1. 项目概述与核心价值最近在帮一个朋友的公司做网络架构梳理他们新上了一套华为的USG6000V防火墙用来隔离办公网和服务器区。朋友那边的网管是个新手对着Web界面有点无从下手尤其是想实现内部员工Trust区域访问互联网Untrust区域这个最基础的需求时卡在了策略配置上。这让我想起其实很多刚接触华为防火墙的朋友都会被它那套基于“安全区域”的策略模型绕晕。今天我就以USG6000V为例手把手带你走一遍从零配置Trust到Untrust访问的全过程我会附上详细的Web界面操作截图确保你看完就能在自己的环境里复现。简单来说防火墙的核心工作就是“守门”它根据预先设定的规则决定哪些数据包可以通行哪些必须拦截。华为防火墙引入了“安全区域”的概念这就像给不同的网络区域贴上了标签比如“内部可信区”Trust和“外部不可信区”Untrust。我们的目标就是建立一条允许从Trust区域流向Untrust区域的通行规则。这不仅仅是点几下鼠标更重要的是理解其背后的逻辑为什么接口要绑定区域策略的各个参数到底是什么意思顺序有何讲究搞懂了这些你才算真正入门而不是只会照葫芦画瓢。2. 实验环境搭建与防火墙初始化2.1 实验拓扑与组件说明在开始配置之前我们必须先规划好实验环境。一个清晰、简单的拓扑是成功的一半。本次实验我们采用最经典的组网模型。实验拓扑图文字描述客户端PC模拟内部办公电脑IP地址设置为192.168.1.100/24网关指向防火墙的Trust区域接口地址。华为USG6000V防火墙作为核心安全设备。我们为其规划两个接口GigabitEthernet 0/0/0此接口连接内部网络我们将其划入Trust区域并配置IP地址192.168.1.1/24。GigabitEthernet 0/0/1此接口连接外部网络或模拟互联网的路由器我们将其划入Untrust区域并配置IP地址202.100.1.2/24假设这是运营商提供的公网IP。模拟互联网的路由器/服务器用于模拟外网资源IP地址为202.100.1.1/24。客户端最终将尝试访问此地址。注意在实际操作前请务必确保你的USG6000V防火墙镜像已正确导入到ENSPeNSP或相关虚拟化平台中并且能够正常启动。如果遇到启动时一直显示“#”号的问题通常与虚拟网卡驱动或镜像文件完整性有关需要检查镜像包是否匹配当前ENSP版本并尝试以管理员身份运行ENSP。2.2 防火墙Web界面首次接入华为USG6000V默认管理方式包括命令行Console和Web界面。对于新手Web界面更直观。但首先我们需要通过命令行完成最基础的网络接入配置。通过Console口登录使用串口工具如Putty、SecureCRT连接防火墙的Console口。默认用户名和密码通常是admin/Admin123具体请参考你的镜像文档。配置管理接口IP登录后我们需要给防火墙的一个接口配置IP地址以便我们的电脑能通过浏览器访问它。通常我们会用一个独立的接口如G0/0/0或使用默认的GigabitEthernet 0/0/0。HUAWEI system-view # 进入系统视图 [HUAWEI] sysname FW # 给设备命名方便识别 [FW] interface GigabitEthernet 0/0/0 [FW-GigabitEthernet0/0/0] ip address 192.168.1.1 24 # 配置接口IP [FW-GigabitEthernet0/0/0] quit开启HTTPS服务华为防火墙的Web服务基于HTTPS。[FW] http server enable # 开启HTTP/HTTPS服务器 [FW] http secure-server ssl-policy default # 启用HTTPS使用默认SSL策略创建管理员账号并赋予权限为了安全建议创建独立的管理员账号而非一直使用默认账号。[FW] aaa [FW-aaa] manager-user admin-web # 创建用户admin-web [FW-aaa-manager-user-admin-web] password cipher YourStrongPassword2024 # 设置密码 [FW-aaa-manager-user-admin-web] service-type http https # 允许该用户通过HTTP/HTTPS登录 [FW-aaa-manager-user-admin-web] level 15 # 赋予最高权限等级15 [FW-aaa-manager-user-admin-web] quit [FW-aaa] quit将管理接口加入安全区域这是关键一步防火墙的所有访问控制都基于区域。我们需要将管理接口G0/0/0加入一个区域并放行对该区域的本地访问Local。