一、华为防火墙(USG 系列,eNSP 中模拟的 USG6000V)
是一种网络安全设备,主要部署在网络边界,用于隔离不同信任级别的网络区域,提供访问控制和威胁防护。
作用
- 区域隔离:将网络划分为不同安全域(如 Trust、Untrust、DMZ、Local),防止未经授权的访问。
- 访问控制:通过安全策略控制流量方向、源/目的地址、服务类型,实现精细化许可或拒绝。
- 地址转换(NAT):解决 IPv4 地址不足,实现内网私有地址到公网地址的转换,支持源 NAT、目的 NAT 等。
- 威胁防护:集成 IPS(入侵防御)、AV(防病毒)、应用识别等功能,防御攻击、病毒和恶意流量。
- 其他功能:支持 VPN、负载均衡、高可用性(HRP 热备)等。
意义
- 提升网络安全性:在企业园区网、数据中心、互联网出口等场景中,防火墙是第一道防线,能有效阻挡外部攻击,保护内部资源。
- 合规与业务连续性:满足等保、GDPR 等法规要求,确保数据机密性、完整性和可用性。
- 与路由器/交换机的区别:路由器/交换机重点转发报文,防火墙重点"控制"报文(状态检测、深度包检查),更注重安全。
- 在 eNSP 中的意义:eNSP 模拟 USG6000V 等虚拟防火墙,便于学习 HCIA/HCIE Security 认证、实验验证配置,而无需真实硬件。
华为防火墙默认安全区域:Local(优先级 100,本体)、Trust(85,可信内网)、DMZ(50,半信任服务器区)、Untrust(5,不可信外网)。优先级越高越可信,同域内互通,不同域间默认隔离(除 Local 到其他域部分放行)。
二、安全区域详解(5大区域)
| 安全域 | 安全优先级 | 作用 | 配置命令示例 |
|---|---|---|---|
| untrust | 5 | 不信任域(互联网) | firewall zone untrust |
| dmz | 50 | 隔离区(对外服务) | firewall zone dmz |
| trust | 85 | 信任域(内网) | firewall zone trust |
| local | 100 | 本地域(防火墙自身) | firewall zone local |
| management | 100 | 管理域(管理接口) | firewall zone management |
安全原则 :从低安全区域(untrust)到高安全区域(trust)的访问必须 配置显式策略,默认策略为
deny。
三、环境准备(关键步骤)
1. 环回适配器配置(必须正确)
- 目的:为ENSP提供网络接口
- 配置步骤 :
- 设备管理器 → 网络适配器 → 添加过时硬件
- 选择"Microsoft KM-TEST环回适配器"
- IP配置 :
192.168.0.2/24(不能是192.168.0.1) - 重启计算机(确保生效)
2. Cloud设备配置(关键)
- 配置步骤 :
- 双击Cloud设备 → "配置" → "添加"
- 选择"UDP"类型 → "增加" → 绑定"Microsoft KM-TEST环回适配器"
- 端口映射设置:
- 端口类型:
Ethernet - 入端口号:
1 - 出端口号:
2 - 勾选"双向通道"
- 端口类型:
常见问题:若绑定失败,需卸载并重新安装WinPcap。
四、防火墙基础配置
1. 管理接口配置(Web登录必备)
[USG6000V1]sysname USG6000V1
[USG6000V1]interface GigabitEthernet 0/0/0
[USG6000V1-GigabitEthernet0/0/0]ip address 192.168.0.1 24
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit # 关键:开启所有管理服务
[USG6000V1-GigabitEthernet0/0/0]quit2. Web登录步骤
| 步骤 | 操作 |
|---|---|
| 1 | 首次登录:用户名admin,密码Admin@123 |
| 2 | 系统提示修改密码 → 输入新密码(如Huawei@123) |
| 3 | 浏览器访问:https://192.168.0.1:8443 |
| 4 | 点击"高级" → "继续前往192.168.0.1(不安全)" |
| 5 | 输入新用户名/密码登录 |
重要提示 :必须配置
service-manage all permit,否则Web登录失败。
五、安全策略配置(核心功能)
1. 典型策略配置示例
# 1. 配置TRUST区域访问UNTRUST区域
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1
[USG6000V1-zone-trust]quit
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface GigabitEthernet 0/0/0
[USG6000V1-zone-untrust]quit
[USG6000V1]policy interzone trust untrust outbound
[USG6000V1-policy-interzone-trust-untrust-outbound]policy 1
[USG6000V1-policy-interzone-trust-untrust-outbound-1]action permit
[USG6000V1-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.0 24
