学习教材，建议从事无线学习的同学学习..zon 专题：华为WLAN主题：WLAN配置从属：组网模式解析案例：组网配置案例【华为无线】本指南详细介绍每个模版的命令解释及用途，在加上十多种精彩案例分享及解释，再加上网优网归，让你彻底脱盲，不在为无线..zon 分类：书籍中心主导：教材 案例 题库从属：知识 专业认证服务：资源价值【中心简介】家园Vbook书籍中心是以收集和整理互联网上优秀书籍，以最好的知识推荐给你学习，让你在学习的路程上事半功倍，告别枯燥，早..tip 分类：华为认证专题：HCIE学习之路从属：华为 路由 交换特点：含金量最大的资料【学习介绍】在中国拥有一张证书不是梦，冰冻三尺，非一日之寒，要拥有一张认证所具备含金量技术水准那是需要多年的经年积累，本书专为你分享..tip 发布：建哥哥厂商：华三主导：H3C WLAN AC主题：无线专题【资料简介】大好河山、无线风光，主要介绍H3C无线，从基础到高级配置及组网模式配置案例，多达200篇案例配置，从此告别对无线的迷茫..
★浏览次数：461 次★&&发布日期:
&当前位置：技术资料 & 网络工程 & Huawei & 正文
正在更新...
华为防火墙USG5150给内网每个IP限速配置命令
& 内网有 200 用户，使用华为USG5150连接公网，总带宽为50Mb，要求内网每一个用户保证带宽为200KB/S，最大带宽为512KB/S,上传带宽最大为125KB/S以保证用户都能正常上网和业务延迟不能太大。同时需要保证对迅雷等PTP下载一样限速在范围之类。
&& 当前华为设备防火墙和路由器都已经能支持基于IP地址限速功能，防火墙支持更好。
&& 需要对每一个内网的IP限速。如果只是简单的端口限速是肯定满足不了需求的。因为每一个用户对网络的需求都不相同，使用了各种业务各种端口各种服务类型。
& 所以配置IP限速需求以下：
1、服务模板，如ftp，ptp等等这些需要限制的类型
2、定制限流策略，也就是流量大小，连接数量等等的设定。
3、在域之间引用服务模板和策略。
&& 在配置前一定要明白域间的inbound和outbound 定义。因为与端口规定不一样。
安全域间的数据流动具有方向性，包括入方向（Inbound）和出方向（Outbound）。
l 入方向：数据由低优先级的安全区域向高优先级的安全区域传输。
l 出方向：数据由高优先级的安全区域向低优先级的安全区域传输。
1、配置服务模板
ip service-set ip_server type group
service 0 service-set http
service 1 service-set ftp
service 2 service-set pptp
service 3 service-set l2tp
service 4 service-set tcp
service 5 service-set udp
service 6 service-set telnet
service 7 service-set ras
service 8 service-set dns
service 9 service-set rtsp
service 10 service-set ils
service 11 service-set hwcc
service 12 service-set smtp
service 13 service-set sip
service 14 service-set sqlnet
service 15 service-set netbios-name
service 16 service-set netbios-session
service 17 service-set netbios-data
service 18 service-set qq
service 19 service-set stun
service 20 service-set msn-stun
service 21 service-set mgcp
service 22 service-set mms
service 23 service-set rpc
service 24 service-set h225
service 25 service-set icmp
service 26 service-set msn
service 27 service-set msn-audio
service 28 service-set msn-discard
service 29 service-set tftp
service 30 service-set https
service 31 service-set ssh
service 32 service-set imap
service 33 service-set dns-tcp
