华为防火墙实战：从零配置Trust、DMZ、Untrust三区域网络互访（附Web界面截图）

华为防火墙三区域互访实战：Web界面全流程配置指南

当企业网络规模逐渐扩大，内部办公区、对外服务器区和互联网接入区之间的安全隔离与可控互通成为刚需。华为USG系列防火墙的Trust-DMZ-Untrust三区域模型，正是为解决这一需求而设计的经典架构。本文将带您从零开始，通过Web图形界面完成三个安全区域的创建、接口配置、策略调优全流程，即使您是第一次接触华为防火墙也能轻松上手。

1. 环境规划与基础概念

在开始配置之前，我们需要明确三个安全区域的定义和典型部署场景：

• Trust区域：通常对应企业内部办公网络，需要最高级别的安全保护，默认允许主动访问其他区域
• DMZ区域：放置对外提供服务的服务器（如Web、Mail），安全级别介于内外网之间
• Untrust区域：连接互联网等不可信网络，默认禁止所有入站访问

建议先绘制简单的网络拓扑图，明确各区域对应的物理接口和IP规划。例如：

提示：实际部署时应根据业务需求确定IP规划，建议DMZ区使用与内网不同的网段以便于策略管理

2. 初始化防火墙与接口配置

首次登录Web界面（默认地址https://192.168.1.1），建议立即完成以下操作：

1. 修改默认凭证：在"系统 > 管理员"中更改admin密码
2. 升级系统版本：检查"系统 > 维护"中的固件更新
3. 配置时区/NTP：确保日志时间准确，位于"系统 > 系统配置"

接下来配置各区域物理接口：

# Trust区域接口示例配置 接口名称: GE1/0/1 工作模式: 三层 安全区域: Trust IP地址: 192.168.1.1/24 管理状态: 开启

关键配置项说明：

• 安全区域绑定：必须正确指定接口所属区域
• MTU值：通常保持默认1500，跨运营商场景可能需要调整
• 速率双工：建议设为"自动协商"除非遇到兼容性问题

3. 安全策略深度配置

区域互通的核心在于安全策略的精细控制。建议采用"最小权限原则"逐步放开访问：

3.1 Trust到DMZ策略

源区域: Trust 目的区域: DMZ 源地址: 192.168.1.0/24 目的地址: 172.16.1.100-172.16.1.120 服务: HTTP/HTTPS/RDP 动作: 允许

3.2 DMZ到Untrust策略

源区域: DMZ 目的区域: Untrust 源地址: 172.16.1.0/24 目的地址: any 服务: DNS/HTTP/HTTPS/SMTP 动作: 允许 日志: 开启

注意：生产环境应避免使用"any"作为目的地址，建议明确指定需要访问的公网IP段

4. 高级功能与排错技巧

4.1 NAT配置（DMZ服务器发布）

通过"策略 > NAT策略"创建端口映射：

4.2 常见连通性问题排查

1. 基础检查清单：

   • 接口物理状态是否up
   • 安全区域是否绑定正确
   • 接口IP是否在同一子网
   • 路由表中是否存在有效路由

2. 诊断工具使用：

   • Ping测试（系统 > 维护 > 诊断工具）
   • 抓包分析（策略 > 日志 > 流量日志）
   • 策略命中统计（策略 > 安全策略 > 点击策略名称）

3. 典型故障案例：

   • 能ping通但应用无法访问 → 检查服务端口是否放行
   • 单向通信正常 → 检查往返路径策略
   • 间歇性中断 → 检查ARP表项和会话超时时间

5. 安全加固与最佳实践

完成基础配置后，建议实施以下增强措施：

系统层面加固：

• 启用防ARP欺骗（网络 > ARP防护）
• 配置登录失败锁定（系统 > 管理员 > 安全策略）
• 关闭不必要的服务（系统 > 服务管理）

策略优化建议：

• 为不同部门创建地址组便于管理
• 为关键业务配置QoS保证带宽
• 定期审计策略有效性（策略 > 安全策略 > 策略优化）

监控与维护：

• 配置日志服务器（系统 > 日志 > 日志主机）
• 设置流量阈值告警（监控 > 告警配置）
• 定期备份配置（系统 > 维护 > 配置备份）

实际部署中遇到过一个典型案例：某企业财务系统突然无法访问DMZ区的ERP服务器，最终发现是因为安全策略中漏配了Oracle数据库端口。这提醒我们，在配置策略时要充分了解应用的所有通信端口需求。