华为eNSP：三种配置防火墙的方式

一、前期基础配置（云环境与防火墙端口准备）

本次配置基于 ENSP 仿真环境，需先完成云组件（Cloud1）与防火墙的网络连接配置，为后续三种配置方式搭建基础网络环境。

1. 云组件（Cloud1）配置

打开 Cloud1 的I0 配置，点击增加创建两个端口，端口类型均为 Ethernet：

端口 1：UDP 类型，绑定VMware Network Adapter VMnet8（IP：192.168.125.1），UDP 端口号建议设置为 30000-35000 区间；

端口 2：Public 类型，绑定信息为 None。

进入端口映射设置，点击增加配置双向通道：

映射规则 1：入端口编号 1 → 出端口编号 2；

映射规则 2：入端口编号 2 → 出端口编号 1；

勾选双向通道，完成后保存配置。

注意：请勿将云组件绑定公网网卡，否则可能导致网络瘫痪。

2. 防火墙基础信息

防火墙设备：USG6000V1

连接接口：GE1/0/0（核心管理接口）

默认账号密码：admin / Admin@123

核心网段：192.168.125.0/24（与 VMnet8 网卡同一网段）

二、方式一：通过 Web 浏览器配置防火墙

通过浏览器访问防火墙 Web 管理界面，可视化操作配置，适合新手快速上手，需先配置防火墙管理接口的 IP 与服务放行。

1.防火墙基础配置

2. 浏览器访问 Web 管理界面

打开本地浏览器，在地址栏输入：https://192.168.125.22:8443（华为防火墙 Web 默认端口 8443）；

首次访问会提示连接不安全，点击高级 → 选择继续访问（忽略证书提示，仅仿真环境使用）；

进入登录界面，输入账号密码，点击登录即可进入可视化管理界面。

可选：登录界面可下载华为根证书，安装后可消除浏览器不安全提示。

三、方式二：通过 Telnet 方式配置防火墙

Telnet 为远程字符型配置方式，基于 TCP 协议（默认端口 23），操作简洁但数据明文传输，仅建议在测试环境使用，生产环境推荐 SSH。

1. 防火墙基础配置

2.开启防火墙的telnet服务，配置远程登录的用户和密码

3. 本地电脑 Telnet 连接防火墙

检查本地电脑 Telnet 服务状态：右键此电脑 → 管理 → 服务和应用程序 → 服务，找到Telnet，确保服务已启动（未启动则右键开启并设置启动类型为手动）；

打开本地命令提示符（CMD），输入命令：telnet 192.168.125.44（防火墙管理 IP）；

按提示输入创建的 Telnet 用户hw和对应密码，验证通过后即可进入防火墙命令行界面。

4. 常见报错解决

若执行 Telnet 命令提示无法打开到主机的连接，大概率是本地电脑未开启 Telnet 服务，按上述步骤开启即可。

四、方式三：通过 SSH 方式配置防火墙

SSH（安全外壳协议，默认端口 22）为加密远程配置方式，数据传输过程中进行加密，生产环境首选，本次基于 STelnet（SSH v2）实现，需完成接口配置、服务放行、用户创建等步骤。

1. 防火墙基本配置

2.配置远程用户

FW1\] stelnet server enable \[FW1\]user-interface vty 0 4 \[FW1-ui-vty0-4\]protocol inbound ssh \[FW1-ui-vty0-4\]authentication-mode aaa //配置VTY验证方式为AAA \[FW1-ui-vty0-4\]quit \[FW1\]aaa //进入AAA视图 \[FW1-aaa\] manager-user hw //配置AAA用户 \[FW1-aaa-manager-user-hw\]password Enter Password: //输入密码 Confirm Password: //确认密码 \[FW1-aaa-manager-user-hw\]level 3 \[FW1-aaa-manager-user-hw\]service-type ssh ### 3. Xshell（SSH 终端工具）连接防火墙 打开 Xshell 软件，点击文件 → 新建，新建会话； 会话配置： 名称：自定义（如防火墙 SSH）； 协议：选择SSH； 主机：输入防火墙管理 IP 192.168.125.44； 端口号：默认22（未修改则无需调整）； 点击连接，弹出身份验证窗口，输入创建的 SSH 用户hw和对应密码； 验证通过后，即可进入防火墙加密命令行界面，开始远程配置。 ![](https://i-blog.csdnimg.cn/direct/c6af8a8702964522abe51d6fbb9d432d.png)![](https://i-blog.csdnimg.cn/direct/1aabd45553654093a10a078d1197bda8.png)![](https://i-blog.csdnimg.cn/direct/3cd7f1392fed4c5fb4335e911e2335a0.png)![](https://i-blog.csdnimg.cn/direct/e9668d8fedaa45a1a3fe9db3d8df52be.png) ### 4. 连接失败排查要点 本地 ping 192.168.125.44，测试网络是否连通，不通则检查云组件与防火墙的连接； 执行display ssh server status，检查 STelnet 服务是否为Enable，未开启则重新执行stelnet server enable； 检查 GE1/0/0 接口是否放行 SSH 服务：display interface g1/0/0，确认service-manage ssh permit已配置； 检查 RSA 密钥对是否生成：display rsa local-key-pair public，无密钥则重新执行rsa local-key-pair create。 ## 五、三种配置方式对比 ![](https://i-blog.csdnimg.cn/direct/8f8d88b93dd24d1192b4f64f831fa4ba.png) 六、通用注意事项 所有配置的防火墙 IP 需与VMware Network Adapter VMnet8网卡在同一网段（本次为 192.168.125.0/24），否则无法连通； 防火墙管理接口必须加入trust（信任） 区域，否则外部设备无法访问； 配置服务后需确认service-manage对应服务已放行（如 ping、http、ssh），否则会被防火墙拦截； 生产环境中，建议修改默认账号密码、关闭 Telnet 服务、修改 SSH 默认端口（非 22），提升设备安全性； ENSP 仿真环境中，云组件的端口映射与网卡绑定是核心，配置错误会导致所有远程连接失败。