nowe urządzenie na warsztacie – czyli pierwsze starcie z Huawei USG

Po długim poszukiwaniu dostępu do urządzenia Huawei z rodziny firewall, dzięki uprzejmości firmy S4E, udało mi się dostać w ręce model USG6330. Zobaczymy co przysłowiowy “chińczyk” potrafi i jak bardzo różni się on od możliwości urządzeń typu PaloAlto czy Fortinet. Nie będę tutaj się skupiać na aspektach wydajnościowych – nie będę wyciskać siódmych potów. Nie pozwolę jednak aby się nudziło, ponieważ ze specyfikacji wydaje się, że jest to bardzo wydajne urządzenie. Przetestuję podstawowe funkcjonalności tego rozwiązania.

Poniżej rysunek poglądowy w jaki sposób na chwilę obecną wszystko jest połączone:

usg_6330

Pierwsze uruchomienie

Pierwsze logowanie po połączeniu konsolowym:

Domyślny login i hasło to admin/Admin@123 gdzie przy pierwszym logowaniu jesteśmy proszeni o zmianę.

Wyświetlamy konfigurację:

Jak widzimy na konfiguracji powyżej port MGMT to interface GigabitEthernet0/0/0, który ma adres 192.168.0.1. Bierzemy jakiś pc/laptop i wpinamy się do niego.

Logujemy się do www naszego urządzenia https://192.168.0.1:8443

Dane do logowania:

user: admin
password: takie jak ustawiliśmy wcześniej podczas zmiany

usg_fw_00

Po zalogowaniu się zobaczymy kreator wstępnej konfiguracji. Przy pierwszym uruchomieniu skorzystam z niego.

usg_fw_01

Klikamy next, w nowym oknie konfigurujemy czas na urządzeniu, tryb (Configuration Mode), gdzie wybieramy sposób konfiguracji czasu, (wybrałem synchronizacja z serwerem czasu (NTP)), ustawiamy strefę czasową oraz datę i czas. Tu trzeba zaznaczyć, że NTP serwer musi być IP, nie FQDN.

usg_fw_02

W kolejnym oknie konfigurujemy połączenie z siecią WAN lub Internet. W mym przypadku jest to połączenie do sieci Internet. Jak widać niżej, mamy wiele możliwości konfiguracyjnych.

usg_fw_03

Wcześniej wybraliśmy Static IP, natomiast w nowym oknie wybieramy, który Interfejs jest podłączony do sieci Internet oraz go adresujemy.

usg_fw_04

W nowym oknie konfigurujemy interfejs, który będzie podłączony do sieci LAN oraz go adresujemy.

usg_fw_05

W kolejnym kroku mamy możliwość uruchomienia serwera DHCP oraz określenia zakresu adresacji dla niego:

usg_fw_06

W kolejnym oknie dostajemy natomiast podsumowanie naszej wprowadzonej konfiguracji.

usg_fw_07

Po kliknięciu Apply zostanie wprowadzona konfiguracja na urządzenie.

usg_fw_08

Po kliknięciu Finish  pokaże się nam Dashboard, który mam na urządzeniu.

usg_fw_09

W kolejnym etapie wgrywamy licencję. W tym celu przechodzimy do System–>License Mangamnet, gdzie wybieramy Local manual activation po czym wybieramy nasz plik z licencją.

usg_fw_15

Po wgraniu licencji zauważamy, że daty się zmieniły

usg_fw_16

W celu wykonania upgrade sygnatur przechodzimy do System–>Update Center, gdzie widzimy paczki, które można zaktualizować (domyślnie są one aktualizowane codziennie o 23:01)

usg_fw_17

Po kliknięciu Update Immediately możemy wymusić aktualizację, ale tu napotkałem pierwszy problem (pomimo ustawionych DNS’ów system nie umiał rozwiązywać nazw na ip, co widać wyżej na rysunku).

Dla testów wykonywałem testy z konsoli:

Po wielu próbach zmian w konfiguracji, okazało się, że z poziomu konsoli wystarczy wydać następujące polecenie:

Tego parametru nie znalazłem w web gui.

Aktualizacja z poziomu CLI

Włączenie ssh

dajemy uprawnienia userowi admin do logowania się po SSH:

dodajemy możliwość logowania sia po ssh na danym interfejsie:

na koniec prac zapisujemy konfigurację:

Po powyższych zabiegach mamy wstępnie skonfigurowane urządzenie i zaktualizowane sygnatury oraz mamy dostęp do urządzenia po ssh.

Jak widać powyżej, pewne rzeczy są możliwe do skonfigurowania jedynie z poziomu CLI, a innym razem z GUI. Po zaprzyjaźnieniu się z CLI stwierdzam, że  podstawowe konfiguracje lepiej jest wykonać właśnie z tego poziomu ale zobaczymy jak pójdzie z pisaniem polityk dla nat’ów czy security…