1. 华为USG6000防火墙基础认知
第一次接触华为USG6000系列防火墙时,我被它金属质感的机身和密密麻麻的接口震撼到了。这款防火墙在企业级市场占有率很高,特别适合中小型网络环境。在ENSP模拟器里操作时,我发现它的配置逻辑和真实设备完全一致,这对我们网络工程师来说简直是练习神器。
防火墙最核心的功能就是区域隔离。华为把网络划分成几个典型区域:Local区域(优先级100)是防火墙自己,Trust区域(优先级85)放内部可信设备,Untrust区域(优先级5)对应危险的外部网络,还有DMZ区域(优先级50)用来放服务器。优先级数字越大越可信,数据从低优先级流向高优先级叫inbound,反过来叫outbound。这个设计特别像小区的门禁系统——业主(Trust)可以自由进出,访客(Untrust)需要登记,而物业办公室(Local)则是管理核心。
2. 实验环境搭建要点
在ENSP里搭建实验环境时,我建议先用Cloud云设备桥接到本地物理网卡。有次我忘记勾选"UDP"选项,结果死活连不上防火墙,排查了半天才发现问题。具体操作是右键Cloud选择"配置"→"增加端口"→绑定真实网卡→勾选UDP协议。
防火墙的G0/0/0接口我通常配置成192.168.70.10/24,这个网段和大多数人的本地网络不冲突。配置完IP记得一定要执行:
[FW-GigabitEthernet0/0/0]service-manage enable [FW-GigabitEthernet0/0/0]undo shutdown否则接口就像没插网线一样毫无反应。我第一次实验时就卡在这里,后来发现是漏了service-manage这条命令。
3. 安全策略配置实战
安全策略是防火墙的大脑,我把它理解为"谁可以访问哪里"。新建策略时要特别注意五个要素:
- 规则名称(rule name)
- 源区域(source-zone)
- 目的区域(destination-zone)
- 服务类型(service)
- 动作(action permit/deny)
比如要允许内网管理防火墙,就需要这样配置:
[FW]security-policy [FW-policy-security]rule name allow_admin [FW-policy-security-rule-allow_admin]source-zone trust [FW-policy-security-rule-allow_admin]destination-zone local [FW-policy-security-rule-allow_admin]action permit有次我给客户调试时,策略顺序没安排好,导致后面的规则被前面的覆盖了。后来学乖了,复杂的策略一定先用display security-policy all命令查看执行顺序。
4. 远程管理三重奏
4.1 Telnet配置(不推荐但必要)
虽然Telnet是明文传输,但在内网调试时还是很方便的。配置时容易踩的坑是忘记在接口下放行服务:
[FW-GigabitEthernet0/0/0]service-manage telnet permit [FW]telnet server enable更关键的是AAA认证配置,我见过有人输完密码不保存,重启设备后哭晕在机房:
[FW]aaa [FW-aaa]manager-user admin [FW-aaa-manager-user-admin]password cipher YourPassword@123 [FW-aaa-manager-user-admin]service-type telnet [FW-aaa-manager-user-admin]level 154.2 Web界面配置
HTTPS管理界面比命令行友好多了,特别是查看日志的时候。配置时要注意:
- 必须同时放行HTTP和HTTPS
- 默认端口是8443
- 浏览器访问时要加https://
[FW-GigabitEthernet0/0/0]service-manage http permit [FW-GigabitEthernet0/0/0]service-manage https permit [FW-aaa]manager-user webadmin [FW-aaa-manager-user-webadmin]service-type web有次客户反馈登录后很多功能看不到,原来是用户级别设低了。web管理建议至少level 3以上权限。
4.3 SSH安全配置
SSH才是远程管理的正道,配置稍微复杂些:
[FW]rsa local-key-pair create # 生成密钥 [FW]stelnet server enable # 开启SSH服务 [FW-ui-vty0-4]protocol inbound ssh # VTY线路启用SSH密钥生成时可能会卡住几分钟,这是正常现象。我遇到过Windows SSH客户端连不上,最后发现是防火墙默认只支持SSHv2,而客户端默认用了SSHv1。
5. 排错经验分享
调试防火墙最痛苦的就是"为什么策略不生效"。根据我踩坑的经验,排查顺序应该是:
- 检查接口是否加入安全区域(display zone)
- 查看策略命中计数(display security-policy statistics)
- 确认服务是否开启(display telnet/ssh/server status)
- 检查路由是否可达(display ip routing-table)
有个经典案例:客户说SSH连不上,我查了半天发现是安全策略的destination-zone写成了local而不是local。这种细节错误最容易忽视,建议配置时开启日志功能:
[FW]info-center enable [FW]info-center loghost 192.168.70.1006. 安全加固建议
基础配置完成后,我通常会做这些加固操作:
- 修改默认HTTP端口(web-manager security port 8444)
- 设置登录失败锁定(aaa authentication-scheme default)
- 启用访问限制(acl number 2000)
- 配置会话超时(idle-timeout 10 0)
特别是最后一个,有次离开座位忘记锁屏,回来发现同事"帮忙"改了配置。现在我都强制10分钟无操作自动退出:
[FW-ui-vty0-4]idle-timeout 10 0 [FW-ui-vty0-4]shell timeout 10)