[FW] firewall zone trust # 进入Trust区域视图如果不存在会自动创建 [FW-zone-trust] add interface GigabitEthernet 0/0/0 # 将接口加入Trust区域 [FW-zone-trust] quit [FW] security-policy # 进入安全策略视图 [FW-policy-security] rule name permit_web_manage # 创建策略规则 [FW-policy-security-rule-permit_web_manage] source-zone trust # 源区域为Trust [FW-policy-security-rule-permit_web_manage] destination-zone local # 目的区域为Local设备本身 [FW-policy-security-rule-permit_web_manage] action permit # 动作为允许 [FW-policy-security-rule-permit_web_manage] quit [FW-policy-security] quit完成以上步骤后将你的电脑网卡IP设置为192.168.1.x/24网段如192.168.1.2网关可不设或设为192.168.1.1。打开浏览器输入https://192.168.1.1忽略证书警告使用刚才创建的admin-web用户和密码登录即可进入防火墙的Web管理界面。2.3 Web界面初览与基本设置成功登录后你会看到华为防火墙的Web驾驶舱。界面主要分为顶部菜单、左侧导航树和中间工作区。我们先进行几项基础设置让后续操作更顺畅。界面语言与主题在右上角可以切换中英文界面和显示主题根据个人习惯设置即可。查看系统状态首页仪表盘会显示CPU、内存利用率、会话数、威胁日志等关键信息这是日常运维需要经常关注的地方。保存配置这是一个极其重要的习惯在Web界面所做的任何配置都必须点击页面右上角或左下角的“保存”按钮将当前配置保存到设备的启动配置文件vrpcfg.zip中。否则设备重启后所有未保存的配置都会丢失。你可以在“系统 配置文件管理”中看到当前运行配置和已保存的启动配置。实操心得很多新手在Web界面配置了一堆东西测试也通了但一重启设备就“一夜回到解放前”问题就出在没有保存配置。我的习惯是每完成一个重要的配置阶段比如配完接口、配完策略就顺手点一下保存。此外华为防火墙的配置是实时生效的这既是优点也是风险意味着你配错一条策略可能立刻导致业务中断所以在生产环境操作务必谨慎最好有变更窗口。3. 安全区域与接口的深度绑定3.1 理解安全区域的核心思想在华为防火墙上“安全区域”不是一个物理概念而是一个逻辑上的安全边界。它是所有安全策略包括包过滤、ASPF、攻击防范等的基础。数据流在区域之间流动时才会受到安全策略的检查。同一个区域内的互访默认是不受策略控制的除非启用了域内策略。常见的预定义区域有Trust通常用于连接内部网络如办公网、数据中心信任程度高。Untrust通常用于连接外部网络如互联网信任程度低。DMZ用于连接对外提供服务的服务器区如Web服务器、邮件服务器信任程度介于Trust和Untrust之间。Local代表防火墙设备自身。所有以防火墙为目的地或源地址的流量其区域都是Local。例如你从PC访问防火墙的Web界面就是Trust - Local的流量。为什么必须绑定区域防火墙需要知道每一个数据包从哪个区域来源区域要到哪个区域去目的区域才能去匹配对应的安全策略规则。接口是流量进出的物理/逻辑门户将接口绑定到区域就等于给从这个门户进出的所有流量打上了区域标签。3.2 在Web界面配置接口与区域现在我们通过Web界面完成实验拓扑中的接口配置。配置Trust区域接口GE0/0/0导航至“网络 接口”。在接口列表中找到GigabitEthernet 0/0/0点击其名称或操作栏的“编辑”图标。在“基本配置”选项卡中工作模式选择“路由模式”这是我们最常见的模式接口需要配置IP地址。安全区域选择“trust”。这是最关键的一步IP地址选择“静态IP”地址填入192.168.1.1掩码填入255.255.255.0或下拉选择24。其他参数如MTU、描述信息等可暂时保持默认。点击“确定”。![配置Trust区域接口截图示意界面显示了GE0/0/0的配置对话框其中安全区域已选择trustIP地址已填写。]配置Untrust区域接口GE0/0/1同样在“网络 接口”页面编辑GigabitEthernet 0/0/1。工作模式“路由模式”。安全区域选择“untrust”。IP地址“静态IP”地址202.100.1.2掩码24。点击“确定”。验证接口状态配置完成后回到接口列表页面。你应该能看到GE0/0/0和GE0/0/1的“状态”为“Up”物理和协议状态都正常并且“安全区域”列分别显示为“trust”和“untrust”。如果状态为“Down”请检查在ENSP中该接口是否连接了网线即链路是否已连接。注意事项一个接口只能属于一个安全区域但一个安全区域可以包含多个接口。例如你可以将连接财务部和研发部的两个接口都加入Trust区域。此外Local区域是虚拟的你无法手动将接口加入其中它是防火墙自身流量的归属。3.3 配置默认路由指向外网要让内部用户能访问互联网防火墙必须知道如何将去往外部网络的流量送出去。这就需要配置默认路由将所有去往非本地直连网络的流量都指向下一跳通常是运营商的网关设备。导航至“网络 路由 静态路由”。点击“新建”。在弹出的对话框中目的地址/掩码填入0.0.0.0/0。这代表“所有未知目的地的流量”即默认路由。下一跳选择“IP地址”并填入我们模拟的外网网关地址202.100.1.1。在真实环境中这里填运营商提供的网关IP。出接口系统通常会根据下一跳IP自动关联到出接口GE0/0/1也可以手动选择以增加准确性。点击“确定”保存。至此防火墙的基础网络通道已经搭建完成内部客户端192.168.1.100将网关指向防火墙192.168.1.1防火墙则将所有非本地流量通过默认路由指向外部网关202.100.1.1。