1. 初识USG5500防火墙安全域模型第一次接触华为USG5500防火墙时我被它那个Trust-DMZ-Untrust的安全域模型搞得一头雾水。直到有次亲眼看到机房里的设备才突然明白这其实就是把网络世界划分成三个安全等级不同的房间最私密的卧室Trust、会客厅DMZ和大门外的院子Untrust。这种设计特别符合我们日常生活中的安全逻辑——你会让快递员进客厅但绝不会让他进卧室同样的DMZ区域的服务器可以对外提供服务但绝不能直接接触内网核心数据。华为防火墙默认有四个不可删除的安全域它们的优先级就像门禁系统的安全级别Local区域优先级100防火墙自己的大脑管理接口所在区域Trust区域优先级85相当于企业的内部办公网络DMZ区域优先级50放置对外服务的Web、Mail等服务器Untrust区域优先级5连接互联网等不可信网络有个容易踩坑的地方很多新手会忽略域间流量的方向性。防火墙默认遵循低优先级域访问高优先级域是inbound反之为outbound的规则。比如从Untrust(5)访问DMZ(50)属于inbound流量而从DMZ(50)访问Untrust(5)就是outbound流量。这个方向判断直接影响策略配置的语法。2. 实验环境搭建与基础配置在eNSP中搭建实验环境时我习惯先用白板画出拓扑图。这次我们需要一台USG5500防火墙记得选对版本两台PC分别模拟内网用户PC1和外部用户PC2一台Server提供Web服务三个交换机连接各设备接口IP配置有个小技巧先规划好各安全域的网段再操作。我常用这些地址段Trust区域192.168.1.0/24DMZ区域172.16.1.0/24Untrust区域10.1.1.0/24配置基础接口IP时建议使用批量配置模式[FW] interface batch GigabitEthernet 0/0/1 to 0/0/3 [FW-interface-batch] ip address 192.168.1.254 24 [FW-interface-batch] quit将接口加入安全域是容易出错的关键步骤。有次我误将GE0/0/1同时加入Trust和DMZ区域导致整个实验失败。正确的单接口归属配置应该是[FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet0/0/1 [FW-zone-trust] quit验证配置时display zone命令是我的最爱[FW] display zone这个命令能清晰显示各安全域包含的接口检查时重点看三点区域名称是否正确、优先级是否匹配、接口归属是否准确。3. 域间策略配置实战技巧配置域间策略就像给不同房间之间安装门禁系统。根据实验要求我们需要实现Trust可以主动访问UntrustUntrust可以访问DMZ的Web服务禁止所有反向访问配置Trust到Untrust的outbound策略时新手常犯两个错误一是忘记指定具体网段二是搞混方向。正确的配置模板应该是[FW] policy interzone trust untrust outbound [FW-policy-interzone-trust-untrust-outbound] policy 10 [FW-policy-interzone-trust-untrust-outbound-10] policy source 192.168.1.0 0.0.0.255 [FW-policy-interzone-trust-untrust-outbound-10] policy destination 10.1.1.0 0.0.0.255 [FW-policy-interzone-trust-untrust-outbound-10] action permit对于Untrust访问DMZ的Web服务需要特别注意服务类型的指定。有次我忘记加service参数导致外网始终访问不了Web服务器[FW] policy interzone dmz untrust inbound [FW-policy-interzone-dmz-untrust-inbound] policy 10 [FW-policy-interzone-dmz-untrust-inbound-10] policy service service-set http [FW-policy-interzone-dmz-untrust-inbound-10] policy source 10.1.1.0 0.0.0.255 [FW-policy-interzone-dmz-untrust-inbound-10] policy destination 172.16.1.1 0 [FW-policy-interzone-dmz-untrust-inbound-10] action permit策略生效后用display policy interzone命令验证时我特别关注times matched计数。如果一直是0说明策略没被命中可能是源/目的地址写错了。4. 故障排查与日常维护防火墙配置最头疼的就是策略不生效。根据我的踩坑经验排查流程应该是检查会话表display firewall session table查看策略命中display policy statistics验证路由可达ping tracert组合使用有次客户反馈外网访问不了DMZ服务器我用这个命令发现了问题[FW] display firewall session table verbose输出显示会话已经建立但数据包有去无回最终发现是服务器防火墙没关。日常维护时这几个命令能救命查看所有策略display policy all检查默认过滤动作display firewall packet-filter default清除会话计数reset policy statistics对于重要变更一定要先备份配置[FW] save backup.cfg我吃过亏有次误操作导致配置丢失幸好有前一天备份。安全策略优化方面建议每月做一次策略审计用display policy interzone查看所有策略配合display policy statistics找出长期未命中的策略清理冗余策略合并相似策略最后提醒生产环境千万不要用firewall packet-filter default permit all命令这相当于把防盗门全拆了。正确的做法是只开放必要的业务流量其他全部默认拒绝。
实战USG5500防火墙安全域与策略配置:从零构建Trust-DMZ-Untrust访问模型
