华为防火墙新手必看：从零开始配置安全域和NAT策略（含常见错误排查）

华为防火墙实战：构建企业级安全边界的核心配置与深度排错

如果你刚接手一台华为防火墙，面对命令行界面和一堆陌生的术语，可能会感到无从下手。防火墙作为企业网络的“守门人”，其配置的精准性直接关系到整个网络的安全与稳定。很多新手在初次配置时，常常陷入“策略配了却不生效”、“内网能上QQ但打不开网页”这类看似简单却令人头疼的困境。这篇文章，我将从一个网络工程师的视角，带你深入理解华为防火墙安全域与NAT策略的配置逻辑，并分享那些官方文档里很少提及的实战排错技巧。我们不会停留在命令的简单罗列，而是聚焦于“为什么这么配”以及“配错了怎么查”，让你真正掌握构建安全边界的核心能力。

1. 安全域：理解防火墙的“世界观”

在配置任何一条策略之前，你必须先理解华为防火墙的“安全域”模型。这不仅仅是把接口划分到不同区域那么简单，它定义了防火墙看待网络流量的基本逻辑。

1.1 安全域的本质与默认区域

华为防火墙默认预定义了四个安全区域，它们有固定的优先级，这是所有策略匹配顺序的基石：

注意：优先级数值越高，代表该区域的可信度越高。在安全策略的匹配中，区域本身没有方向性，策略的方向由规则的源区域（source-zone）和目的区域（destination-zone）共同定义。

很多初学者会混淆“接口IP”和“安全域”的概念。接口IP是三层寻址用的，而安全域是安全策略的“标签”。一个接口必须属于某一个安全域（除了某些特殊的管理接口），否则经过该接口的流量将无法被安全策略处理。

1.2 接口与安全域的绑定实践

将接口加入安全域是第一步。假设我们有一个典型的园区网出口场景：

• GE1/0/1 连接运营商线路（公网地址：202.96.128.1/30）
• GE1/0/2 连接内部核心交换机（私网地址：192.168.1.254/24）
• GE1/0/3 连接服务器区交换机（服务器地址：10.10.10.254/24）

配置命令如下：

# 进入系统视图 <Huawei> system-view [Huawei] sysname FW # 配置接口IP地址（略去部分显示） [FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] ip address 202.96.128.2 255.255.255.252 [FW-GigabitEthernet1/0/1] quit [FW] interface GigabitEthernet 1/0/2 [FW-GigabitEthernet1/0/2] ip address 192.168.1.254 255.255.255.0 [FW-GigabitEthernet1/0/2] quit [FW] interface GigabitEthernet 1/0/3 [FW-GigabitEthernet1/0/3] ip address 10.10.10.254 255.255.255.0 [FW-GigabitEthernet1/0/3] quit # 将接口加入对应的安全域 [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/1 [FW-zone-untrust] quit [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 1/0/2 [FW-zone-trust] quit [FW] firewall zone dmz [FW-zone-dmz] add interface GigabitEthernet 1/0/3 [FW-zone-dmz] quit

完成这一步后，防火墙就建立起了基本的区域认知：从GE1/0/2进来的流量属于Trust域，从GE1/0/1进来的属于Untrust域，从GE1/0/3进来的属于DMZ域。但此时，所有域间的流量默认都是被禁止的，因为还没有任何“允许”的安全策略。

2. 安全策略：定义流量通行的“法律”

安全策略是防火墙的核心，它像一部网络流量的法律，明确规定谁（源）在什么条件下可以访问谁（目的）。华为防火墙的安全策略基于五元组（源地址、目的地址、源端口、目的端口、协议）和安全域进行匹配。

2.1 构建第一条安全策略：内网访问互联网

需求：允许内网（Trust域）用户访问互联网（Untrust域）的所有服务。 这是一个最常见的需求。配置时，我们需要创建一个从Trust到Untrust的允许策略。

[FW] security-policy [FW-policy-security] rule name Trust_to_Untrust [FW-policy-security-rule-Trust_to_Untrust] source-zone trust [FW-policy-security-rule-Trust_to_Untrust] destination-zone untrust [FW-policy-security-rule-Trust_to_Untrust] source-address 192.168.1.0 mask 255.255.255.0 [FW-policy-security-rule-Trust_to_Untrust] action permit [FW-policy-security-rule-Trust_to_Untrust] quit [FW-policy-security] quit

这条策略解读为：允许来自信任域、源IP为192.168.1.0/24网段的流量，去往非信任域的任何地址。

提示：在初期测试时，为了简化排错，可以暂时不指定源地址（即不配置source-address），先使用source-zone和destination-zone放通整个区域。但在生产环境中，必须遵循最小化原则，精确指定源地址范围，这是安全的基本要求。