但是仅有路由还不够流量在穿越Trust和Untrust区域时会被安全策略拦截。4. 安全策略的精细配置放行Trust到Untrust4.1 解密安全策略五元组安全策略是防火墙的大脑它基于一系列匹配条件规则来判决流量的命运允许或拒绝。一条典型的安全策略规则包含以下几个核心要素常被称为“五元组”名称规则的标识便于管理和识别。源安全区域流量从哪里来。我们这里填trust。目的安全区域流量到哪里去。我们这里填untrust。源地址/目的地址可以进一步细化到具体的IP、网段或地址对象。为了简单起见我们先允许Trust区域所有地址访问Untrust区域所有地址。服务可以细化到具体的协议和端口例如只允许HTTP80端口、HTTPS443端口。我们先配置为any即允许所有服务。动作permit允许或deny拒绝。策略启用状态必须为“启用”。防火墙会按照策略列表的从上到下的顺序进行匹配。一旦流量匹配了某条规则就会执行该规则的动作并且不再继续匹配下面的规则。如果流量匹配了所有规则都没有命中则会命中系统最后一条隐式的“默认拒绝所有”规则流量被丢弃。4.2 在Web界面创建安全策略规则现在我们来创建允许内部访问互联网的核心策略。导航至“策略 安全策略 安全策略”。点击“新建”。在弹出的创建安全策略规则页面中逐项填写规则名称输入一个有意义的名称如trust_to_untrust_permit_all。源安全区域点击“选择”勾选trust。目的安全区域点击“选择”勾选untrust。源地址点击“选择”旁边的“新建”按钮创建一个地址对象。名称trust_network地址类型IP/掩码IP地址192.168.1.0掩码24点击“确定”保存地址对象然后在源地址中选择它。目的地址为了模拟访问任意互联网地址我们选择“any”。在生产环境中这里可能会被细化例如禁止访问某些恶意IP段。服务选择“any”。同样生产环境会细化如只允许http, https, dns等。动作选择“允许”。日志记录为了便于后期审计和排错建议勾选“记录会话日志”。初期可以选“不记录”待策略稳定后再开启。点击“确定”完成创建。![创建安全策略规则截图示意显示了规则配置对话框其中源区域为trust目的区域为untrust源地址为新建的trust_network对象动作为允许。]策略生效与顺序调整新建的规则默认会添加到列表的末尾。由于策略匹配是从上到下你必须确保这条允许规则放在任何可能拒绝它的规则之上。你可以通过规则列表操作栏的“上移”、“下移”按钮来调整顺序。一个最佳实践是精细的允许规则放在上面宽泛的拒绝规则放在下面最后是隐式的默认拒绝。4.3 配置NAT策略实现地址转换现在安全策略允许了流量从Trust到Untrust但还有一个关键问题我们内部客户端的IP地址192.168.1.100是私有地址无法在互联网上路由。因此当流量到达Untrust区域接口时防火墙需要将源IP地址替换成自己的公网接口IP202.100.1.2这个过程就是源NATSource NAT SNAT在华为防火墙上通常通过NAT策略或Easy IP来实现。这里我们使用最常用的“NAT策略”方式导航至“策略 NAT策略 NAT策略”。点击“新建”。配置NAT策略规则规则名称如trust_to_untrust_nat。源地址选择之前创建的trust_network对象。出接口选择GigabitEthernet 0/0/1即Untrust区域接口。这表示匹配的流量从这个接口出去时才做NAT。转换方式选择“NAT”。在“转换模式”下选择“动态转换”。转换地址选择“出接口地址”。这就是所谓的“Easy IP”方式直接将源IP转换为出接口的IP地址202.100.1.2。如果出接口有多个IP或你有地址池也可以选择其他方式。目的地址留空或选择“any”表示对所有目的地址都进行NAT。点击“确定”。![创建NAT策略规则截图示意显示了NAT策略配置对话框源地址为trust_network出接口为GE0/0/1转换方式为动态转换使用出接口地址。]核心原理解析NAT策略和安全策略是独立处理的两个模块但执行有先后顺序。对于出向流量Trust - Untrust先匹配安全策略再匹配NAT策略。也就是说安全策略检查的是转换前的原始数据包源IP: 192.168.1.100。只有安全策略允许通过数据包才会进入NAT处理流程将源IP转换为202.100.1.2然后从GE0/0/1接口发出。理解这个顺序对于后续排错至关重要。5. 功能验证与深度排错指南5.1 基础连通性测试配置完成后我们进行测试。在内部客户端PC192.168.1.100上操作。测试网关连通性ping 192.168.1.1这测试的是到防火墙Trust接口的连通性属于二层或直连路由应该成功。如果失败检查客户端IP/网关设置、防火墙接口状态及区域绑定。测试外网连通性模拟ping 202.100.1.1这测试的是穿越防火墙的访问。如果安全策略和NAT策略配置正确这里应该能ping通。这是最直接的业务层测试。5.2 利用防火墙工具进行诊断如果ping不通Web界面提供了强大的诊断工具不要盲目猜测。会话表查看导航至“监控 会话表”。会话表是防火墙的状态化检测核心。尝试从客户端ping 202.100.1.1后在此页面过滤源地址192.168.1.100。