实战USG5500防火墙安全域与策略配置:从零构建Trust-DMZ-Untrust访问模型
1. 初识USG5500防火墙安全域模型
第一次接触华为USG5500防火墙时,我被它那个Trust-DMZ-Untrust的安全域模型搞得一头雾水。直到有次亲眼看到机房里的设备,才突然明白这其实就是把网络世界划分成三个"安全等级不同的房间":最私密的卧室(Trust)、会客厅(DMZ)和大门外的院子(Untrust)。这种设计特别符合我们日常生活中的安全逻辑——你会让快递员进客厅但绝不会让他进卧室,同样的,DMZ区域的服务器可以对外提供服务,但绝不能直接接触内网核心数据。
华为防火墙默认有四个不可删除的安全域,它们的优先级就像门禁系统的安全级别:
- Local区域(优先级100):防火墙自己的"大脑",管理接口所在区域
- Trust区域(优先级85):相当于企业的内部办公网络
- DMZ区域(优先级50):放置对外服务的Web、Mail等服务器
- Untrust区域(优先级5):连接互联网等不可信网络
有个容易踩坑的地方:很多新手会忽略域间流量的方向性。防火墙默认遵循"低优先级域访问高优先级域是inbound,反之为outbound"的规则。比如从Untrust(5)访问DMZ(50)属于inbound流量,而从DMZ(50)访问Untrust(5)就是outbound流量。这个方向判断直接影响策略配置的语法。
2. 实验环境搭建与基础配置
在eNSP中搭建实验环境时,我习惯先用白板画出拓扑图。这次我们需要:
- 一台USG5500防火墙(记得选对版本)
- 两台PC分别模拟内网用户(PC1)和外部用户(PC2)
- 一台Server提供Web服务
- 三个交换机连接各设备
接口IP配置有个小技巧:先规划好各安全域的网段再操作。我常用这些地址段:
- Trust区域:192.168.1.0/24
- DMZ区域:172.16.1.0/24
- Untrust区域:10.1.1.0/24
配置基础接口IP时,建议使用批量配置模式:
[FW] interface batch GigabitEthernet 0/0/1 to 0/0/3 [FW-interface-batch] ip address 192.168.1.254 24 [FW-interface-batch] quit将接口加入安全域是容易出错的关键步骤。有次我误将GE0/0/1同时加入Trust和DMZ区域,导致整个实验失败。正确的单接口归属配置应该是:
[FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet0/0/1 [FW-zone-trust] quit验证配置时,display zone命令是我的最爱:
[FW] display zone这个命令能清晰显示各安全域包含的接口,检查时重点看三点:区域名称是否正确、优先级是否匹配、接口归属是否准确。
3. 域间策略配置实战技巧
配置域间策略就像给不同房间之间安装门禁系统。根据实验要求,我们需要实现:
- Trust可以主动访问Untrust
- Untrust可以访问DMZ的Web服务
- 禁止所有反向访问
配置Trust到Untrust的outbound策略时,新手常犯两个错误:一是忘记指定具体网段,二是搞混方向。正确的配置模板应该是:
[FW] policy interzone trust untrust outbound [FW-policy-interzone-trust-untrust-outbound] policy 10 [FW-policy-interzone-trust-untrust-outbound-10] policy source 192.168.1.0 0.0.0.255 [FW-policy-interzone-trust-untrust-outbound-10] policy destination 10.1.1.0 0.0.0.255 [FW-policy-interzone-trust-untrust-outbound-10] action permit对于Untrust访问DMZ的Web服务,需要特别注意服务类型的指定。有次我忘记加service参数,导致外网始终访问不了Web服务器:
[FW] policy interzone dmz untrust inbound [FW-policy-interzone-dmz-untrust-inbound] policy 10 [FW-policy-interzone-dmz-untrust-inbound-10] policy service service-set http [FW-policy-interzone-dmz-untrust-inbound-10] policy source 10.1.1.0 0.0.0.255 [FW-policy-interzone-dmz-untrust-inbound-10] policy destination 172.16.1.1 0 [FW-policy-interzone-dmz-untrust-inbound-10] action permit策略生效后,用display policy interzone命令验证时,我特别关注"times matched"计数。如果一直是0,说明策略没被命中,可能是源/目的地址写错了。
4. 故障排查与日常维护
防火墙配置最头疼的就是策略不生效。根据我的踩坑经验,排查流程应该是:
- 检查会话表:display firewall session table
- 查看策略命中:display policy statistics
- 验证路由可达:ping + tracert组合使用
有次客户反馈外网访问不了DMZ服务器,我用这个命令发现了问题:
[FW] display firewall session table verbose输出显示会话已经建立但数据包有去无回,最终发现是服务器防火墙没关。
日常维护时,这几个命令能救命:
- 查看所有策略:display policy all
- 检查默认过滤动作:display firewall packet-filter default
- 清除会话计数:reset policy statistics
对于重要变更,一定要先备份配置:
[FW] save backup.cfg我吃过亏,有次误操作导致配置丢失,幸好有前一天备份。
安全策略优化方面,建议每月做一次策略审计:
- 用display policy interzone查看所有策略
- 配合display policy statistics找出长期未命中的策略
- 清理冗余策略,合并相似策略
最后提醒:生产环境千万不要用firewall packet-filter default permit all命令,这相当于把防盗门全拆了。正确的做法是只开放必要的业务流量,其他全部默认拒绝。