2.2 精细化控制：内网访问DMZ服务器

需求：允许内网用户访问DMZ区的Web服务器（10.10.10.100）的HTTP（80）和HTTPS（443）服务，但禁止访问其他服务。 这需要更精细的策略。

[FW] security-policy [FW-policy-security] rule name Trust_to_DMZ_Web [FW-policy-security-rule-Trust_to_DMZ_Web] source-zone trust [FW-policy-security-rule-Trust_to_DMZ_Web] destination-zone dmz [FW-policy-security-rule-Trust_to_DMZ_Web] source-address 192.168.1.0 mask 255.255.255.0 [FW-policy-security-rule-Trust_to_DMZ_Web] destination-address 10.10.10.100 mask 255.255.255.255 # 配置服务对象，引用预定义的HTTP和HTTPS服务 [FW-policy-security-rule-Trust_to_DMZ_Web] service http https [FW-policy-security-rule-Trust_to_DMZ_Web] action permit [FW-policy-security-rule-Trust_to_DMZ_Web] quit [FW-policy-security] quit

策略的匹配顺序是自上而下的。防火墙会从策略列表的第一条开始逐条匹配，一旦命中就执行动作并停止后续匹配。因此，规则的顺序至关重要。通常，我们将最精确的策略放在前面，将较宽泛的策略放在后面，最后是一条隐含的“拒绝所有”规则。

2.3 一个关键但易忽略的策略：访问防火墙本身（Local域）

你需要从内网管理这台防火墙吗？比如通过SSH或Web界面。这需要一条指向Local域的策略。

[FW] security-policy [FW-policy-security] rule name Trust_to_Local_Manage [FW-policy-security-rule-Trust_to_Local_Manage] source-zone trust [FW-policy-security-rule-Trust_to_Local_Manage] destination-zone local [FW-policy-security-rule-Trust_to_Local_Manage] source-address 192.168.1.100 mask 255.255.255.255 # 假设这是你的管理机IP [FW-policy-security-rule-Trust_to_Local_Manage] service ssh https # 允许SSH和HTTPS管理 [FW-policy-security-rule-Trust_to_Local_Manage] action permit

同时，别忘了在对应的接口（这里是GE1/0/2）上开启管理服务：

[FW] interface GigabitEthernet 1/0/2 [FW-GigabitEthernet1/0/2] service-manage ssh permit [FW-GigabitEthernet1/0/2] service-manage https permit [FW-GigabitEthernet1/0/2] quit

3. NAT策略：让私网走向公网的“翻译官”

安全策略决定了流量能不能过，而NAT策略则解决了私网地址如何在公网路由的问题。华为防火墙的NAT功能非常强大，我们聚焦最常用的两种模式：Easy-IP和NAT地址池。

3.1 Easy-IP：出口地址即公网地址

这是最简单常用的模式，直接将内网地址转换为防火墙出口接口（连接公网的那个接口）的IP地址。适用于企业只有一个或少数几个公网IP的场景。

配置基于我们之前的接口规划：

[FW] nat-policy [FW-policy-nat] rule name Trust_to_Untrust_EasyIP [FW-policy-nat-rule-Trust_to_Untrust_EasyIP] source-zone trust [FW-policy-nat-rule-Trust_to_Untrust_EasyIP] destination-zone untrust # 匹配内网网段 [FW-policy-nat-rule-Trust_to_Untrust_EasyIP] source-address 192.168.1.0 mask 255.255.255.0 # 关键动作：启用源NAT，模式为Easy-IP [FW-policy-nat-rule-Trust_to_Untrust_EasyIP] action source-nat easy-ip [FW-policy-nat-rule-Trust_to_Untrust_EasyIP] quit [FW-policy-nat] quit

这条策略的意思是：对于从Trust域到Untrust域，且源IP是192.168.1.0/24的流量，将其源IP转换为出口接口（GE1/0/1）的IP地址（202.96.128.2）。

3.2 NAT地址池：使用独立的公网IP池

如果你拥有一个公网IP地址段（例如202.96.128.10-202.96.128.20），希望内网用户转换到这个地址池，而不是出口接口IP，配置如下：

# 首先，创建一个NAT地址池 [FW] nat address-group AddressPool_1 [FW-address-group-AddressPool_1] mode pat # PAT模式，端口复用，最常用 [FW-address-group-AddressPool_1] section 0 202.96.128.10 202.96.128.20 [FW-address-group-AddressPool_1] quit # 然后，在NAT策略中引用这个地址池 [FW] nat-policy [FW-policy-nat] rule name Trust_to_Untrust_Pool [FW-policy-nat-rule-Trust_to_Untrust_Pool] source-zone trust [FW-policy-nat-rule-Trust_to_Untrust_Pool] destination-zone untrust [FW-policy-nat-rule-Trust_to_Untrust_Pool] source-address 192.168.1.0 mask 255.255.255.0 # 动作引用地址池 [FW-policy-nat-rule-Trust_to_Untrust_Pool] action source-nat address-group AddressPool_1

