初识华为防火墙

防火墙配置与应用

一、防火墙的基本概念

1．防火墙的网络区域（一般认为三个区域：trust、DMZ、untrust）

（1）本地区域(安全级别 100，local)（防火墙内部区域，一般不说明此区域）

（2）信任区域（安全级别 85，trust）

（3）中间区域（安全级别 50，DMZ）

（4）非信任区域（安全级别 5，untrust）

华为防火墙默认已创建四个区域，untrust、dmz、trust和local区域。

安全区域有以下特性：

（1）默认的安全区域不能删除，也不允许修改安全优先级。

（2）每个区域都必须设置一个安全优先级（默认的不需要设置，已有默认优先级），值越大，则区域的安全优先级越高。

（3）用户可根据自己的需求创建自定义的区域。

2.防火墙的命令模式

（1）用户视图：<USG6000V1>

（2）系统视图：[USG6000V1]

（3）接口视图：[USG6000V1-GigabitEthernet0/0/0]

3．防火墙的基本命令

（1）配置安全区域：

[Huawei] firewall zone [name] <安全区域名称>

安全区域已经存在，不必配置关键字 name，直接进入安全区域视图；安全区域不存在：需要配置关键字 name，进入安全区 域 视 图 。

若 是 自 建 的 安 全 区 域 ， 则 需 要 配 置 安全 区 域 的 安 全 级 别 ：  set priority security-priority，优先级取值范围为1-100，值越大优先级越高。系统默认的安全区域不能被删除，优先级也无法被重新配置或者删除。

（2）将接口加入安全区域：

①进入相应的安全区域视图 firewall zone  <安全区域名称>

②将接口加入安全区域 add interface <接口>

例：[FW] firewall zone trust   //进入trust区域

[FW-zone-trust] add interface GigabitEthernet 1/0/1  //将GE1/0/1接口加入trust区域

（3）配置防火墙安全策略：

①进入安全策略视图 （系统视图下）

[Huawei] security-policy

②创建安全策略规则，并进入安全策略规则视图

[Huawei-policy-security]  rule name <名称>

③配置安全策略规则的源安全区域和目的安全区域

 source-zone <安全区域名称> | any

 destination-zone <安全区域名称> | any

      注：源区域和目的区域也可用any，代表所有。

④配置对匹配流量的包过滤动作

action {permit | deny}

注：防火墙默认的动作为deny

4．防火墙NAT（NAPT）配置

1. 配置NAT地址池

在系统视图下，配置NAT地址池：

nat address-group  <地址池名称>  //创建地址池

section  <起始IP>  <结束IP>   //配置地址池范围

Nat-mode <pat/no pat>  //配置转化模式为端口转换或不带端口转换

1. 配置NAT转换策略

在系统视图下，进入NAT策略视图

[FW] Nat-policy

[Fw-policy-nat] rule name <规则名称>

例：rule name napt

[Fw-policy-nat-rule-napt] source-zone <zone-name / any> 

//配置源区域 （根据需要配置）

[Fw-policy-nat-rule-napt] source-address <ip地址><子网掩码>

//配置源IP地址 （根据需要配置)

[Fw-policy-nat-rule-napt] destination-zone <zone-name>

 //配置目的区域

[Fw-policy-nat-rule-napt] action <规则名称> address-group <地址池名称>

//将地址池关联到规则中

• 防火墙配置实例

任务1 防火墙OM区访问untrust区

案例描述：

防火墙将网络隔离为三个安全区域，trust、untrust和OM，其中OM区域优先级为95。现有需求如下：

允许防火墙接口GE1/0/1响应Ping请求。

允许OM区域访问untrust区域。

配置过程分为四个步骤：

（1）配置防火墙接口：

#配置接口IP地址并允许GE1/0/1的ping业务

[FW] interface GigabitEthernet 1/0/1

[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24

[FW-GigabitEthernet1/0/1] service-manage ping permit //开启接口的ping功能

[FW-GigabitEthernet1/0/1] interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2] ip address 2.2.2.1 24