[USG6000V1-policy-interzone-trust-untrust-outbound-1]quit
# 2. 配置UNTRUST访问DMZ区域(对外服务)
[USG6000V1]firewall zone dmz
[USG6000V1-zone-dmz]add interface GigabitEthernet 1/0/2
[USG6000V1-zone-dmz]quit
[USG6000V1]policy interzone untrust dmz outbound
[USG6000V1-policy-interzone-untrust-dmz-outbound]policy 1
[USG6000V1-policy-interzone-untrust-dmz-outbound-1]action permit
[USG6000V1-policy-interzone-untrust-dmz-outbound-1]policy source 0.0.0.0 0
[USG6000V1-policy-interzone-untrust-dmz-outbound-1]policy destination 192.168.172.0 24
[USG6000V1-policy-interzone-untrust-dmz-outbound-1]quit2. 策略配置原则
| 区域 | 通信方向 | 策略类型 | 说明 |
|---|---|---|---|
| trust → untrust | 出方向 | 需配置 | 内网访问外网 |
| untrust → trust | 入方向 | 禁止 | 外网不能主动访问内网 |
| trust → dmz | 出方向 | 需配置 | 内网访问对外服务器 |
| untrust → dmz | 出方向 | 需配置 | 外网访问对外服务器 |
六、DHCP服务配置
1. 完整配置
[USG6000V1]dhcp enable # 全局启用DHCP
[USG6000V1]ip pool dhcp-a
[USG6000V1-ip-pool-dhcp-a]network 172.16.1.0 mask 24
[USG6000V1-ip-pool-dhcp-a]dns-list 10.0.0.30
[USG6000V1-ip-pool-dhcp-a]gateway-list 172.16.1.254
[USG6000V1-ip-pool-dhcp-a]quit
[USG6000V1]ip pool dhcp-b
[USG6000V1-ip-pool-dhcp-b]network 172.16.2.0 mask 24
[USG6000V1-ip-pool-dhcp-b]gateway-list 172.16.2.254
[USG6000V1-ip-pool-dhcp-b]dns-list 10.0.0.30
[USG6000V1-ip-pool-dhcp-b]quit
[USG6000V1]interface GigabitEthernet 1/0/1.1
[USG6000V1-GigabitEthernet1/0/1.1]dhcp select global # 关键:启用全局DHCP2. 配置要点
dhcp enable:必须全局启用DHCP服务ip pool:为不同VLAN创建独立地址池dhcp select global:在接口上启用DHCP服务- 优先使用
global模式(而非接口地址池
七、实战配置案例:内网访问外网 + NAT(典型企业出口场景)
组网需求:
- 内网(Trust 区)PC 可访问外网(Untrust 区)。
- 内网使用私有地址,出接口做源 NAT 转换公网地址。
- 外网无法主动访问内网。
防火墙配置步骤(USG6000V):
-
接口加入安全域并配置 IP:
<USG> system-view [USG] sysname FW [FW] firewall zone trust // 创建/进入 Trust 区(默认存在) [FW-zone-trust] set priority 85 // 设置优先级(可选) [FW-zone-trust] add interface GigabitEthernet 0/0/1 // 内网接口加入 Trust [FW-zone-trust] quit [FW] firewall zone untrust [FW-zone-untrust] set priority 5 [FW-zone-untrust] add interface GigabitEthernet 0/0/0 // 外网接口加入 Untrust [FW-zone-untrust] quit [FW] interface GigabitEthernet 0/0/1 // 内网接口 [FW-GigabitEthernet0/0/1] ip address 192.168.1.1 255.255.255.0 [FW-GigabitEthernet0/0/1] quit [FW] interface GigabitEthernet 0/0/0 // 外网接口 [FW-GigabitEthernet0/0/0] ip address 200.1.1.1 255.255.255.0 // 公网 IP [FW-GigabitEthernet0/0/0] quit命令解析:
- firewall zone {name}:进入安全域视图,默认有 Local/Trust/Untrust/DMZ。
- add interface {if}:将物理接口加入域(一个接口只能属于一个域)。
- set priority {value}:优先级 1-100,影响 interzone 策略匹配。
-
配置源 NAT(Easy-IP,出接口地址转换):