service 34 service-set gre
service 35 service-set ah
service 36 service-set esp
service 37 service-set gtp
service 38 service-set pop3
service 39 service-set gtpv0
service 40 service-set gtpv1
service 41 service-set gtpu
service 42 service-set icmpv6
service 43 service-set stun64
service 44 service-set bootps
service 45 service-set discard-udp
service 46 service-set dnsix
service 47 service-set echo-udp
service 48 service-set mobileip-ag
service 49 service-set mobileip-mn
service 50 service-set nameserver
service 51 service-set netbios-dgm
service 52 service-set netbios-ns
service 53 service-set netbios-ssn
service 54 service-set ntp
service 55 service-set rip
service 56 service-set snmp
service 57 service-set snmptrap
service 58 service-set sunrpc-udp
service 59 service-set syslog
service 60 service-set tacacs-ds
service 61 service-set talk-udp
service 62 service-set time-udp
service 63 service-set who
service 64 service-set xdmcp
service 65 service-set h323
service 66 service-set bgp
service 67 service-set chargen
service 68 service-set cmd
service 69 service-set daytime
service 70 service-set discard-tcp
service 71 service-set echo-tcp
service 72 service-set exec
service 73 service-set finger
service 74 service-set gopher
service 75 service-set hostname
service 76 service-set irc
service 77 service-set klogin
service 78 service-set kshell
service 79 service-set login
service 80 service-set lpd
service 81 service-set nntp
service 82 service-set pop2
service 83 service-set sunrpc-tcp
service 84 service-set tacacs
service 85 service-set talk-tcp
service 86 service-set time-tcp
service 87 service-set uucp
service 88 service-set whois
service 89 service-set biff
service 90 service-set bootpc
&ip service-set ip_server type group&创建一个服务组模板并进入模板视图&&&&&ip_server 是服务组的名称，在后面需要引用就使用它。 service 89 service-set biff& ，这个命令是在服务模板视图下定义一条需要匹配的服务类型。数字是定义规则的ID，最后的关键字是 服务的类型，
2、配置限流策略，包括上传和下载
car-class per_ip_in
type per-ip
reference-mode per-policy
connection-number 20
car max 4096 guaranteed 1600