3.3 服务器映射（NAT Server）：将公网IP映射给内网服务器

这是让互联网用户访问你DMZ区服务器的关键。假设你的公网IP是202.96.128.2，想将HTTP服务映射到DMZ区的10.10.10.100服务器。

[FW] nat server protocol tcp global 202.96.128.2 www inside 10.10.10.100 www

这条命令分解来看：

• protocol tcp: 指定协议为TCP。
• global 202.96.128.2 www: 公网侧使用IP 202.96.128.2的www端口（即80）。
• inside 10.10.10.100 www: 内部服务器是10.10.10.100的www端口。

注意：配置了NAT Server后，必须配置一条从Untrust到DMZ（或到服务器具体地址）的安全策略来允许外部访问流量，否则映射不生效。这是新手最常踩的坑之一。很多人以为配了映射就能通，其实防火墙的安全策略是独立且优先的。

4. 深度排错：当策略不生效时，你该如何思考

配置都敲完了，但内网就是上不了网，或者服务器映射访问不了。别慌，按照系统性的排查思路来。

4.1 排查工具箱：你必须掌握的命令

• 查看安全策略命中计数：这是判断流量是否匹配到策略的最直接证据。

  [FW] display security-policy rule all

  查看每条规则的“Matched”计数。如果计数为0，说明没有流量命中这条规则。

• 查看NAT会话信息：确认NAT转换是否成功。

  [FW] display firewall session table verbose

  在输出中，你可以看到会话的源目IP/端口、转换后的IP/端口、所属安全域、协议状态等。如果内网访问外网的会话没有建立，或者NAT后的地址不对，这里一目了然。

• 开启调试与抓包（谨慎在生产环境使用）：

  # 开启针对特定IP或端口的报文调试 [FW] debugging ip packet ? # 在接口上开启抓包（类似于Wireshark） <FW> capture-packet interface GigabitEthernet 1/0/1

• 查看路由表：防火墙首先是个路由器，路由必须通。

  [FW] display ip routing-table

  确认去往目的网络的路由是否存在，下一跳是否正确。

4.2 常见故障场景与解决思路

场景一：内网PC可以ping通防火墙的GE1/0/2口，但ping不通公网地址（如8.8.8.8）。

排查步骤：

1. 查路由：在防火墙上display ip routing-table，看是否有默认路由指向公网下一跳（如0.0.0.0/0via 202.96.128.1）。
2. 查安全策略：display security-policy rule name Trust_to_Untrust，看“Matched”计数是否增加。如果没增加，检查策略的源/目的区域、地址是否配置正确。特别注意：ICMP（ping）协议也需要在安全策略中放行，或者你的策略没有指定服务（即service any）。
3. 查NAT策略：display firewall session table | include 8.8.8.8，查看是否有到8.8.8.8的会话，会话中的NAT转换信息是否正确。
4. 查外部因素：在防火墙的Untrust接口（GE1/0/1）上开启抓包，看请求报文是否发出，回复报文是否收到。如果发出没收到，问题可能在下游运营商或对端设备。

场景二：互联网用户无法访问映射的公网服务器。

排查步骤：

1. 确认NAT Server配置：display nat server，检查映射关系是否正确。
2. 确认安全策略：这是最高频的错误点！你必须有一条从Untrust到DMZ（或到服务器IP）的安全策略，允许相应的服务（如TCP 80）。使用display security-policy rule all查看是否有对应策略且被命中。
3. 确认服务器路由：服务器的默认网关必须指向防火墙DMZ接口的IP（10.10.10.254）。
4. 确认服务器本地防火墙：Windows服务器或Linux服务器的iptables/firewalld可能拦截了请求。

场景三：内网用户访问互联网某些应用（如微信）正常，但网页打不开。

这通常是NAT ALG（应用层网关）或MTU问题。

• NAT ALG：对于FTP、SIP、RTSP等多通道协议，防火墙需要ALG功能来识别协议内的控制信息，以便动态打开数据通道。检查相关ALG功能是否开启：

  [FW] display firewall alg status

  通常默认是开启的。对于某些特殊应用，可能需要配置特定的服务对象（Service），在安全策略中精确放行其所有相关端口。
• MTU问题：IPSec VPN、PPPoE等环境可能导致报文封装后超过接口MTU，造成分片。可以尝试在防火墙内网口或客户端设置较小的MTU（如1400）进行测试。

配置防火墙是一个逻辑严谨的过程，它要求你对网络流量有清晰的认知。我的经验是，在每次修改配置前，先在纸上画出流量路径图：源IP、源区域、目的IP、目的区域、需要经过的策略（安全策略、NAT策略）、路由指向。这样，当问题出现时，你就能像侦探一样，沿着这条路径逐一检查每个环节。防火墙的配置没有捷径，扎实的基础和系统性的排错思维，才是解决所有“诡异”问题的钥匙。