华为防火墙实战:从零到一构建企业边界防护

华为防火墙实战:从零到一构建企业边界防护
1. 华为防火墙基础概念与企业组网实战第一次接触华为防火墙时我被它复杂的配置界面吓到了。直到后来才发现只要理解几个核心概念配置起来就像搭积木一样简单。企业网络通常分为三个关键区域Trust区域内网办公区、Untrust区域外网互联网和DMZ区域对外服务器区。这就像把公司划分成前台接待区DMZ、办公区Trust和外部公共区域Untrust。华为防火墙默认有四种工作模式实际项目中用得最多的是路由模式。去年给一家电商公司部署时他们的网络拓扑需要重新规划IP地址段就是因为选择了路由模式。这种模式下防火墙就像个智能路由器每个接口都需要配置不同网段的IP地址。举个例子# 配置GE1/0/1接口为内网接口Trust区域 [FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] ip address 192.168.1.1 24 [FW-GigabitEthernet1/0/1] service-manage ping permit # 允许ping管理安全区域的概念特别重要。有次客户问我为什么内网用户突然不能访问视频会议系统了检查发现是新来的工程师把视频服务器接口错误地加入了Trust区域。正确的做法应该是Trust区域优先级85连接员工PC和内部系统DMZ区域优先级50放置Web服务器、邮件服务器等Untrust区域优先级5连接互联网出口2. 从零开始配置防火墙接口与安全区域记得第一次配置防火墙接口时我忘了把接口加入安全区域结果所有流量都被阻断。现在我会用这套标准化流程2.1 接口配置实操步骤外网接口配置连接互联网[FW] interface GigabitEthernet 1/0/0 [FW-GigabitEthernet1/0/0] ip address 203.0.113.100 24 [FW-GigabitEthernet1/0/0] service-manage enable [FW-GigabitEthernet1/0/0] quit内网接口配置连接核心交换机[FW] interface GigabitEthernet 1/0/1 [FW-GigabitEthernet1/0/1] ip address 192.168.1.1 24 [FW-GigabitEthernet1/0/1] service-manage all permit [FW-GigabitEthernet1/0/1] quit2.2 安全区域绑定实战技巧把接口加入安全区域时有个容易踩的坑一个接口只能属于一个安全区域。上周还遇到客户把同一个接口同时加入Trust和DMZ导致策略失效的情况。正确做法# 将外网接口加入Untrust区域 [FW] firewall zone untrust [FW-zone-untrust] add interface GigabitEthernet 1/0/0 [FW-zone-untrust] quit # 将内网接口加入Trust区域 [FW] firewall zone trust [FW-zone-trust] add interface GigabitEthernet 1/0/1 [FW-zone-trust] quitWeb界面配置更直观。在网络 接口页面我习惯给每个接口添加描述比如Internet_ISP1或CoreSwitch_Uplink三个月后排查故障时这些备注能省不少时间。3. 安全策略配置从入门到精通安全策略是防火墙的核心大脑。早期我总搞混Inbound和Outbound方向直到用门禁来类比Inbound是外人要进公司低安全级到高安全级Outbound是员工要出门高到低。3.1 基础策略配置示例放行内网访问互联网的基础策略[FW] security-policy [FW-policy-security] rule name Trust_to_Untrust [FW-policy-security-rule-Trust_to_Untrust] source-zone trust [FW-policy-security-rule-Trust_to_Untrust] destination-zone untrust [FW-policy-security-rule-Trust_to_Untrust] action permit [FW-policy-security-rule-Trust_to_Untrust] quit3.2 高级策略技巧去年给一家金融客户做安全加固时学到几个实用技巧时间控制只允许运维人员在上班时间访问管理接口用户绑定结合AD域实现基于用户的访问控制应用识别阻断视频流但允许语音通话# 高级策略示例只允许市场部访问社交媒体 [FW] security-policy [FW-policy-security] rule name Marketing_SocialMedia [FW-policy-security-rule-Marketing_SocialMedia] source-address 192.168.1.100-192.168.1.150 [FW-policy-security-rule-Marketing_SocialMedia] application wechat facebook [FW-policy-security-rule-Marketing_SocialMedia] time-range 09:00-18:00 weekdays [FW-policy-security-rule-Marketing_SocialMedia] action permit4. NAT配置实战让内网安全访问互联网NAT配置最容易出问题。有次客户抱怨上网时断时续最后发现是NAT策略的源地址范围设错了。推荐使用easy-ip方式直接复用外网接口IP4.1 基础NAT配置[FW] nat-policy [FW-policy-nat] rule name Outbound_NAT [FW-policy-nat-rule-Outbound_NAT] source-zone trust [FW-policy-nat-rule-Outbound_NAT] egress-interface GigabitEthernet1/0/0 [FW-policy-nat-rule-Outbound_NAT] action source-nat easy-ip [FW-policy-nat-rule-Outbound_NAT] quit4.2 服务器发布DNAT发布Web服务器到互联网的配置[FW] nat server Web_Server protocol tcp global 203.0.113.100 80 inside 192.168.2.100 80 [FW] security-policy [FW-policy-security] rule name Internet_to_DMZ [FW-policy-security-rule-Internet_to_DMZ] source-zone untrust [FW-policy-security-rule-Internet_to_DMZ] destination-zone dmz [FW-policy-security-rule-Internet_to_DMZ] destination-address 192.168.2.100 [FW-policy-security-rule-Internet_to_DMZ] service http [FW-policy-security-rule-Internet_to_DMZ] action permit记得有次配置完NAT后外网还是访问不了服务器排查发现是安全策略没放行。现在我的检查清单是1) NAT规则 2) 安全策略 3) 接口区域绑定 4) 路由设置。5. 企业级防火墙运维技巧防火墙上线只是开始日常运维更重要。这些经验都是用教训换来的配置备份设置自动备份到TFTP服务器[FW] tftp 192.168.1.200 put flash:/config.cfg /backups/fw_config_$(date %Y%m%d).cfg会话监控定期检查异常连接FW display firewall session table verbose | include 可疑IP日志分析启用日志服务器转发[FW] info-center enable [FW] info-center loghost 192.168.1.201最近处理的一个案例客户内网频繁出现连接重置通过会话监控发现是某个IP在短时间内建立了上千个连接最终定位到一台中毒的办公电脑。