car-class per_ip_in& type per-ip& ： 创建一个策略，名称为 per_ip_in ,&类型为 per_ip&既是每个IP，还可以选择一个网段或者一个固定的地址等等。。&&& 这个策略我作为 下载策略。
几个命令解释是：匹配策略的模式为每条策略，最大连接数为20 ，最大带宽4096，保证带宽1600.
请注意这里的单位是& kb/s , 所以请自己换算好& KB 与& Kb 的换算。注意的是在IT中 M 和 K 之间的换算，只有表示文件大小的时候 1M =1024K，否则换算关系是& 1000 倍。
car-class per_ip_out type per-ip
reference-mode per-policy
connection-number 20
car max 1000 guaranteed 80
&以上策略是用来限制上传的。最大125KB，保证10KB，如果只是上网 10KB的上传速度足够了。
3、在安全域trust untrust之间绑定出入策略。
traffic-policy interzone trust untrust inbound per-ip
action car
policy service service-set ip_server
policy car-type destination-ip
policy car-class per_ip_in
注意的是policy是针对目的地址还是源地址。因为我们要限制内网的下载速度，所以应该是选目的地址，因为是入方向。
traffic-policy interzone trust untrust outbound per-ip
action car
policy service service-set ip_server
policy car-type source-ip
policy car-class per_ip_out
这里需要选的是源IP，因为是上传，自然要选源IP。
4、验证，开个迅雷下载东西试试~
扫二维码，关注微信公众号【第二届 3.15吐槽来啦】usg55xx utm 防火墙全功能测试后 问题
最新回复： 13:44:20
求助帖:&(未解决)
本帖最后由 jianghao001 于
12:43 编辑
华为上一代utm防火墙经过测试，以下问题有可以改进的空间，如觉合理可行，可以修正。环境描述 usg5530s vrp最新版且挂最新patch，如下图所示。
问题一：防火墙根据现网环境中不同的位置，是分为二层透明防火墙和三层utm防火墙的，在web-manager或者cli下配置防火墙的时候可以将防火墙的runmode选择放在第一步确定，然后根据用户选择的模式进行进一步的相关连处理， 我在你们的as***品线和nip产品线有看到类似完善的处理方法，us***品线可以进行学习和借鉴，此项修改，可以大大缩小开局的时间和增加防火墙亲切感。如下截图所示：
问题二，华为安全产品的几乎所有的web-manager都有和浏览器兼容性的问题，简单来说就是挑浏览器内核，有些web-manager的内容在某些浏览器下是无法显示或者显示不全的，如果说兼容性不好兼顾，那可以在登录web-manager的时候，给用户弹一个提示框，告诉用户你们的最佳推荐浏览器是Firefox、chrome、ie还是等等是比较好的选择，否则一直在浏览器的兼容性搞来搞去，是一件影响用户体验的时候， 在华为的fusioncompute产品线上有看到类似的功能，usg安全产品线可以借鉴一下，如下图最下边的箭头所指出所示，
第三,usg防火墙对ddns的支持太过国外话，国内主流ddns提供商没有全部囊括，不是很符合国内用户使用习惯，可以增加国内主流ddns提供商的力度，增加和提高防火墙亲和度。如下图所示，
第四，一个成熟的产品应该是cli上对应的所有命令都可以web化，华为产品线在这方面的努力和尝试是可以看得到的， nip产品线和as***品线已经将vrp的cli界面全部做了read-only的锁定，这是一个很好的方向，大大增加的web配置的用户体验，us***品线也可以做如下的尝试和努力，其实本质上来说最终用户不想在设备的配置上耗费太多的个人时间和经历（明显cli的时间比web会多很多），这就是为什么web化的产品越来越被用户喜欢和肯定的道理，华为的us***品线在这方面还需要在修改和改进，总之一句话，将cli界面read-only化是肯定的必然趋势。如下图举例，华为的nip的vrp不管是用户模式还是系统特权模式都只有寥寥不多的只读命令可以提供用户做有限范围内的read-only查看，要配置就只能去web-manager，这样的趋势肯定是符合设备发展方向的明智之举。
