防火墙策略实战：从零配置Trust到Untrust的访问控制

1. 防火墙基础概念与实验环境搭建

第一次接触防火墙配置的朋友可能会被"Trust"和"Untrust"这些专业术语吓到，其实理解起来很简单。想象你家的防盗门，Trust区域就像是你信任的客厅，Untrust区域则是门外可能有风险的公共走廊。防火墙就是那个智能门锁，决定谁可以进出。

我们先来搭建实验环境。我推荐使用华为eNSP模拟器，这是目前最接近真实设备的免费工具。安装完成后，你会看到这样的拓扑结构：

• PC1（Trust区域）：IP地址设为10.1.1.2/24
• 防火墙：管理口G0/0/0默认IP是192.168.0.1/24
• PC2（Untrust区域）：IP地址设为30.1.1.2/24
• 路由器：需要配置到10.1.1.0/24网段的路由

这里有个新手常踩的坑：云设备的虚拟网卡配置。我建议使用VMware虚拟网卡（比如VMnet8），在eNSP的云设备配置中添加UDP端口时，记得勾选"双向通道"，否则后续Web登录会失败。上周帮学员排查问题时，发现90%的连接问题都出在这个环节。

2. 防火墙初始化配置实战

登录防火墙有两种方式：命令行和Web界面。新手建议先用命令行做基础配置，再用Web界面做策略管理。用console线连接后，你会看到这样的提示符：

<USG6000V1> system-view [USG6000V1] interface GigabitEthernet 0/0/0 [USG6000V1-GigabitEthernet0/0/0] ip address 192.168.64.10 24

这里有个关键命令很多人会忽略：

[USG6000V1-GigabitEthernet0/0/0] service-manage all permit

这个命令相当于给管理接口开了"绿色通道"，否则你连Web界面都打不开。我见过有工程师折腾两小时才发现是这个配置没做。

改完IP后，用浏览器访问https://192.168.64.10（注意是HTTPS），使用默认账号admin/Admin@123登录。首次登录会强制修改密码，建议设置包含大小写字母和特殊字符的强密码。

3. 安全区域划分与接口配置

防火墙的核心就是安全区域划分，相当于给不同房间贴标签。我们这次实验需要：

1. 创建Trust区域（安全级别85）
2. 创建Untrust区域（安全级别5）
3. 将G1/0/1接口加入Trust区域
4. 将G1/0/2接口加入Untrust区域

在Web界面操作时，注意这两个细节：

• 接口IP配置：Trust侧接口配10.1.1.1/24，Untrust侧配30.1.1.1/24
• 安全级别数值：数字越大越可信，Trust区域建议85，Untrust建议5-10

这里有个真实案例：某公司把财务部（Trust）和访客WiFi（Untrust）的安全级别都设为50，结果访客可以直接访问财务系统。记住：不同区域的安全级别数值必须有明显差距！

4. 访问控制策略配置详解

防火墙默认遵循"全拒绝"原则，就像关紧的大门。我们需要手动开一条缝：

[USG6000V1] security-policy [USG6000V1-policy-security] rule name Trust_to_Untrust [USG6000V1-policy-security-rule-Trust_to_Untrust] source-zone trust [USG6000V1-policy-security-rule-Trust_to_Untrust] destination-zone untrust [USG6000V1-policy-security-rule-Trust_to_Untrust] action permit

这个策略的意思是：允许从Trust区域到Untrust区域的所有流量。但注意：

• 没有配置反向策略（Untrust→Trust）
• 没有限制具体协议和端口

实际生产环境中，我强烈建议加上协议限制，比如只放通HTTP/HTTPS：

[USG6000V1-policy-security-rule-Trust_to_Untrust] service http https

5. 路由配置与连通性测试

防火墙不是路由器，但需要知道怎么转发流量。关键配置：

[USG6000V1] ip route-static 30.1.1.0 24 30.1.1.254

测试时用这个顺序：

1. 在PC1 ping PC2（30.1.1.2）→ 应该通
2. 在PC2 ping PC1（10.1.1.2）→ 应该不通
3. 在PC1 telnet PC2的80端口→ 根据策略决定是否放行

如果发现Trust→Untrust不通，按这个顺序排查：

1. 检查接口物理状态（display interface brief）
2. 验证安全区域绑定（display zone）
3. 查看策略命中计数（display security-policy hit-count）

6. 生产环境配置建议

实验成功只是第一步，真实场景中还需要：

1. 日志记录：给策略加上logging功能

   [USG6000V1-policy-security-rule-Trust_to_Untrust] logging enable

2. 策略优化：用地址集（address-set）管理IP范围
3. NAT配置：通常Untrust区域访问需要做地址转换
4. 时间控制：给策略添加生效时间段

有次客户反馈每晚8点网络异常，后来发现是防火墙策略里设置了工作时间限制，而管理员忘了这回事。建议给每个策略添加描述：

[USG6000V1-policy-security-rule-Trust_to_Untrust] description "允许内网访问互联网"

7. 常见问题排查指南

遇到问题别慌，先用这些命令收集信息：

display current-configuration | include policy # 查看所有策略 display session table verbose # 查看实时会话 ping -a 10.1.1.1 30.1.1.2 # 指定源IP测试

最近遇到个典型case：策略配置正确但就是不通，最后发现是防火墙CPU利用率100%导致新建会话失败。关键是要有系统的排查思路：

1. 物理层：接口状态、网线连接
2. 网络层：IP地址、路由表
3. 安全层：区域绑定、策略顺序
4. 系统层：CPU/内存利用率

8. 策略优化与进阶技巧

当策略超过20条时，管理就会变得困难。我的经验是：

1. 按业务分类命名规则，比如"OA_HTTP"、"VPN_Remote"
2. 使用策略组功能归类相关规则
3. 设置策略生效时间段，比如下班后自动收紧策略
4. 定期用工具分析策略使用频率，清理半年未触发的规则

有个高效技巧：利用地址集和服务集简化配置。比如先定义：

[USG600V1] address-set type object [USG600V1-address-set-office] address 10.1.1.10 24 [USG600V1] service-set HTTP [USG600V1-service-set-HTTP] service http https

然后在策略中直接引用这些集合，后期维护只需修改集合定义即可。

最后提醒：每次修改前先用命令行保存配置（save），重大变更前先备份（display current-configuration > backup.txt）。有次机房断电导致配置丢失，幸好有前一天备份，否则上百条策略要重配就惨了。