以下是针对 思科(Cisco ASA/Firepower)、华三(H3C)、华为(Huawei USG)防火墙 的基础配置指南,涵盖 区域划分、安全策略、NAT、路由 等核心功能。配置示例基于通用场景,实际部署时需根据网络环境调整。
一、配置防火墙区域(Zone)
1. 思科防火墙(Cisco ASA)
ASA 使用 安全级别(Security Levels) 隐式划分逻辑区域,接口的安全级别决定流量方向(高到低默认允许,低到高需配置ACL)。
bash
复制
下载
! 配置接口名称和IP
interface GigabitEthernet0/0
nameif outside # 外部区域(安全级别默认0)
security-level 0
ip address 203.0.113.1 255.255.255.0
interface GigabitEternet0/1
nameif inside # 内部区域(安全级别100)
security-level 100
ip address 192.168.1.1 255.255.255.02. 华三防火墙(H3C)
华三通过显式定义安全区域(Zone),并将接口加入区域。
bash
复制
下载
# 创建安全区域
security-zone name Inside
security-zone name Outside
# 将接口加入区域
interface GigabitEthernet0/0
port link-mode route
ip address 203.0.113.1 24
security-zone Outside
interface GigabitEthernet0/1
port link-mode route
ip address 192.168.1.1 24
security-zone Inside3. 华为防火墙(Huawei USG)
华为同样显式定义安全区域并绑定接口。
bash
复制
下载
# 创建安全区域
firewall zone name Inside
set priority 85
firewall zone name Outside
set priority 5
# 将接口加入区域
interface GigabitEthernet0/0/0
ip address 203.0.113.1 24
firewall zone Outside
interface GigabitEthernet0/0/1
ip address 192.168.1.1 24
firewall zone Inside二、配置安全策略(允许内网访问外网)
1. 思科防火墙(Cisco ASA)
bash
复制
下载
! 允许内部到外部的所有流量
access-list INSIDE_OUT permit ip any any
access-group INSIDE_OUT in interface inside2. 华三防火墙(H3C)
bash
复制
下载
# 创建策略允许内部到外部
security-policy ip
rule name INSIDE_TO_OUTSIDE
source-zone Inside
destination-zone Outside
source-ip 192.168.1.0 24
action pass3. 华为防火墙(Huawei USG)
bash
复制
下载
# 创建策略规则
policy interzone Inside Outside outbound
policy 0
action permit
source 192.168.1.0 0.0.0.255
service any三、配置NAT(源地址转换)
1. 思科防火墙(Cisco ASA)
bash
复制
下载
! 配置动态PAT(内部IP转换为外部接口IP)
object network INSIDE_NET
subnet 192.168.1.0 255.255.255.0
nat (inside,outside) dynamic interface2. 华三防火墙(H3C)
bash
复制
下载
# 配置源NAT(Easy-IP模式)
nat address-group 0
mode pat
section 0 203.0.113.1 203.0.113.1
acl advanced 3000
rule 0 permit ip source 192.168.1.0 0.0.0.255
nat outbound 3000 address-group 03. 华为防火墙(Huawei USG)
bash
复制
下载
# 配置源NAT(接口地址转换)
nat-policy interzone Inside Outside outbound
policy 0
source 192.168.1.0 24
action source-nat
easy-ip enable四、配置路由(静态路由)
1. 思科防火墙(Cisco ASA)
bash
复制
下载
! 配置默认路由指向外网网关
route outside 0.0.0.0 0.0.0.0 203.0.113.2542. 华三防火墙(H3C)
bash
复制
下载
# 配置默认路由
ip route-static 0.0.0.0 0 203.0.113.2543. 华为防火墙(Huawei USG)
bash
复制
下载
# 配置默认路由
ip route-static 0.0.0.0 0.0.0.0 203.0.113.254五、验证配置
1. 思科防火墙
bash
复制
下载
show route # 查看路由表
show nat detail # 检查NAT规则
show access-list # 查看ACL策略2. 华三防火墙
bash
复制
下载
display security-policy all # 查看安全策略
display nat outbound # 查看NAT规则
display ip routing-table # 查看路由表3. 华为防火墙
bash
复制
下载
display firewall session table # 查看会话表
display nat-policy # 查看NAT策略
display ip routing-table # 查看路由表六、常见问题排查
-
流量不通
-
检查接口状态(
display interface/show interface)。 -
确认安全策略是否匹配流量(检查策略命中计数)。
-
验证NAT规则是否生效(查看转换后的地址)。
-
-
NAT失效
-
确保NAT规则的应用方向(inbound/outbound)正确。
-
检查地址池或接口IP是否可达。
-
-
路由缺失
-
确认静态路由的下一跳地址正确且可达。
-
检查防火墙是否启用了路由功能(某些场景需关闭透明模式)。
-
总结
-
区域划分:明确接口所属安全区域,控制流量流向。
-
安全策略:按最小权限原则开放必要流量(建议细化到端口)。
-
NAT配置:确保内部地址正确转换为公网地址。
-
路由配置:保证防火墙能正确转发流量到下一跳。
根据实际需求,可扩展配置 端口映射(目的NAT) 、VPN 、高可用性(HA) 等功能。