第五，关于硬件设备形态， 现在携带有db9头子的电脑是越来越不好找了， 尽管华为很良心的每个设备装箱中都附送了console线缆，但是还是需要用户去购买db9-console的转换头，还要安装驱动等等才能使用console线，华为产品的硬件形态可以再in-style一点，比如可以把console口全部干点，全部转换成mini-usb接口，miniusb-usb这样的接口用户拿来就能用，很多其他的厂家已经在这样做了，说了如上这么多 ， 就一句话，可以在激进和潮流一点，适当的革命和创新肯定是对的。这些小小的点都是增加设备友好度和粘性的好方法。
第六：华为的防火墙有一个ip address-set的功能，这个功能用了几年了，很方便，很有感觉，但是有一个小小的建议， 是否可以在华为的安全产品中强化ip address-set，而弱化acl呢，本质上来说， acl其实是第一代防火墙的遗留产物，在现在的utm或者ngfw防火墙中应该弱化这些古旧的概念，而去强调一些符合时代的产物，言外之意，华为可以在 ip address-set这个功能上再做一些enhanced，比如把acl特有的一些安全特性融入到ip address-set中，其实本质上来说，如果ip address-set 和acl同时存在，有严重的***感，因为从使用经验来看，华为的防火墙acl能实现的，用ip address-set也能实现，只是敲的命令和放的地方不一样而已，比如我需要让一个特定网段需要具有long-link的功能，华为文档上说可以通过acl实现，但是也可以用区域间的策略引用ip address-set搞定，而且ip address-set搞定的语法整洁度看起来会更好一些，总体来说，acl 和ip address-set有功能重叠，我更愿意使用ip address-set。如下图所示，只是简单举一个ip address-set的例子，vpn等技术也会用到acl或ip address-set的引用。
第七，关于gre-vpn 的问题，如果用户有需求配置基于tunnel的vpn的时候，应该遵循这样的步骤，配置tunnel接口的ip、encapsulate、source、destination、ip route等。这本质上来说是一个连贯的配置过程，但是在华为的产品又搞割裂了，总体来说就是配置体验不好、不连贯。第一步，在vpn页签配置tunnel接口相关参数，第二步，再切换到路由界面去配置路由问题如下图所示，本质上来说接口配置和路由配置应该是一个连贯的过程，用户只需要点一点鼠标就可以完成的操作，华为usg这样的***是操作只会让用户增加调试难度和遗忘几率，尤其是第二步，用户会以为配置完tunnel后，vpn就结束了，其实usg上的l2tp over ipsec页签的反向路由注入就是一个很好的用户体验，一个钩钩就处理了vpn的路由问题，在grp vpn这里也可以进行类似的借鉴。总体来说就是配置一个先关的东西，就在一个页面全部搞定就行了， 不要切换来切换去，这是糟糕的用户体验。
第八，本质上来说，在种种安全技术中，vpn类的配置算是比较抽象和难理解的，所以做一个交互式的向导是处理所有有难度的问题的好办法，所以在usg中做一个类似于开局初始化向导一样的vpn一键配置向导肯定是必须的，这一点cisco的sdm配置工具还是做的很好的。可以进行对应借鉴和引用，早期版本的usg有做过vpn的一键配置向导，但是后来升级了版本就消失了，当然那个配置界面本质上来说，用户体验不是很好，还是需要在优化优化，更加的简单的、明了的解决vpn难配的好办法。总体思路，用户点完向导后，该写的配置就写进去，不要用户在手动干预什么就是一个完美的向导了，在现版本的usg防火墙这点还差很多，比如路由问题一键处理，区域间安全策略一键处理等等。
第九，ssl vpn的配置界面已经做的很好了，但是也是缺少一个一键配置的向导，所以还是需要再处理下，增加防火墙的亲和度。 如果一键向导没办法做的很好，那至少应该在ssl vpn的每个选项中做一个必选还是可选的红色米子号提示，这样用户配置ssl vpn的时候会更加的有方向性和目的性。
第十点，本质上来说，华为的web-manager在使用上还是有点小卡的，尤其在配置项目多或者负载高的情况下，整个web-manager的展示速度是很有问题的。为了增加用户体验度和用户等待的容忍度，可以将web-manager修改为类似于Microsoft windows 2012 的Microsoft powershell web的界面风格（上半部分是用户操作，下半部分是系统执行过程和系统执行结果的设计风格），看起来更加的cool，同时也可以中和卡的感觉。 可以借鉴下。
第十一点，关于ntp， 华为的设备中可以出厂集成几个ttl比较好的国内ntp-server， 增加ntp配置的简单程度和流畅性。如图所示的地方可以变成下拉列表，用户只需要去选择一个互联网的ntp-server即可完成（而不需要去记忆太多ip地址）。