如果能看到会话例如协议ICMP源192.168.1.100 - 目的202.100.1.1状态为“多通道”或类似且NAT列显示转换后的地址202.100.1.2说明数据包已经成功穿过防火墙并建立了会话。此时外网不通可能是对端设备202.100.1.1未响应或路由问题。如果看不到会话说明数据包在到达会话建立阶段前就被丢弃了。问题可能出在路由或安全策略。策略命中检查在“策略 安全策略”列表的“命中计数”列查看你创建的trust_to_untrust_permit_all规则的命中数是否增加。如果增加说明策略匹配成功。如果不增加可能是流量未匹配例如区域绑定错误、地址对象不匹配或者流量在匹配策略前就被丢弃如路由不可达。包捕获工具这是最底层的排错利器。导航至“监控 包捕获”。你可以创建一个捕获任务在接口GigabitEthernet 0/0/0入方向和GigabitEthernet 0/0/1出方向上同时捕获ICMP协议的数据包。然后从客户端发起ping。通过对比两个接口捕获到的包你可以清晰地看到在GE0/0/0入接口是否收到了来自192.168.1.100的ping请求包在GE0/0/1出接口是否发出了源IP为202.100.1.2的ping请求包是否收到了回应的包如果入接口有包而出接口没有问题出在防火墙内部处理路由、策略、NAT。如果出接口有请求包但没回应包问题可能在对端或网络链路。5.3 常见问题排查速查表下表总结了从零配置过程中最常见的几个“坑”及其解决方法问题现象可能原因排查步骤与解决方法客户端无法ping通防火墙Trust接口(192.168.1.1)1. 客户端IP/子网掩码/网关配置错误。2. 防火墙GE0/0/0接口未开启或未加入区域。3. 防火墙本地安全策略未放行针对Web管理我们之前配了Trust-Local的策略但ICMP可能被默认拒绝。1. 检查客户端网络配置。2. 在Web界面“网络 接口”中确认GE0/0/0状态为Up安全区域为trust。3. 需要额外创建一条安全策略源区域trust目的区域local服务选择ping(ICMP)动作为允许。客户端可以ping通防火墙但ping不通外网(202.100.1.1)1. 防火墙缺省路由未配置或错误。2. 安全策略未正确配置或顺序有误。3. NAT策略未配置或配置错误。4. 对端设备(202.100.1.1)未配置回程路由或禁用ICMP。1. 检查“网络 路由 静态路由”中是否有正确的0.0.0.0/0路由。2. 检查安全策略规则是否启用、顺序是否在拒绝规则之上、源/目的区域、地址是否正确。3. 检查NAT策略规则确保源地址匹配、出接口正确、转换方式正确。4. 检查对端设备配置和路由。使用防火墙的“包捕获”工具定位数据包在何处丢失。Web界面可以登录但配置后业务不通配置未保存。立即检查并点击页面“保存”按钮运行配置和启动配置不一致是新手常犯的错误。会话表中有记录但业务不通如网页打不开1. NAT转换成功但高级安全功能如入侵防御、AV误拦截。2. 策略只放了ICMP(ping)未放行具体业务端口如TCP 80, 443。3. 存在不对称路由或Hairpin NAT内网通过公网IP访问内网服务器问题未处理。1. 暂时在“策略 安全策略”中编辑规则在“内容安全”等标签页下关闭所有检测选项进行测试。2. 在安全策略的服务中添加或选择具体的协议端口。3. 内网访问内网服务器公网IP的场景需配置NAT回流Hairpin和相应的安全策略源/目的区域可能都是trust。USG6000V在ENSP中启动卡在“#”号1. eNSP软件版本与USG6000V镜像版本不兼容。2. 虚拟网卡如VirtualBox Host-Only Network被禁用或异常。3. 镜像文件损坏。1. 确认使用的eNSP版本和USG6000V镜像包是官方推荐或已验证兼容的组合。2. 在“控制面板 网络和共享中心 更改适配器设置”中确保相关的虚拟网卡已启用。3. 重新下载或导入镜像包。以管理员身份运行eNSP。5.4 进阶策略优化与安全加固建议基础通了之后从安全角度考虑any to any的策略过于宽松。我们应该遵循“最小权限原则”进行优化细化服务端口编辑trust_to_untrust_permit_all策略将“服务”从any改为具体的服务组。例如新建一个服务组“Office_Internet”包含 HTTP(80/tcp)、HTTPS(443/tcp)、DNS(53/udp, 53/tcp)、Ping(ICMP)等办公必需协议。限制目的地址可以创建地址组将已知的恶意IP或非工作网站IP加入黑名单并在安全策略中拒绝访问这些地址。或者只允许访问特定的、可信的目的地址白名单模式但互联网场景较难实现。启用内容安全在安全策略规则的“内容安全”标签页下可以启用“入侵防御”、“反病毒”、“文件过滤”等功能为流量提供更深层次的安全防护。但初期建议先观察逐步开启避免误拦截影响业务。配置策略命中日志对于关键策略开启“记录会话日志”功能。这样可以在“监控 日志 策略日志”中查看到每条连接的匹配情况便于审计和故障回溯。配置防火墙是一个从“通”到“稳”再到“优”的过程。第一步保证网络连通性第二步保证策略稳定可靠第三步持续优化策略提升安全性和可管理性。这次分享的从Trust到Untrust的配置就是迈出了坚实的第一步。理解每一个配置项背后的含义善用诊断工具你就能从容应对大部分防火墙基础运维场景。
华为USG6000V防火墙配置实战:从零实现Trust到Untrust访问控制