1. 初识USG5500防火墙安全域模型第一次接触华为USG5500防火墙时我被它那个Trust-DMZ-Untrust的安全域模型搞得一头雾水。直到有次亲眼看到机房里的设备才突然明白这其实就是把网络世界划分成三个安全等级不同的房间最私密的卧室Trust、会客厅DMZ和大门外的院子Untrust。这种设计特别符合我们日常生活中的安全逻辑——你会让快递员进客厅但绝不会让他进卧室同样的DMZ区域的服务器可以对外提供服务但绝不能直接接触内网核心数据。华为防火墙默认有四个不可删除的安全域它们的优先级就像门禁系统的安全级别Local区域优先级100防火墙自己的大脑管理接口所在区域Trust区域优先级85相当于企业的内部办公网络DMZ区域优先级50放置对外服务的Web、Mail等服务器Untrust区域优先级5连接互联网等不可信网络有个容易踩坑的地方很多新手会忽略域间流量的方向性。防火墙默认遵循低优先级域访问高优先级域是inbound反之为outbound的规则。比如从Untrust(5)访问DMZ(50)属于inbound流量而从DMZ(50)访问Untrust(5)就是outbound流量。这个方向判断直接影响策略配置的语法。2. 实验环境搭建与基础配置在eNSP中搭建实验环境时我习惯先用白板画出拓扑图。这次我们需要一台USG5500防火墙记得选对版本两台PC分别模拟内网用户PC1和外部用户PC2一台Server提供Web服务三个交换机连接各设备接口IP配置有个小技巧先规划好各安全域的网段再操作。我常用这些地址段Trust区域192.168.1.0/24DMZ区域172.16.1.0/24Untrust区域10.1.1.0/24配置基础接口IP时建议使用批量配置模式[FW] interface batch GigabitEthernet 0/0/1 to 0/0/3 [FW-interface-batch] ip address 192.168.1.254 24 [FW-interface-batch] quit将接口加入安全域是容易出错的关键步骤。有次我误将GE0/0/1同时加入Trust和DMZ区域导致整个实验失败。正确的单接口归属配置应该是[FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet0/0/1 [FW-zone-trust] quit验证配置时display zone命令是我的最爱[FW] display zone这个命令能清晰显示各安全域包含的接口检查时重点看三点区域名称是否正确、优先级是否匹配、接口归属是否准确。3. 域间策略配置实战技巧配置域间策略就像给不同房间之间安装门禁系统。根据实验要求我们需要实现Trust可以主动访问UntrustUntrust可以访问DMZ的Web服务禁止所有反向访问配置Trust到Untrust的outbound策略时新手常犯两个错误一是忘记指定具体网段二是搞混方向。正确的配置模板应该是[FW] policy interzone trust untrust outbound [FW-policy-interzone-trust-untrust-outbound] policy 10 [FW-policy-interzone-trust-untrust-outbound-10] policy source 192.168.1.0 0.0.0.255 [FW-policy-interzone-trust-untrust-outbound-10] policy destination 10.1.1.0 0.0.0.255 [FW-policy-interzone-trust-untrust-outbound-10] action permit对于Untrust访问DMZ的Web服务需要特别注意服务类型的指定。有次我忘记加service参数导致外网始终访问不了Web服务器[FW] policy interzone dmz untrust inbound [FW-policy-interzone-dmz-untrust-inbound] policy 10 [FW-policy-interzone-dmz-untrust-inbound-10] policy service service-set http [FW-policy-interzone-dmz-untrust-inbound-10] policy source 10.1.1.0 0.0.0.255 [FW-policy-interzone-dmz-untrust-inbound-10] policy destination 172.16.1.1 0 [FW-policy-interzone-dmz-untrust-inbound-10] action permit策略生效后用display policy interzone命令验证时我特别关注times matched计数。如果一直是0说明策略没被命中可能是源/目的地址写错了。4. 故障排查与日常维护防火墙配置最头疼的就是策略不生效。根据我的踩坑经验排查流程应该是检查会话表display firewall session table查看策略命中display policy statistics验证路由可达ping tracert组合使用有次客户反馈外网访问不了DMZ服务器我用这个命令发现了问题[FW] display firewall session table verbose输出显示会话已经建立但数据包有去无回最终发现是服务器防火墙没关。日常维护时这几个命令能救命查看所有策略display policy all检查默认过滤动作display firewall packet-filter default清除会话计数reset policy statistics对于重要变更一定要先备份配置[FW] save backup.cfg我吃过亏有次误操作导致配置丢失幸好有前一天备份。安全策略优化方面建议每月做一次策略审计用display policy interzone查看所有策略配合display policy statistics找出长期未命中的策略清理冗余策略合并相似策略最后提醒生产环境千万不要用firewall packet-filter default permit all命令这相当于把防盗门全拆了。正确的做法是只开放必要的业务流量其他全部默认拒绝。
)
系统实战:原理、配置与避坑指南)