华为 eNSP 防火墙实战:防火墙安全策略

淼淼爱喝水2026-04-25 8:24

一、项目背景与需求分析

在企业网络架构中,防火墙是保障内网安全、实现精细化访问控制的核心设备。本次项目以 CY 公司网络场景为原型,基于华为 USG6000V 防火墙搭建环境,通过配置安全区域与访问控制策略,实现不同部门用户对 DMZ 区服务器的权限隔离,满足企业 "按需授权、最小权限" 的安全管理原则。

1.1 网络拓扑与地址规划

本次实验拓扑包含三个核心区域:研发部(Trust 区域)、售前部门(Untrust 区域)、DMZ 服务器区,地址规划如下:

区域 接口 网关地址 网段 说明
Trust GE1/0/0 192.1.1.254/24 192.1.1.0/24 研发部内网,包含管理员 A、员工 B、临时客户 C
Untrust GE1/0/1 192.1.2.254/24 192.1.2.0/24 售前部门外网,包含员工 D、E
DMZ GE1/0/2 192.1.3.254/24 192.1.3.0/24 服务器区,部署 FTP(192.1.3.1)与 HTTP(192.1.3.2)服务器

1.2 业务需求拆解

根据企业安全策略,需实现以下 5 类访问控制需求:

  1. 管理员 A(192.1.1.1):可对 FTP、HTTP 服务器进行完全访问(支持 Ping、数据上传下载)。
  2. 研发员工 B(192.1.1.2):可访问 FTP、HTTP 服务器,但禁止 Ping 操作,仅开放业务端口。
  3. 临时客户 C(192.1.1.3):禁止访问 DMZ 区所有服务器,默认拒绝所有访问请求。
  4. 售前员工 D/E(192.1.2.1/2):仅可访问 HTTP 服务器,禁止访问 FTP 服务器,同时限制 Ping 操作。

二、前期准备:设备基础配置

2.1 终端与服务器 IP 配置

首先完成所有 PC 与服务器的网络参数配置,确保各终端网关指向防火墙对应接口:

  • 管理员 A:IP 192.1.1.1/24,网关 192.1.1.254
  • 员工 B:IP 192.1.1.2/24,网关 192.1.1.254
  • 客户 C:IP 192.1.1.3/24,网关 192.1.1.254
  • 售前员工 D:IP 192.1.2.1/24,网关 192.1.2.254
  • 售前员工 E:IP 192.1.2.2/24,网关 192.1.2.254
  • FTP 服务器:IP 192.1.3.1/24,网关 192.1.3.254
  • HTTP 服务器:IP 192.1.3.2/24,网关 192.1.3.254

2.2 防火墙接口与安全区域配置

(1)接口 IP 配置
复制代码 
# 进入接口配置模式,配置各区域网关IP
[USG6000V]interface GigabitEthernet1/0/0
[USG6000V-GigabitEthernet1/0/0]undo shutdown
[USG6000V-GigabitEthernet1/0/0]ip address 192.1.1.254 255.255.255.0

[USG6000V]interface GigabitEthernet1/0/1
[USG6000V-GigabitEthernet1/0/1]undo shutdown
[USG6000V-GigabitEthernet1/0/1]ip address 192.1.2.254 255.255.255.0

[USG6000V]interface GigabitEthernet1/0/2
[USG6000V-GigabitEthernet1/0/2]undo shutdown
[USG6000V-GigabitEthernet1/0/2]ip address 192.1.3.254 255.255.255.0
(2)安全区域划分

华为防火墙通过安全区域(Zone)实现接口的逻辑隔离,默认包含 Trust、Untrust、DMZ 三个区域,需将接口加入对应区域:

复制代码 
# 配置Trust区域(研发内网)
[USG6000V]firewall zone trust
[USG6000V-zone-trust]set priority 85  # 优先级越高,区域越可信
[USG6000V-zone-trust]add interface GigabitEthernet1/0/0

# 配置Untrust区域(售前外网)
[USG6000V]firewall zone untrust
[USG6000V-zone-untrust]set priority 5
[USG6000V-zone-untrust]add interface GigabitEthernet1/0/1

# 配置DMZ区域(服务器区)
[USG6000V]firewall zone dmz
[USG6000V-zone-dmz]set priority 50
[USG6000V-zone-dmz]add interface GigabitEthernet1/0/2

三、核心配置:访问控制策略

3.1 管理员 A 的完全访问策略

允许管理员 A 从 Trust 区域访问 DMZ 区所有服务,包括 ICMP(Ping)、FTP、HTTP:

复制代码 
# 创建安全策略,允许管理员A的所有访问
[USG6000V]security-policy
[USG6000V-policy-security]rule name truA->dmz
[USG6000V-policy-security-rule-truA->dmz]source-zone trust
[USG6000V-policy-security-rule-truA->dmz]destination-zone dmz
[USG6000V-policy-security-rule-truA->dmz]source-address 192.1.1.1 255.255.255.255
[USG6000V-policy-security-rule-truA->dmz]action permit

3.2 研发员工 B 的受限访问策略

员工 B 仅可访问 HTTP 与 FTP 服务,禁止 Ping 操作,因此需分别配置业务端口策略:

(1)HTTP 访问策略(仅开放 TCP 80 端口)
复制代码 
[USG6000V-policy-security]rule name truB->HTTP
[USG6000V-policy-security-rule-truB->HTTP]source-zone trust
[USG6000V-policy-security-rule-truB->HTTP]destination-zone dmz
[USG6000V-policy-security-rule-truB->HTTP]source-address 192.1.1.2 255.255.255.255
[USG6000V-policy-security-rule-truB->HTTP]destination-address 192.1.3.2 255.255.255.255
[USG6000V-policy-security-rule-truB->HTTP]service protocol tcp destination-port 80
[USG6000V-policy-security-rule-truB->HTTP]action permit
(2)FTP 访问策略(开放控制通道与数据通道)

配置两条规则,分别开放控制端口 21 与被动模式数据端口范围:

运行

复制代码 
# 开放FTP控制通道(TCP 21)
[USG6000V-policy-security]rule name truB->FTP1
[USG6000V-policy-security-rule-truB->FTP1]source-zone trust
[USG6000V-policy-security-rule-truB->FTP1]destination-zone dmz
[USG6000V-policy-security-rule-truB->FTP1]source-address 192.1.1.2 255.255.255.255
[USG6000V-policy-security-rule-truB->FTP1]destination-address 192.1.3.1 255.255.255.255
[USG6000V-policy-security-rule-truB->FTP1]service protocol tcp destination-port 21
[USG6000V-policy-security-rule-truB->FTP1]action permit

# 开放FTP被动模式数据通道(TCP 1025-65535)
[USG6000V-policy-security]rule name truB->FTP2
[USG6000V-policy-security-rule-truB->FTP2]source-zone trust
[USG6000V-policy-security-rule-truB->FTP2]destination-zone dmz
[USG6000V-policy-security-rule-truB->FTP2]source-address 192.1.1.2 255.255.255.255
[USG6000V-policy-security-rule-truB->FTP2]destination-address 192.1.3.1 255.255.255.255
[USG6000V-policy-security-rule-truB->FTP2]service protocol tcp destination-port 1025 to 65535
[USG6000V-policy-security-rule-truB->FTP2]action permit

开启 ASPF 功能,自动放行 FTP 数据通道:

复制代码 
# 配置控制通道策略
[USG6000V-policy-security]rule name truB->FTP1
[USG6000V-policy-security-rule-truB->FTP]source-zone trust
[USG6000V-policy-security-rule-truB->FTP]destination-zone dmz
[USG6000V-policy-security-rule-truB->FTP]source-address 192.1.1.2 255.255.255.255
[USG6000V-policy-security-rule-truB->FTP]destination-address 192.1.3.1 255.255.255.255
[USG6000V-policy-security-rule-truB->FTP]service protocol tcp destination-port 21
[USG6000V-policy-security-rule-truB->FTP]action permit

# 开启Trust到DMZ的ASPF检测
[USG6000V]firewall interzone trust dmz
[USG6000V-interzone-trust-dmz]detect ftp

3.3 临时客户 C 的拒绝策略

客户 C 的访问默认被防火墙隐式拒绝,无需额外配置策略,所有访问请求将被直接丢弃。

3.4 售前员工 D/E 的 HTTP 访问策略

允许 Untrust 区域的员工 D/E 仅访问 HTTP 服务器(TCP 80 端口),禁止其他所有访问:

复制代码 
[USG6000V-policy-security]rule name untr->HTTP
[USG6000V-policy-security-rule-untr->HTTP]source-zone untrust
[USG6000V-policy-security-rule-untr->HTTP]destination-zone dmz
[USG6000V-policy-security-rule-untr->HTTP]destination-address 192.1.3.2 255.255.255.255
[USG6000V-policy-security-rule-untr->HTTP]service protocol tcp destination-port 80
[USG6000V-policy-security-rule-untr->HTTP]action permit