发布时间:2026/6/17 15:17:31
1. 项目概述与核心价值最近在帮一个朋友的公司做网络架构梳理他们新上了一套华为的USG6000V防火墙用来隔离办公网和服务器区。朋友那边的网管是个新手对着Web界面有点无从下手尤其是想实现内部员工Trust区域访问互联网Untrust区域这个最基础的需求时卡在了策略配置上。这让我想起其实很多刚接触华为防火墙的朋友都会被它那套基于“安全区域”的策略模型绕晕。今天我就以USG6000V为例手把手带你走一遍从零配置Trust到Untrust访问的全过程我会附上详细的Web界面操作截图确保你看完就能在自己的环境里复现。简单来说防火墙的核心工作就是“守门”它根据预先设定的规则决定哪些数据包可以通行哪些必须拦截。华为防火墙引入了“安全区域”的概念这就像给不同的网络区域贴上了标签比如“内部可信区”Trust和“外部不可信区”Untrust。我们的目标就是建立一条允许从Trust区域流向Untrust区域的通行规则。这不仅仅是点几下鼠标更重要的是理解其背后的逻辑为什么接口要绑定区域策略的各个参数到底是什么意思顺序有何讲究搞懂了这些你才算真正入门而不是只会照葫芦画瓢。2. 实验环境搭建与防火墙初始化2.1 实验拓扑与组件说明在开始配置之前我们必须先规划好实验环境。一个清晰、简单的拓扑是成功的一半。本次实验我们采用最经典的组网模型。实验拓扑图文字描述客户端PC模拟内部办公电脑IP地址设置为192.168.1.100/24网关指向防火墙的Trust区域接口地址。华为USG6000V防火墙作为核心安全设备。我们为其规划两个接口GigabitEthernet 0/0/0此接口连接内部网络我们将其划入Trust区域并配置IP地址192.168.1.1/24。GigabitEthernet 0/0/1此接口连接外部网络或模拟互联网的路由器我们将其划入Untrust区域并配置IP地址202.100.1.2/24假设这是运营商提供的公网IP。模拟互联网的路由器/服务器用于模拟外网资源IP地址为202.100.1.1/24。客户端最终将尝试访问此地址。注意在实际操作前请务必确保你的USG6000V防火墙镜像已正确导入到ENSPeNSP或相关虚拟化平台中并且能够正常启动。如果遇到启动时一直显示“#”号的问题通常与虚拟网卡驱动或镜像文件完整性有关需要检查镜像包是否匹配当前ENSP版本并尝试以管理员身份运行ENSP。2.2 防火墙Web界面首次接入华为USG6000V默认管理方式包括命令行Console和Web界面。对于新手Web界面更直观。但首先我们需要通过命令行完成最基础的网络接入配置。通过Console口登录使用串口工具如Putty、SecureCRT连接防火墙的Console口。默认用户名和密码通常是admin/Admin123具体请参考你的镜像文档。配置管理接口IP登录后我们需要给防火墙的一个接口配置IP地址以便我们的电脑能通过浏览器访问它。通常我们会用一个独立的接口如G0/0/0或使用默认的GigabitEthernet 0/0/0。HUAWEI system-view # 进入系统视图 [HUAWEI] sysname FW # 给设备命名方便识别 [FW] interface GigabitEthernet 0/0/0 [FW-GigabitEthernet0/0/0] ip address 192.168.1.1 24 # 配置接口IP [FW-GigabitEthernet0/0/0] quit开启HTTPS服务华为防火墙的Web服务基于HTTPS。[FW] http server enable # 开启HTTP/HTTPS服务器 [FW] http secure-server ssl-policy default # 启用HTTPS使用默认SSL策略创建管理员账号并赋予权限为了安全建议创建独立的管理员账号而非一直使用默认账号。[FW] aaa [FW-aaa] manager-user admin-web # 创建用户admin-web [FW-aaa-manager-user-admin-web] password cipher YourStrongPassword2024 # 设置密码 [FW-aaa-manager-user-admin-web] service-type http https # 允许该用户通过HTTP/HTTPS登录 [FW-aaa-manager-user-admin-web] level 15 # 赋予最高权限等级15 [FW-aaa-manager-user-admin-web] quit [FW-aaa] quit将管理接口加入安全区域这是关键一步防火墙的所有访问控制都基于区域。我们需要将管理接口G0/0/0加入一个区域并放行对该区域的本地访问Local。