[FW-GigabitEthernet1/0/2] interface GigabitEthernet 1/0/3

[FW-GigabitEthernet1/0/3] ip address 3.3.3.1 24

（2）配置防火墙安全区域。

#创建安全区域

[FW] firewall zone name OM   //创建安全区域OM

[FW-zone-OM] set priority 95  //安全级别为95

[FW-zone-OM] quit

#将接口添加到安全区域：

[FW] firewall zone trust   //trust为默认安全区域，不需要创建，可直接进入

[FW-zone-trust] add interface GigabitEthernet 1/0/1  //将接口加入安全区域

[FW] firewall zone OM

[FW-zone-OM] add interface GigabitEthernet 1/0/2

[FW] firewall zone untrust

[FW-zone-untrust] add interface GigabitEthernet 1/0/3

（3）配置防火墙安全策略。

#创建安全策略

[FW] security-policy

[FW-policy-security] rule name R1

[FW-policy-security-rule-R1] source-zone OM

[FW-policy-security-rule-R1] destination-zone untrust

[FW-policy-security-rule-R1] action permit

（4）结果验证

任务2防火墙基础配置 – NAT（源地址转换）

某公司在网络边界处部署了NGFW作为安全网关。为了使私网中10.1.1.0/24网段的用户可以正常访问Internet，需要在NGFW上配置源NAT策略。除了公网接口的IP地址外，公司还向ISP申请了6个IP地址（1.1.1.10～1.1.1.15）作为私网地址转换后的公网地址。网络环境如图1所示，其中Router是ISP提供的接入网关。

配置思路：

1.配置接口IP地址和安全区域，完成网络基本参数配置。

2.配置安全策略，允许私网指定网段与Internet进行报文交互。

3.配置NAT地址池。

4.配置源NAT策略，实现私网指定网段访问Internet时自动进行源地址转换。

5.在NGFW上配置缺省路由，使私网流量可以正常转发至ISP的路由器。

配置流程：

1. 配置接口IP地址和安全区域，完成网络基本参数配置。

# 配置接口IP地址。

<NGFW> system-view

[NGFW] interface GigabitEthernet 1/0/1

[NGFW-GigabitEthernet1/0/1] ip address 10.1.1.1 24

[NGFW-GigabitEthernet1/0/1] quit

[NGFW] interface GigabitEthernet 1/0/2

[NGFW-GigabitEthernet1/0/2] ip address 1.1.1.1 24

[NGFW-GigabitEthernet1/0/2] quit

# 配置接口加入相应安全区域。

[NGFW] firewall zone trust        //进入trust区域

[NGFW-zone-trust] add interface GigabitEthernet 1/0/1  //将GigabitEthernet 1/0/1加入trust区域

[NGFW-zone-trust] quit

[NGFW] firewall zone untrust

[NGFW-zone-untrust] add interface GigabitEthernet 1/0/2

[NGFW-zone-untrust] quit

2 配置安全策略，允许私网指定网段与Internet进行报文交互。

[NGFW] security-policy

[NGFW-policy-security] rule name policy_sec_1   //创建安全策略规则名称为policy_sec_1

[NGFW-policy-security-rule-policy_sec_1] source-zone trust   //源区域trust

[NGFW-policy-security-rule-policy_sec_1] destination-zone untrust   //目的区域untrust

[NGFW-policy-security-rule-policy_sec_1] source-address 10.1.1.0 24  //源地址10.1.1.0 24

[NGFW-policy-security-rule-policy_sec_1] action permit   //允许通信

[NGFW-policy-security-rule-policy_sec_1] quit

[NGFW-policy-security] quit

3. 配置NAT地址池，并允许端口转换，实现公网地址复用。

[NGFW] nat address-group addressgroup1    //创建地址池，名称为addressgroup1

[NGFW-nat-address-group-addressgroup1]section  1.1.1.10   1.1.1.15 [NGFW-nat-address-group-addressgroup1] nat-mode  pat   //配置模式为端口转换

[NGFW-nat-address-group-addressgroup1] quit

4 配置源NAT策略，实现私网指定网段访问Internet时自动进行源地址转换。

[NGFW] nat-policy   //进入NAT策略视图

[NGFW-policy-nat] rule name policy_nat_1  //创建NAT策略规则名称为policy_nat_1

[NGFW-policy-nat-rule-policy_nat_1] source-address 10.1.1.0 24

[NGFW-policy-nat-rule-policy_nat_1] source-zone trust

[NGFW-policy-nat-rule-policy_nat_1] destination-zone untrust

[NGFW-policy-nat-rule-policy_nat_1] action nat address-group addressgroup1

[NGFW-policy-nat-rule-policy_nat_1] quit

[NGFW-policy-nat] quit

（5）在NGFW上配置缺省路由，使私网流量可以正常转发至ISP的路由器。

[NGFW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

（6）结果验证。