第十二点，华为usg防火墙web-manager中的ip地址、子网掩码等不自动补全问题，ipv4地址分为三个类别，用户自行输入的ip地址输入那个范围的，按了tab按键的时候，可以自动帮用户补全，就算是vlsm的ip地址，那用户要修改的地方也比较少， ip地址比较多的情况下， usg防火墙不支持自动补全subnet mask。很让人头痛， 设计风格类似于Microsoft 的 ip地址配置，输入ip后，windows会自动填入一个有类的subnet mask。这里可以修改修改、优化优化。
第十三点，dns界面风格不统一问题，usg的整体web风格是基于按了添加后在弹新窗口的设计，dns这里的界面不合群，与整体设计风格不符，影响整体协调感和web美感，可以修正，从而与全局一致。
第十四点，web-manager上，接口的配置界面的右侧部分留有大部分的空白界面，没有很好的利用起来，不是所有的最终用户都是专家的，不是所有的人都明白这么所有的物理接口和逻辑接口的意思的，所以当用户点击了对应的接口后，在右边部分可以做对应的图例说明，类似于vpn界面的设计风格，从而增加产品用户体验和防火墙亲和度。
第十五点，usg的web-manager的dhcp server地址池的固化ip-mac关系不够自动化，具体来说就是“dhcp服务器”---静态地址绑定，正确的思路应该是，此dhcp server已经分配了多少ip地址，需要在这里可以可视化的看到，用户只需要简单的点击一个“绑定按钮”就可以搞到ip-mac的绑定关系，所以总结来说就是，这个页签缺少一个可视化的GUI的dhcp pool和一键绑定按钮。
第十六点，静态路由批量导入功能需要导入的文件是什么的格式呢？导入的文件要遵循什么格式呢？ 这里没有明确的模板可以参考，所以需要补充。
第十七点，ospf的area id的设计问题，用户只需要输入一个十进制号即可，底层系统应该帮用户自动变成四位十进制即可，这样更加符合人性化操作，比如用户需要建立area 10的区域，那就输入area 10的区域即可，不需要 area 0.0.0.10
0.0.0.10应该是系统底层帮助用户去翻译和解码的，就好像ospf可以输入子网掩码和反掩码一样，ospf本质上识别反掩码，但是用户输入子网掩码后系统会自动翻译为反掩码。这也是用户体验度增加的一个小细节。
第十八点，所有的厂家都有一个习惯，发给用户的设备肯定不是最新版本和最高版本，到了用户现场，还要手动升级到最新版本，为什么不能给用户的设备就是当时的当前最新版本呢？这也是增加用户体验的一个很好的方式，当然我觉得如果这个事情放大到厂家的处理角度的话，也许会因为工作流等问题变的比较复杂，看华为是否可以在流程上做什么比较好的改进呢？
第十九点，usg防火墙将vrp的CLI直接有效转化为web的配置方式的转换率暂时还没有达到100%，达到100%的时候就是一个成熟的、稳重的防火墙了，比如user-interface等界面还没有web化。
第二十点，usg里面有一个高级nat选项卡，这里面的配置是否和nat里面的虚拟服务器有重复呢？ 本质上来说，虚拟服务器这个页签可以满足所有的企业dnat发布业务，这里的“高级nat”有什么具体的业务场景吗？我觉得好像是一个重复选项，注：usg的早期版本的nat部分设计本有很多的多余和重复的，现在的最新版修改过后，好很多了。但是我觉得好像这里还是没有处理干净呢？
如下图所示，虚拟服务器页签其实已经可以处理所有的企业dnat业务了！ 第二十一点，用户经常需要重复配置的地方应该有一个“复制”的按钮设计是对的，比如，区域间策略用户经常使用，需要有一个可以通过现有策略去生成新策略的按钮（当然这里已经有了）， ip address-set 和nat等也是经常需要重复建立的部分，所以需要增加一个复制按钮，总体来说，我想说的是，用户现网环境中，哪些页签的功能是需要大量重复的，这里华为没有一个有效的调研和统计，造成了复制按钮的缺失。如下图所示，如下图所示。Ip-address set 没有复制按钮
如下图所示，snat部分没有复制按钮
第二十二，utm模块部分，整体设计思路很好，简单易用，最终实际效果明显，但是一些小地方细节设计不到位，如下Utm---对象---邮件地址组中的 前缀，后缀，精确，关键字的具体的格式应该什么样子呢，好歹应该有一个示例，Utm---对象---关键字组和文件类型组中的设计就是正常的设计，给了明确的例子，用户一看便知道华为这里的utm语法应该是什么，简单来说就是，这里缺少提示系统
第二十三，utm模块部分，整体设计思路很好，简单易用，最终实际效果明显，但是一些小地方细节设计不到位，如下Utm---对象---url址组中的 前缀，后缀，精确，关键字的具体的格式应该什么样子呢，好歹应该有一个示例，Utm---对象---关键字组和文件类型组中的设计就是正常的设计，给了明确的例子，用户一看便知道华为这里的utm语法应该是什么，简单来说就是，这里缺少提示系统