[FW] firewall zone trust # 进入Trust区域视图如果不存在会自动创建 [FW-zone-trust] add interface GigabitEthernet 0/0/0 # 将接口加入Trust区域 [FW-zone-trust] quit [FW] security-policy # 进入安全策略视图 [FW-policy-security] rule name permit_web_manage # 创建策略规则 [FW-policy-security-rule-permit_web_manage] source-zone trust # 源区域为Trust [FW-policy-security-rule-permit_web_manage] destination-zone local # 目的区域为Local设备本身 [FW-policy-security-rule-permit_web_manage] action permit # 动作为允许 [FW-policy-security-rule-permit_web_manage] quit [FW-policy-security] quit完成以上步骤后将你的电脑网卡IP设置为192.168.1.x/24网段如192.168.1.2网关可不设或设为192.168.1.1。打开浏览器输入https://192.168.1.1忽略证书警告使用刚才创建的admin-web用户和密码登录即可进入防火墙的Web管理界面。2.3 Web界面初览与基本设置成功登录后你会看到华为防火墙的Web驾驶舱。界面主要分为顶部菜单、左侧导航树和中间工作区。我们先进行几项基础设置让后续操作更顺畅。界面语言与主题在右上角可以切换中英文界面和显示主题根据个人习惯设置即可。查看系统状态首页仪表盘会显示CPU、内存利用率、会话数、威胁日志等关键信息这是日常运维需要经常关注的地方。保存配置这是一个极其重要的习惯在Web界面所做的任何配置都必须点击页面右上角或左下角的“保存”按钮将当前配置保存到设备的启动配置文件vrpcfg.zip中。否则设备重启后所有未保存的配置都会丢失。你可以在“系统 配置文件管理”中看到当前运行配置和已保存的启动配置。实操心得很多新手在Web界面配置了一堆东西测试也通了但一重启设备就“一夜回到解放前”问题就出在没有保存配置。我的习惯是每完成一个重要的配置阶段比如配完接口、配完策略就顺手点一下保存。此外华为防火墙的配置是实时生效的这既是优点也是风险意味着你配错一条策略可能立刻导致业务中断所以在生产环境操作务必谨慎最好有变更窗口。3. 安全区域与接口的深度绑定3.1 理解安全区域的核心思想在华为防火墙上“安全区域”不是一个物理概念而是一个逻辑上的安全边界。它是所有安全策略包括包过滤、ASPF、攻击防范等的基础。数据流在区域之间流动时才会受到安全策略的检查。同一个区域内的互访默认是不受策略控制的除非启用了域内策略。常见的预定义区域有Trust通常用于连接内部网络如办公网、数据中心信任程度高。Untrust通常用于连接外部网络如互联网信任程度低。DMZ用于连接对外提供服务的服务器区如Web服务器、邮件服务器信任程度介于Trust和Untrust之间。Local代表防火墙设备自身。所有以防火墙为目的地或源地址的流量其区域都是Local。例如你从PC访问防火墙的Web界面就是Trust - Local的流量。为什么必须绑定区域防火墙需要知道每一个数据包从哪个区域来源区域要到哪个区域去目的区域才能去匹配对应的安全策略规则。接口是流量进出的物理/逻辑门户将接口绑定到区域就等于给从这个门户进出的所有流量打上了区域标签。3.2 在Web界面配置接口与区域现在我们通过Web界面完成实验拓扑中的接口配置。配置Trust区域接口GE0/0/0导航至“网络 接口”。在接口列表中找到GigabitEthernet 0/0/0点击其名称或操作栏的“编辑”图标。在“基本配置”选项卡中工作模式选择“路由模式”这是我们最常见的模式接口需要配置IP地址。安全区域选择“trust”。这是最关键的一步IP地址选择“静态IP”地址填入192.168.1.1掩码填入255.255.255.0或下拉选择24。其他参数如MTU、描述信息等可暂时保持默认。点击“确定”。![配置Trust区域接口截图示意界面显示了GE0/0/0的配置对话框其中安全区域已选择trustIP地址已填写。]配置Untrust区域接口GE0/0/1同样在“网络 接口”页面编辑GigabitEthernet 0/0/1。工作模式“路由模式”。安全区域选择“untrust”。IP地址“静态IP”地址202.100.1.2掩码24。点击“确定”。验证接口状态配置完成后回到接口列表页面。你应该能看到GE0/0/0和GE0/0/1的“状态”为“Up”物理和协议状态都正常并且“安全区域”列分别显示为“trust”和“untrust”。如果状态为“Down”请检查在ENSP中该接口是否连接了网线即链路是否已连接。注意事项一个接口只能属于一个安全区域但一个安全区域可以包含多个接口。例如你可以将连接财务部和研发部的两个接口都加入Trust区域。此外Local区域是虚拟的你无法手动将接口加入其中它是防火墙自身流量的归属。3.3 配置默认路由指向外网要让内部用户能访问互联网防火墙必须知道如何将去往外部网络的流量送出去。这就需要配置默认路由将所有去往非本地直连网络的流量都指向下一跳通常是运营商的网关设备。导航至“网络 路由 静态路由”。点击“新建”。在弹出的对话框中目的地址/掩码填入0.0.0.0/0。这代表“所有未知目的地的流量”即默认路由。下一跳选择“IP地址”并填入我们模拟的外网网关地址202.100.1.1。在真实环境中这里填运营商提供的网关IP。出接口系统通常会根据下一跳IP自动关联到出接口GE0/0/1也可以手动选择以增加准确性。点击“确定”保存。