华三防火墙固定IP上网配置保姆级教程：从接口配置到安全策略一条龙搞定

华三防火墙固定IP上网配置全流程实战指南

第一次接触企业级防火墙配置的新手工程师，面对复杂的网络环境和陌生的命令行界面时，往往会感到无从下手。本文将带你一步步完成H3C防火墙从零开始的基础网络配置，不仅告诉你"怎么做"，还会解释"为什么这么做"。我们以一个典型的办公网络改造项目为例，假设你刚拿到运营商提供的固定IP参数，需要让内网员工能够安全稳定地访问互联网。

1. 网络规划与前期准备

在开始配置之前，合理的网络规划能避免后续大量返工。我们假设运营商提供的公网IP为198.76.28.30/30，网关是198.76.28.29，DNS服务器为8.8.8.8。内网规划使用192.168.10.0/24网段，通过防火墙的DHCP服务自动分配IP地址。

关键规划点备忘：

• 外网接口：GigabitEthernet1/0/1（连接运营商设备）
• 内网接口：GigabitEthernet1/0/2（连接内部交换机）
• 安全区域：Untrust（外网）、Trust（内网）、Local（防火墙本身）

注意：/30的子网掩码意味着这个网段只有两个可用IP地址（198.76.28.29和198.76.28.30），这是运营商提供的典型配置，不要尝试在此网段使用其他IP。

2. 基础接口配置

2.1 外网接口配置

首先登录防火墙命令行界面，进入系统视图后配置外网接口：

<H3C> system-view [H3C] interface GigabitEthernet1/0/1 [H3C-GigabitEthernet1/0/1] ip address 198.76.28.30 255.255.255.252 [H3C-GigabitEthernet1/0/1] quit

这里有几个新手容易犯的错误：

1. 子网掩码输入错误：/30对应的点分十进制是255.255.255.252
2. 忘记退出接口视图（quit命令）
3. 接口名称输入错误（注意大小写和斜杠方向）

2.2 内网接口配置

接下来配置连接内部网络的接口：

[H3C] interface GigabitEthernet1/0/2 [H3C-GigabitEthernet1/0/2] ip address 192.168.10.1 255.255.255.0 [H3C-GigabitEthernet1/0/2] quit

内网接口通常需要配置更大的子网空间（如/24），为内部设备提供足够的IP地址。192.168.10.1将作为内网的默认网关地址。

3. 路由与NAT配置

3.1 默认路由设置

要让内网能够访问互联网，必须配置默认路由指向运营商网关：

[H3C] ip route-static 0.0.0.0 0 198.76.28.29

这条命令的意思是：所有目标地址（0.0.0.0/0）的流量都发送到198.76.28.29。这是防火墙能够访问互联网的关键配置。

3.2 NAT地址转换

由于内网使用的是私有IP地址，需要通过NAT转换为公网IP才能访问互联网：

[H3C] interface GigabitEthernet1/0/1 [H3C-GigabitEthernet1/0/1] nat outbound [H3C-GigabitEthernet1/0/1] quit

提示：NAT配置必须在外网接口上启用，方向是outbound（出方向）。如果配置在错误接口或错误方向，将导致NAT不生效。

4. 安全区域与策略配置

4.1 接口加入安全区域

H3C防火墙采用安全区域的概念来管理流量。首先将接口加入相应的安全区域：

[H3C] security-zone name Untrust [H3C-security-zone-Untrust] import interface GigabitEthernet1/0/1 [H3C-security-zone-Untrust] quit [H3C] security-zone name Trust [H3C-security-zone-Trust] import interface GigabitEthernet1/0/2 [H3C-security-zone-Trust] quit

安全区域说明表：

4.2 安全策略配置

防火墙默认拒绝所有流量，必须显式配置允许的流量方向：

[H3C] object-policy ip pass [H3C-object-policy-ip-pass] rule 0 pass [H3C-object-policy-ip-pass] quit # 允许内网访问外网 [H3C] zone-pair security source Trust destination Untrust [H3C-zone-pair-security-Trust-Untrust] object-policy apply ip pass [H3C-zone-pair-security-Trust-Untrust] quit # 允许防火墙管理内网 [H3C] zone-pair security source Local destination Trust [H3C-zone-pair-security-Local-Trust] object-policy apply ip pass [H3C-zone-pair-security-Local-Trust] quit # 允许内网访问防火墙 [H3C] zone-pair security source Trust destination Local [H3C-zone-pair-security-Trust-Local] object-policy apply ip pass [H3C-zone-pair-security-Trust-Local] quit

5. DHCP服务配置

为了方便内网设备自动获取IP地址，我们需要在防火墙上配置DHCP服务：

[H3C] dhcp enable [H3C] dhcp server ip-pool 1 [H3C-dhcp-pool-1] network 192.168.10.0 mask 255.255.255.0 [H3C-dhcp-pool-1] gateway-list 192.168.10.1 [H3C-dhcp-pool-1] dns-list 8.8.8.8 [H3C-dhcp-pool-1] quit

DHCP配置参数说明：

• network：指定分配的IP地址范围
• gateway-list：告诉客户端使用哪个网关
• dns-list：为客户端提供DNS服务器地址

6. 配置验证与排错

完成所有配置后，建议按以下步骤验证：

1. 检查接口状态：

display interface brief

确认所有接口物理状态和协议状态都是UP。

2. 测试内网获取IP： 将电脑连接到内网接口，检查是否自动获取到192.168.10.x的IP地址。

3. 测试互联网连接： 在内网电脑上尝试ping 8.8.8.8，如果通说明NAT和路由配置正确。

4. 检查安全策略：

display zone-pair security

确认所有必要的安全策略都已正确配置。

常见问题排查表：

7. 高级配置建议

基础配置完成后，可以考虑以下增强措施：

1. 配置管理访问限制：

[H3C] telnet server enable [H3C] line vty 0 4 [H3C-line-vty0-4] authentication-mode scheme [H3C-line-vty0-4] quit [H3C] local-user admin class manage [H3C-luser-manage-admin] password cipher Admin@123 [H3C-luser-manage-admin] service-type telnet [H3C-luser-manage-admin] authorization-attribute user-role level-15 [H3C-luser-manage-admin] quit

2. 配置日志服务器：

[H3C] info-center enable [H3C] info-center loghost 192.168.10.100

3. 配置连接数限制（防止单台主机占用过多资源）：

[H3C] interface GigabitEthernet1/0/2 [H3C-GigabitEthernet1/0/2] connection-limit enable [H3C-GigabitEthernet1/0/2] connection-limit default amount 1000 [H3C-GigabitEthernet1/0/2] quit

在实际部署中，我遇到过多次因安全策略配置顺序不当导致的问题。建议在修改配置前先做好备份，使用save命令保存当前配置，重大变更前可以使用display current-configuration查看完整配置。