第二十四，utm模块部分，整体设计思路很好，简单易用，最终实际效果明显，但是一些小地方细节设计不到位，如下Utm---邮件过滤---垃圾邮件过滤的白名单和黑名单部分 ip地址/掩码 应该是域名的方式新建更加合理吧，难道要用户去查mail-server的对应ip地址吗？用FQDN形式的dns名称表达应该是更加符合用户使用习惯的。难道要让用户自己去解析，而且不是所有人都知道怎么解析ip和dns的关系的呀？
第二十五，vpn部分的设计，如最前面几条涉及到vpn相关的说明，只需要搞一个一键式向导即可解决好vpn的配置用户体验流畅性，需要向导一键处理virtual-templete接口、路由自动注入、acl、协议等等一系列涉及vpn的配置细节问题， 第二十六，l2tp over ipsec的配置不连贯，l2tp的配置完成后， 还需要到l2tp页签配置virtual-templete的ip地址，（正常情况下，用户好像不喜欢使用借用的unnumbered地址），尽管l2tp over ipsec可以正常工作。
第二十七，如上图所示， 如果是 点对点的 site-2-site vpn情况
总部的出口防火墙和分支机构的出口防火墙都使用这个“点到点”的页签进行镜像处理即可。那这里的箭头所指的***图例是错的，应该都标成***才是对的。
第二十八，sslvpn问题，这防火墙的ssl vpn web的备份按钮备份的都包含什么呢？ 文档上也没有交代清楚，测试过后，usg这里的backup的设计肯定是考虑不周到的我有两台型号一样的usg ， 在其中一台配置好一会， 将数据导出， 到另外一台上导入， ssl vpn 导入后要重启usg才可以生效， 于是重启但是整个ssl vpn的config 还是没有写入到新的防火墙， 这个得多试几次才能成功， 而且用户自定义的logo等信息一直无法正确进入， 故怀疑ssl vpn的备份按钮不备份用户自定义信息， 最妥善的backup方案就是：ssl vpn相关config+userdb+logo+banner。可以做如上的完善。
第二十九，ssl vpn 配置小细节优化：在ssl vpn中可以配置使用radius和ldap进行外部用户系统认证，radius和ldap用的肯定都是well-known的端口号， 这里应该提前默认填写好， 而不是让用户自己手动去填写，这里属于用户体验的一个小修改。
第三十，华为的 nac准入控制服务器tsm应该是已经停产了吧， 现在的替代产品是 agile controller，所以在这里做nac准入控制的话， 好歹把名字换一下嘛，至少应该使用agile controller吧？tsm肯定是可以连接上的， 使用agile controller可以吗？ 有做对应的向后兼容吗？感觉华为好像已经放弃了utm防火墙的系统软件升级维护了。或者我更愿意说你们因为粗心忘记修改这里的名字了， O(∩_∩)O哈哈~ 第三十一，第一小点：用户-- 上网用户----认证豁免ip：这里的ip地址设计是不是有点多余呢？ 用户的上网流量肯定需要在如下图这里填写。应该是填入trust区域的源ip地址，即用户是否需要被认证进行过滤。
第二小点，认证的方式这里的设计有些逻辑性问题需要处理，应该把本地密码认证作为一个下拉按钮，服务器密码认证做一个下拉按钮，免认证做一个下拉按钮，只允许单点登录做一个认证按钮，共计四个下拉按钮。且选择不同的按钮的时候不需要的对应选项应该屏蔽掉才对，比如，选择了“本地密码认证”后，认证服务器类型应该全部变成“灰色按钮“进行相应屏蔽，等等总结来说，我想说，这里缺少对应的判断语句和应该有的用户体验。
第三十二点，华为防火墙最好的web-manager效果：十一大按钮，两大向导（开局向导、vpn向导）。
第三十三： 防火墙的转发区域里面没有local区域，需要补上和完善
附件: 您需要
才可以下载或查看，没有帐号？
楼主意见很详细，待专家评审。希望楼主反馈问题能得到改善。另外，希望楼主中奖哦~
* 是否包含第三方商业秘密:
第三方商业秘密
第三方商业秘密是指第三方不为公众所知悉、具有商业价值并经权利人采取保密措施的技术信息和经营信息，包括但不限于：产品的价格信息、路标规划、商务授权、核心算法和源代码等。如有疑问，请联系:e.（各社区公共邮箱）。
如果附件按钮无法使用，请将Adobe Flash Player 更新到最新版本！新手求教USG6306防火墙如何配置_百度知道
新手求教USG6306防火墙如何配置
我有更好的答案
　　首先要配置一下全局的NAT，然后配置策略，方向是inside-&outside，源是any，目标是any，最后别忘了在核心交换机和防火墙上各加一个默认路由指向外网，防火墙具体命令可以度娘，流程就是上面这样。
为您推荐：
其他类似问题
您可能关注的内容
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。