至此防火墙的基础网络通道已经搭建完成内部客户端192.168.1.100将网关指向防火墙192.168.1.1防火墙则将所有非本地流量通过默认路由指向外部网关202.100.1.1。但是仅有路由还不够流量在穿越Trust和Untrust区域时会被安全策略拦截。4. 安全策略的精细配置放行Trust到Untrust4.1 解密安全策略五元组安全策略是防火墙的大脑它基于一系列匹配条件规则来判决流量的命运允许或拒绝。一条典型的安全策略规则包含以下几个核心要素常被称为“五元组”名称规则的标识便于管理和识别。源安全区域流量从哪里来。我们这里填trust。目的安全区域流量到哪里去。我们这里填untrust。源地址/目的地址可以进一步细化到具体的IP、网段或地址对象。为了简单起见我们先允许Trust区域所有地址访问Untrust区域所有地址。服务可以细化到具体的协议和端口例如只允许HTTP80端口、HTTPS443端口。我们先配置为any即允许所有服务。动作permit允许或deny拒绝。策略启用状态必须为“启用”。防火墙会按照策略列表的从上到下的顺序进行匹配。一旦流量匹配了某条规则就会执行该规则的动作并且不再继续匹配下面的规则。如果流量匹配了所有规则都没有命中则会命中系统最后一条隐式的“默认拒绝所有”规则流量被丢弃。4.2 在Web界面创建安全策略规则现在我们来创建允许内部访问互联网的核心策略。导航至“策略 安全策略 安全策略”。点击“新建”。在弹出的创建安全策略规则页面中逐项填写规则名称输入一个有意义的名称如trust_to_untrust_permit_all。源安全区域点击“选择”勾选trust。目的安全区域点击“选择”勾选untrust。源地址点击“选择”旁边的“新建”按钮创建一个地址对象。名称trust_network地址类型IP/掩码IP地址192.168.1.0掩码24点击“确定”保存地址对象然后在源地址中选择它。目的地址为了模拟访问任意互联网地址我们选择“any”。在生产环境中这里可能会被细化例如禁止访问某些恶意IP段。服务选择“any”。同样生产环境会细化如只允许http, https, dns等。动作选择“允许”。日志记录为了便于后期审计和排错建议勾选“记录会话日志”。初期可以选“不记录”待策略稳定后再开启。点击“确定”完成创建。![创建安全策略规则截图示意显示了规则配置对话框其中源区域为trust目的区域为untrust源地址为新建的trust_network对象动作为允许。]策略生效与顺序调整新建的规则默认会添加到列表的末尾。由于策略匹配是从上到下你必须确保这条允许规则放在任何可能拒绝它的规则之上。你可以通过规则列表操作栏的“上移”、“下移”按钮来调整顺序。一个最佳实践是精细的允许规则放在上面宽泛的拒绝规则放在下面最后是隐式的默认拒绝。4.3 配置NAT策略实现地址转换现在安全策略允许了流量从Trust到Untrust但还有一个关键问题我们内部客户端的IP地址192.168.1.100是私有地址无法在互联网上路由。因此当流量到达Untrust区域接口时防火墙需要将源IP地址替换成自己的公网接口IP202.100.1.2这个过程就是源NATSource NAT SNAT在华为防火墙上通常通过NAT策略或Easy IP来实现。这里我们使用最常用的“NAT策略”方式导航至“策略 NAT策略 NAT策略”。点击“新建”。配置NAT策略规则规则名称如trust_to_untrust_nat。源地址选择之前创建的trust_network对象。出接口选择GigabitEthernet 0/0/1即Untrust区域接口。这表示匹配的流量从这个接口出去时才做NAT。转换方式选择“NAT”。在“转换模式”下选择“动态转换”。转换地址选择“出接口地址”。这就是所谓的“Easy IP”方式直接将源IP转换为出接口的IP地址202.100.1.2。如果出接口有多个IP或你有地址池也可以选择其他方式。目的地址留空或选择“any”表示对所有目的地址都进行NAT。点击“确定”。![创建NAT策略规则截图示意显示了NAT策略配置对话框源地址为trust_network出接口为GE0/0/1转换方式为动态转换使用出接口地址。]核心原理解析NAT策略和安全策略是独立处理的两个模块但执行有先后顺序。对于出向流量Trust - Untrust先匹配安全策略再匹配NAT策略。也就是说安全策略检查的是转换前的原始数据包源IP: 192.168.1.100。只有安全策略允许通过数据包才会进入NAT处理流程将源IP转换为202.100.1.2然后从GE0/0/1接口发出。理解这个顺序对于后续排错至关重要。5. 功能验证与深度排错指南5.1 基础连通性测试配置完成后我们进行测试。在内部客户端PC192.168.1.100上操作。测试网关连通性ping 192.168.1.1这测试的是到防火墙Trust接口的连通性属于二层或直连路由应该成功。如果失败检查客户端IP/网关设置、防火墙接口状态及区域绑定。测试外网连通性模拟ping 202.100.1.1这测试的是穿越防火墙的访问。如果安全策略和NAT策略配置正确这里应该能ping通。这是最直接的业务层测试。5.2 利用防火墙工具进行诊断如果ping不通Web界面提供了强大的诊断工具不要盲目猜测。会话表查看导航至“监控 会话表”。会话表是防火墙的状态化检测核心。尝试从客户端ping 202.100.1.1后在此页面过滤源地址192.168.1.100。