[FW] nat-policy [FW-nat-policy] rule name nat_out [FW-nat-policy-rule-nat_out] source-zone trust [FW-nat-policy-rule-nat_out] destination-zone untrust [FW-nat-policy-rule-nat_out] source-address 192.168.1.0 24 [FW-nat-policy-rule-nat_out] nat easy-ip GigabitEthernet 0/0/0 [FW-nat-policy-rule-nat_out] quit [FW-nat-policy] quit命令解析:
- nat-policy:进入 NAT 策略视图(新版防火墙 NAT 与安全策略分离)。
- rule name {name}:创建 NAT 规则。
- source-zone/destination-zone:指定流量方向(Trust → Untrust)。
- nat easy-ip {interface}:使用出接口 IP 做源 NAT(简单高效)。
-
配置安全策略(允许内网出访):
[FW] security-policy [FW-security-policy] rule name trust_to_untrust [FW-security-policy-rule-trust_to_untrust] source-zone trust [FW-security-policy-rule-trust_to_untrust] destination-zone untrust [FW-security-policy-rule-trust_to_untrust] action permit [FW-security-policy-rule-trust_to_untrust] quit [FW-security-policy] quit命令解析:
- security-policy:进入安全策略视图(默认 interzone 拒绝)。
- source-zone/destination-zone:匹配源/目域(不同域间流量需显式放行)。
- action permit:允许匹配流量(可加 service、source-address 等细化)。
-
保存并验证:
[FW] save display firewall zone // 查看域及接口 display security-policy // 查看安全策略 display nat-policy // 查看 NAT 策略 display session table // 查看会话(ping 外网后查看)
验证:内网 PC ping 外网 IP 成功,外网 ping 内网失败;抓包查看源地址已转换为 200.1.1.1。
八、常见问题排查表
| 问题现象 | 可能原因 | 解决方案 |
|---|---|---|
| Web无法登录 | 环回适配器未安装或IP错误 | 重新安装环回适配器,配置IP为192.168.0.2/24 |
| Cloud连接失败 | WinPcap未安装 | 卸载并重装WinPcap |
| 防火墙启动失败 | 未导入设备包 | 导入USG6000V500R005C20SPC500.bin |
| 无法访问外网 | 未配置安全策略 | 配置trust → untrust出方向策略 |
| DHCP服务失效 | 未配置dhcp select global |
在接口下启用全局DHCP |
| 防火墙管理IP冲突 | 与局域网IP冲突 | 修改防火墙管理IP(如192.168.1.1/24) |
九、最佳实践总结
- 安全区域划分 :严格按
trust(内网)、dmz(对外服务)、untrust(外网)划分 - 最小权限原则:只开放必要区域间通信
- 管理安全 :
- 首次登录后立即修改密码
- 配置
service-manage all permit(Web/HTTP/HTTPS/SSH)
- 设备管理 :
- 导入设备包是启动前提
- 使用
sysname命名设备便于管理
- 网络设计 :
- 为不同区域配置独立DHCP地址池
- DMZ区域放置对外服务(Web/FTP等)
附录:命令行速查表
| 命令 | 作用 | 示例 |
|---|---|---|
service-manage all permit |
开启所有管理服务 | service-manage all permit |
firewall zone trust |
进入trust区域 | firewall zone trust |
add interface GigabitEthernet 1/0/1 |
添加接口到区域 | add interface GigabitEthernet 1/0/1 |
policy interzone trust untrust outbound |
配置域间策略 | policy interzone trust untrust outbound |
dhcp enable |
启用DHCP | dhcp enable |
ip pool dhcp-a |
创建DHCP地址池 | ip pool dhcp-a |
dhcp select global |
启用全局DHCP | dhcp select global |
注意事项(eNSP 特定)
- 首次启动 USG6000V 需导入镜像(vfw_usg.vdi)。
- 默认用户名 admin / Admin@123,首次登录强制改密。
- 测试连通性需配置路由(内网默认路由指向防火墙)。
- 高级场景可扩展 DMZ(服务器区)、Server-map(目的 NAT)等。