1. 防火墙基础概念与实验环境搭建
第一次接触防火墙配置的朋友可能会被"Trust"和"Untrust"这些专业术语吓到,其实理解起来很简单。想象你家的防盗门,Trust区域就像是你信任的客厅,Untrust区域则是门外可能有风险的公共走廊。防火墙就是那个智能门锁,决定谁可以进出。
我们先来搭建实验环境。我推荐使用华为eNSP模拟器,这是目前最接近真实设备的免费工具。安装完成后,你会看到这样的拓扑结构:
- PC1(Trust区域):IP地址设为10.1.1.2/24
- 防火墙:管理口G0/0/0默认IP是192.168.0.1/24
- PC2(Untrust区域):IP地址设为30.1.1.2/24
- 路由器:需要配置到10.1.1.0/24网段的路由
这里有个新手常踩的坑:云设备的虚拟网卡配置。我建议使用VMware虚拟网卡(比如VMnet8),在eNSP的云设备配置中添加UDP端口时,记得勾选"双向通道",否则后续Web登录会失败。上周帮学员排查问题时,发现90%的连接问题都出在这个环节。
2. 防火墙初始化配置实战
登录防火墙有两种方式:命令行和Web界面。新手建议先用命令行做基础配置,再用Web界面做策略管理。用console线连接后,你会看到这样的提示符:
<USG6000V1> system-view [USG6000V1] interface GigabitEthernet 0/0/0 [USG6000V1-GigabitEthernet0/0/0] ip address 192.168.64.10 24这里有个关键命令很多人会忽略:
[USG6000V1-GigabitEthernet0/0/0] service-manage all permit这个命令相当于给管理接口开了"绿色通道",否则你连Web界面都打不开。我见过有工程师折腾两小时才发现是这个配置没做。
改完IP后,用浏览器访问https://192.168.64.10(注意是HTTPS),使用默认账号admin/Admin@123登录。首次登录会强制修改密码,建议设置包含大小写字母和特殊字符的强密码。
3. 安全区域划分与接口配置
防火墙的核心就是安全区域划分,相当于给不同房间贴标签。我们这次实验需要:
- 创建Trust区域(安全级别85)
- 创建Untrust区域(安全级别5)
- 将G1/0/1接口加入Trust区域
- 将G1/0/2接口加入Untrust区域
在Web界面操作时,注意这两个细节:
- 接口IP配置:Trust侧接口配10.1.1.1/24,Untrust侧配30.1.1.1/24
- 安全级别数值:数字越大越可信,Trust区域建议85,Untrust建议5-10
这里有个真实案例:某公司把财务部(Trust)和访客WiFi(Untrust)的安全级别都设为50,结果访客可以直接访问财务系统。记住:不同区域的安全级别数值必须有明显差距!
4. 访问控制策略配置详解
防火墙默认遵循"全拒绝"原则,就像关紧的大门。我们需要手动开一条缝:
[USG6000V1] security-policy [USG6000V1-policy-security] rule name Trust_to_Untrust [USG6000V1-policy-security-rule-Trust_to_Untrust] source-zone trust [USG6000V1-policy-security-rule-Trust_to_Untrust] destination-zone untrust [USG6000V1-policy-security-rule-Trust_to_Untrust] action permit这个策略的意思是:允许从Trust区域到Untrust区域的所有流量。但注意:
- 没有配置反向策略(Untrust→Trust)
- 没有限制具体协议和端口
实际生产环境中,我强烈建议加上协议限制,比如只放通HTTP/HTTPS:
[USG6000V1-policy-security-rule-Trust_to_Untrust] service http https5. 路由配置与连通性测试
防火墙不是路由器,但需要知道怎么转发流量。关键配置:
[USG6000V1] ip route-static 30.1.1.0 24 30.1.1.254测试时用这个顺序:
- 在PC1 ping PC2(30.1.1.2)→ 应该通
- 在PC2 ping PC1(10.1.1.2)→ 应该不通
- 在PC1 telnet PC2的80端口→ 根据策略决定是否放行
如果发现Trust→Untrust不通,按这个顺序排查:
- 检查接口物理状态(display interface brief)
- 验证安全区域绑定(display zone)
- 查看策略命中计数(display security-policy hit-count)
6. 生产环境配置建议
实验成功只是第一步,真实场景中还需要:
- 日志记录:给策略加上logging功能
[USG6000V1-policy-security-rule-Trust_to_Untrust] logging enable - 策略优化:用地址集(address-set)管理IP范围
- NAT配置:通常Untrust区域访问需要做地址转换
- 时间控制:给策略添加生效时间段
有次客户反馈每晚8点网络异常,后来发现是防火墙策略里设置了工作时间限制,而管理员忘了这回事。建议给每个策略添加描述:
[USG6000V1-policy-security-rule-Trust_to_Untrust] description "允许内网访问互联网"7. 常见问题排查指南
遇到问题别慌,先用这些命令收集信息:
display current-configuration | include policy # 查看所有策略 display session table verbose # 查看实时会话 ping -a 10.1.1.1 30.1.1.2 # 指定源IP测试最近遇到个典型case:策略配置正确但就是不通,最后发现是防火墙CPU利用率100%导致新建会话失败。关键是要有系统的排查思路:
- 物理层:接口状态、网线连接
- 网络层:IP地址、路由表
- 安全层:区域绑定、策略顺序
- 系统层:CPU/内存利用率
8. 策略优化与进阶技巧
当策略超过20条时,管理就会变得困难。我的经验是:
- 按业务分类命名规则,比如"OA_HTTP"、"VPN_Remote"
- 使用策略组功能归类相关规则
- 设置策略生效时间段,比如下班后自动收紧策略
- 定期用工具分析策略使用频率,清理半年未触发的规则
有个高效技巧:利用地址集和服务集简化配置。比如先定义:
[USG600V1] address-set type object [USG600V1-address-set-office] address 10.1.1.10 24 [USG600V1] service-set HTTP [USG600V1-service-set-HTTP] service http https然后在策略中直接引用这些集合,后期维护只需修改集合定义即可。
最后提醒:每次修改前先用命令行保存配置(save),重大变更前先备份(display current-configuration > backup.txt)。有次机房断电导致配置丢失,幸好有前一天备份,否则上百条策略要重配就惨了。