如果能看到会话例如协议ICMP源192.168.1.100 - 目的202.100.1.1状态为“多通道”或类似且NAT列显示转换后的地址202.100.1.2说明数据包已经成功穿过防火墙并建立了会话。此时外网不通可能是对端设备202.100.1.1未响应或路由问题。如果看不到会话说明数据包在到达会话建立阶段前就被丢弃了。问题可能出在路由或安全策略。策略命中检查在“策略 安全策略”列表的“命中计数”列查看你创建的trust_to_untrust_permit_all规则的命中数是否增加。如果增加说明策略匹配成功。如果不增加可能是流量未匹配例如区域绑定错误、地址对象不匹配或者流量在匹配策略前就被丢弃如路由不可达。包捕获工具这是最底层的排错利器。导航至“监控 包捕获”。你可以创建一个捕获任务在接口GigabitEthernet 0/0/0入方向和GigabitEthernet 0/0/1出方向上同时捕获ICMP协议的数据包。然后从客户端发起ping。通过对比两个接口捕获到的包你可以清晰地看到在GE0/0/0入接口是否收到了来自192.168.1.100的ping请求包在GE0/0/1出接口是否发出了源IP为202.100.1.2的ping请求包是否收到了回应的包如果入接口有包而出接口没有问题出在防火墙内部处理路由、策略、NAT。如果出接口有请求包但没回应包问题可能在对端或网络链路。5.3 常见问题排查速查表下表总结了从零配置过程中最常见的几个“坑”及其解决方法问题现象可能原因排查步骤与解决方法客户端无法ping通防火墙Trust接口(192.168.1.1)1. 客户端IP/子网掩码/网关配置错误。2. 防火墙GE0/0/0接口未开启或未加入区域。3. 防火墙本地安全策略未放行针对Web管理我们之前配了Trust-Local的策略但ICMP可能被默认拒绝。1. 检查客户端网络配置。2. 在Web界面“网络 接口”中确认GE0/0/0状态为Up安全区域为trust。3. 需要额外创建一条安全策略源区域trust目的区域local服务选择ping(ICMP)动作为允许。客户端可以ping通防火墙但ping不通外网(202.100.1.1)1. 防火墙缺省路由未配置或错误。2. 安全策略未正确配置或顺序有误。3. NAT策略未配置或配置错误。4. 对端设备(202.100.1.1)未配置回程路由或禁用ICMP。1. 检查“网络 路由 静态路由”中是否有正确的0.0.0.0/0路由。2. 检查安全策略规则是否启用、顺序是否在拒绝规则之上、源/目的区域、地址是否正确。3. 检查NAT策略规则确保源地址匹配、出接口正确、转换方式正确。4. 检查对端设备配置和路由。使用防火墙的“包捕获”工具定位数据包在何处丢失。Web界面可以登录但配置后业务不通配置未保存。立即检查并点击页面“保存”按钮运行配置和启动配置不一致是新手常犯的错误。会话表中有记录但业务不通如网页打不开1. NAT转换成功但高级安全功能如入侵防御、AV误拦截。2. 策略只放了ICMP(ping)未放行具体业务端口如TCP 80, 443。3. 存在不对称路由或Hairpin NAT内网通过公网IP访问内网服务器问题未处理。1. 暂时在“策略 安全策略”中编辑规则在“内容安全”等标签页下关闭所有检测选项进行测试。2. 在安全策略的服务中添加或选择具体的协议端口。3. 内网访问内网服务器公网IP的场景需配置NAT回流Hairpin和相应的安全策略源/目的区域可能都是trust。USG6000V在ENSP中启动卡在“#”号1. eNSP软件版本与USG6000V镜像版本不兼容。2. 虚拟网卡如VirtualBox Host-Only Network被禁用或异常。3. 镜像文件损坏。1. 确认使用的eNSP版本和USG6000V镜像包是官方推荐或已验证兼容的组合。2. 在“控制面板 网络和共享中心 更改适配器设置”中确保相关的虚拟网卡已启用。3. 重新下载或导入镜像包。以管理员身份运行eNSP。5.4 进阶策略优化与安全加固建议基础通了之后从安全角度考虑any to any的策略过于宽松。我们应该遵循“最小权限原则”进行优化细化服务端口编辑trust_to_untrust_permit_all策略将“服务”从any改为具体的服务组。例如新建一个服务组“Office_Internet”包含 HTTP(80/tcp)、HTTPS(443/tcp)、DNS(53/udp, 53/tcp)、Ping(ICMP)等办公必需协议。限制目的地址可以创建地址组将已知的恶意IP或非工作网站IP加入黑名单并在安全策略中拒绝访问这些地址。或者只允许访问特定的、可信的目的地址白名单模式但互联网场景较难实现。启用内容安全在安全策略规则的“内容安全”标签页下可以启用“入侵防御”、“反病毒”、“文件过滤”等功能为流量提供更深层次的安全防护。但初期建议先观察逐步开启避免误拦截影响业务。配置策略命中日志对于关键策略开启“记录会话日志”功能。这样可以在“监控 日志 策略日志”中查看到每条连接的匹配情况便于审计和故障回溯。配置防火墙是一个从“通”到“稳”再到“优”的过程。第一步保证网络连通性第二步保证策略稳定可靠第三步持续优化策略提升安全性和可管理性。这次分享的从Trust到Untrust的配置就是迈出了坚实的第一步。理解每一个配置项背后的含义善用诊断工具你就能从容应对大部分防火墙基础运维场景。
