华为eNSP：三种配置防火墙的方式

一、前期基础配置（云环境与防火墙端口准备）

本次配置基于 ENSP 仿真环境，需先完成云组件（Cloud1）与防火墙的网络连接配置，为后续三种配置方式搭建基础网络环境。

1. 云组件（Cloud1）配置

打开 Cloud1 的I0 配置，点击增加创建两个端口，端口类型均为 Ethernet：

端口 1：UDP 类型，绑定VMware Network Adapter VMnet8（IP：192.168.125.1），UDP 端口号建议设置为 30000-35000 区间；

端口 2：Public 类型，绑定信息为 None。

进入端口映射设置，点击增加配置双向通道：

映射规则 1：入端口编号 1 → 出端口编号 2；

映射规则 2：入端口编号 2 → 出端口编号 1；

勾选双向通道，完成后保存配置。

注意：请勿将云组件绑定公网网卡，否则可能导致网络瘫痪。

2. 防火墙基础信息

防火墙设备：USG6000V1

连接接口：GE1/0/0（核心管理接口）

默认账号密码：admin / Admin@123

核心网段：192.168.125.0/24（与 VMnet8 网卡同一网段）

二、方式一：通过 Web 浏览器配置防火墙

通过浏览器访问防火墙 Web 管理界面，可视化操作配置，适合新手快速上手，需先配置防火墙管理接口的 IP 与服务放行。

1.防火墙基础配置

2. 浏览器访问 Web 管理界面

打开本地浏览器，在地址栏输入：https://192.168.125.22:8443（华为防火墙 Web 默认端口 8443）；

首次访问会提示连接不安全，点击高级 → 选择继续访问（忽略证书提示，仅仿真环境使用）；

进入登录界面，输入账号密码，点击登录即可进入可视化管理界面。

可选：登录界面可下载华为根证书，安装后可消除浏览器不安全提示。

三、方式二：通过 Telnet 方式配置防火墙

Telnet 为远程字符型配置方式，基于 TCP 协议（默认端口 23），操作简洁但数据明文传输，仅建议在测试环境使用，生产环境推荐 SSH。

1. 防火墙基础配置

2.开启防火墙的telnet服务，配置远程登录的用户和密码

3. 本地电脑 Telnet 连接防火墙

检查本地电脑 Telnet 服务状态：右键此电脑 → 管理 → 服务和应用程序 → 服务，找到Telnet，确保服务已启动（未启动则右键开启并设置启动类型为手动）；

打开本地命令提示符（CMD），输入命令：telnet 192.168.125.44（防火墙管理 IP）；

按提示输入创建的 Telnet 用户hw和对应密码，验证通过后即可进入防火墙命令行界面。

4. 常见报错解决

若执行 Telnet 命令提示无法打开到主机的连接，大概率是本地电脑未开启 Telnet 服务，按上述步骤开启即可。

四、方式三：通过 SSH 方式配置防火墙

SSH（安全外壳协议，默认端口 22）为加密远程配置方式，数据传输过程中进行加密，生产环境首选，本次基于 STelnet（SSH v2）实现，需完成接口配置、服务放行、用户创建等步骤。

1. 防火墙基本配置

2.配置远程用户

$FW1$ stelnet server enable

$FW1$ user-interface vty 0 4

$FW1-ui-vty0-4$ protocol inbound ssh

$FW1-ui-vty0-4$ authentication-mode aaa //配置VTY验证方式为AAA

$FW1-ui-vty0-4$ quit $FW1$ aaa //进入AAA视图

$FW1-aaa$ manager-user hw //配置AAA用户

$FW1-aaa-manager-user-hw$ password Enter Password: //输入密码

Confirm Password: //确认密码

$FW1-aaa-manager-user-hw$ level 3

$FW1-aaa-manager-user-hw$ service-type ssh

3. Xshell（SSH 终端工具）连接防火墙

打开 Xshell 软件，点击文件 → 新建，新建会话；

会话配置：

名称：自定义（如防火墙 SSH）；

协议：选择SSH；

主机：输入防火墙管理 IP 192.168.125.44；

端口号：默认22（未修改则无需调整）；

点击连接，弹出身份验证窗口，输入创建的 SSH 用户hw和对应密码；

验证通过后，即可进入防火墙加密命令行界面，开始远程配置。

4. 连接失败排查要点

本地 ping 192.168.125.44，测试网络是否连通，不通则检查云组件与防火墙的连接；

执行display ssh server status，检查 STelnet 服务是否为Enable，未开启则重新执行stelnet server enable；

检查 GE1/0/0 接口是否放行 SSH 服务：display interface g1/0/0，确认service-manage ssh permit已配置；

检查 RSA 密钥对是否生成：display rsa local-key-pair public，无密钥则重新执行rsa local-key-pair create。

五、三种配置方式对比

六、通用注意事项

所有配置的防火墙 IP 需与VMware Network Adapter VMnet8网卡在同一网段（本次为 192.168.125.0/24），否则无法连通；

防火墙管理接口必须加入trust（信任）区域，否则外部设备无法访问；

配置服务后需确认service-manage对应服务已放行（如 ping、http、ssh），否则会被防火墙拦截；

生产环境中，建议修改默认账号密码、关闭 Telnet 服务、修改 SSH 默认端口（非 22），提升设备安全性；

ENSP 仿真环境中，云组件的端口映射与网卡绑定是核心，配置错误会导致所有远程连接失败。