防火墙策略实战:从零配置Trust到Untrust的访问控制 1. 防火墙基础概念与实验环境搭建第一次接触防火墙配置的朋友可能会被Trust和Untrust这些专业术语吓到其实理解起来很简单。想象你家的防盗门Trust区域就像是你信任的客厅Untrust区域则是门外可能有风险的公共走廊。防火墙就是那个智能门锁决定谁可以进出。我们先来搭建实验环境。我推荐使用华为eNSP模拟器这是目前最接近真实设备的免费工具。安装完成后你会看到这样的拓扑结构PC1Trust区域IP地址设为10.1.1.2/24防火墙管理口G0/0/0默认IP是192.168.0.1/24PC2Untrust区域IP地址设为30.1.1.2/24路由器需要配置到10.1.1.0/24网段的路由这里有个新手常踩的坑云设备的虚拟网卡配置。我建议使用VMware虚拟网卡比如VMnet8在eNSP的云设备配置中添加UDP端口时记得勾选双向通道否则后续Web登录会失败。上周帮学员排查问题时发现90%的连接问题都出在这个环节。2. 防火墙初始化配置实战登录防火墙有两种方式命令行和Web界面。新手建议先用命令行做基础配置再用Web界面做策略管理。用console线连接后你会看到这样的提示符USG6000V1 system-view [USG6000V1] interface GigabitEthernet 0/0/0 [USG6000V1-GigabitEthernet0/0/0] ip address 192.168.64.10 24这里有个关键命令很多人会忽略[USG6000V1-GigabitEthernet0/0/0] service-manage all permit这个命令相当于给管理接口开了绿色通道否则你连Web界面都打不开。我见过有工程师折腾两小时才发现是这个配置没做。改完IP后用浏览器访问https://192.168.64.10注意是HTTPS使用默认账号admin/Admin123登录。首次登录会强制修改密码建议设置包含大小写字母和特殊字符的强密码。3. 安全区域划分与接口配置防火墙的核心就是安全区域划分相当于给不同房间贴标签。我们这次实验需要创建Trust区域安全级别85创建Untrust区域安全级别5将G1/0/1接口加入Trust区域将G1/0/2接口加入Untrust区域在Web界面操作时注意这两个细节接口IP配置Trust侧接口配10.1.1.1/24Untrust侧配30.1.1.1/24安全级别数值数字越大越可信Trust区域建议85Untrust建议5-10这里有个真实案例某公司把财务部Trust和访客WiFiUntrust的安全级别都设为50结果访客可以直接访问财务系统。记住不同区域的安全级别数值必须有明显差距4. 访问控制策略配置详解防火墙默认遵循全拒绝原则就像关紧的大门。我们需要手动开一条缝[USG6000V1] security-policy [USG6000V1-policy-security] rule name Trust_to_Untrust [USG6000V1-policy-security-rule-Trust_to_Untrust] source-zone trust [USG6000V1-policy-security-rule-Trust_to_Untrust] destination-zone untrust [USG6000V1-policy-security-rule-Trust_to_Untrust] action permit这个策略的意思是允许从Trust区域到Untrust区域的所有流量。但注意没有配置反向策略Untrust→Trust没有限制具体协议和端口实际生产环境中我强烈建议加上协议限制比如只放通HTTP/HTTPS[USG6000V1-policy-security-rule-Trust_to_Untrust] service http https5. 路由配置与连通性测试防火墙不是路由器但需要知道怎么转发流量。关键配置[USG6000V1] ip route-static 30.1.1.0 24 30.1.1.254测试时用这个顺序在PC1 ping PC230.1.1.2→ 应该通在PC2 ping PC110.1.1.2→ 应该不通在PC1 telnet PC2的80端口→ 根据策略决定是否放行如果发现Trust→Untrust不通按这个顺序排查检查接口物理状态display interface brief验证安全区域绑定display zone查看策略命中计数display security-policy hit-count6. 生产环境配置建议实验成功只是第一步真实场景中还需要日志记录给策略加上logging功能[USG6000V1-policy-security-rule-Trust_to_Untrust] logging enable策略优化用地址集address-set管理IP范围NAT配置通常Untrust区域访问需要做地址转换时间控制给策略添加生效时间段有次客户反馈每晚8点网络异常后来发现是防火墙策略里设置了工作时间限制而管理员忘了这回事。建议给每个策略添加描述[USG6000V1-policy-security-rule-Trust_to_Untrust] description 允许内网访问互联网7. 常见问题排查指南遇到问题别慌先用这些命令收集信息display current-configuration | include policy # 查看所有策略 display session table verbose # 查看实时会话 ping -a 10.1.1.1 30.1.1.2 # 指定源IP测试最近遇到个典型case策略配置正确但就是不通最后发现是防火墙CPU利用率100%导致新建会话失败。关键是要有系统的排查思路物理层接口状态、网线连接网络层IP地址、路由表安全层区域绑定、策略顺序系统层CPU/内存利用率8. 策略优化与进阶技巧当策略超过20条时管理就会变得困难。我的经验是按业务分类命名规则比如OA_HTTP、VPN_Remote使用策略组功能归类相关规则设置策略生效时间段比如下班后自动收紧策略定期用工具分析策略使用频率清理半年未触发的规则有个高效技巧利用地址集和服务集简化配置。比如先定义[USG600V1] address-set type object [USG600V1-address-set-office] address 10.1.1.10 24 [USG600V1] service-set HTTP [USG600V1-service-set-HTTP] service http https然后在策略中直接引用这些集合后期维护只需修改集合定义即可。最后提醒每次修改前先用命令行保存配置save重大变更前先备份display current-configuration backup.txt。有次机房断电导致配置丢失幸好有前一天备份否则上百条策略要重配就惨了。