四、结果验证与效果分析

4.1 访问验证

  • HTTP 访问 :管理员 A 通过浏览器访问http://192.1.3.2,可正常加载页面;
  • FTP 访问 :使用 员工A连接192.1.3.1,可成功登录并上传 / 下载文件;
  • Ping 测试 :客户C不能ping 192.1.3.1ping 192.1.3.2,限制权限生效。

4.2 研发员工 B 访问验证

  • HTTP 访问 :可正常访问http://192.1.3.2
  • FTP 访问 :可通过客户端连接192.1.3.1并操作文件;
  • Ping 测试ping 192.1.3.1ping 192.1.3.2均失败,限制 ICMP 的策略生效。

4.3 临时客户 C 访问验证

  • 无法访问 HTTP 与 FTP 服务器,浏览器提示 "无法连接",FTP 客户端连接超时;
  • Ping 测试无响应,默认拒绝策略生效。

4.4 售前员工 D/E 访问验证

  • HTTP 访问 :可以访问http://192.1.3.2
  • FTP 访问 :客户端连接192.1.3.1超时,被拒绝;
  • Ping 测试ping 192.1.3.1ping 192.1.3.2均失败,限制策略生效。

五、项目总结与扩展思考

5.1 核心知识点回顾

  1. 安全区域设计:通过 Trust/Untrust/DMZ 的三层架构,实现内网、外网、服务器区的逻辑隔离,优先级决定区域信任等级;
  2. ASPF 技术:解决 FTP 等多通道协议的动态端口放行问题,简化安全策略配置;
  3. 精细化策略:基于源 IP、目的 IP、服务端口的五元组策略,实现 "按需授权、最小权限" 的访问控制。

5.2 企业场景扩展

在真实企业网络中,可进一步优化以下配置:

  • 配置 NAT 策略,实现内网用户访问外网时的地址转换;
  • 开启日志审计,记录所有访问 DMZ 服务器的行为;
  • 结合用户认证(如 AD 域、LDAP),实现基于用户的动态访问控制;
  • 配置黑名单 / 白名单,临时限制异常 IP 的访问。

通过本次实战,完整掌握了华为 USG6000V 防火墙的安全区域划分、协议检测与精细化访问控制策略配置流程,为企业网络安全部署提供了可落地的实践方案。

注:本实验基于华为 eNSP 仿真环境完成,配置命令适用于 USG6000V 系列防火墙,真实设备配置需根据版本差异调整。

相关推荐
你的保护色2 小时前
华为eNSP网络实验之IPsec协议学习
网络·学习·华为
jiejiejiejie_12 小时前
Flutter 三方库 pull_to_refresh 的鸿蒙化适配指南
flutter·华为·harmonyos
24zhgjx-lxq16 小时前
OSPF的网络类型:NBMA和P2MP
网络·智能路由器·hcip·ensp·ospf
前端技术17 小时前
通信网络基础(下篇):TCP/IP网络参考模型与传输层协议深度解析
华为
淼淼爱喝水20 小时前
ensp- ACL 综合配置实验(附拓扑与完整步骤)
网络·智能路由器·ensp·acl
IntMainJhy21 小时前
Flutter 三方库 ImageCropper 图片裁剪鸿蒙化适配与实战指南(正方形+自定义比例全覆盖)
flutter·华为·harmonyos
IntMainJhy21 小时前
Flutter for OpenHarmony 第三方库六大核心模块整合实战全解|从图片处理、消息通知到加密存储、设备推送 一站式鸿蒙适配开发总结
flutter·华为·harmonyos
UnicornDev21 小时前
【HarmonyOS 6】基于API23的底部悬浮导航
华为·harmonyos·arkts·鸿蒙·鸿蒙系统
音视频牛哥21 小时前
鸿蒙 NEXT 时代:如何构建工业级稳定和低延迟的同屏推流模块?
华为·harmonyos·大牛直播sdk·鸿蒙next 无纸化同屏·鸿蒙next同屏推流·鸿蒙rtmp同屏·鸿蒙无纸化会议同屏
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点03近期有什么ai的新消息,新动态? 2026.4月042026年4月AI大事件深度解读:大模型竞争进入“深水区“05codex app每次打开重连5次Reconnecting问题解决06AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析072026年AI前瞻:量子AI、具身智能与科学发现的新纪元08CC-Switch & Claude 基于 Linux 服务器安装使用指南092026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free10从限购到畅通:GLM-5.1 Coding Plan接入攻略