ENSP实战:华为USG6000防火墙安全策略与远程管理配置详解
1. 华为USG6000防火墙基础认知第一次接触华为USG6000系列防火墙时我被它金属质感的机身和密密麻麻的接口震撼到了。这款防火墙在企业级市场占有率很高特别适合中小型网络环境。在ENSP模拟器里操作时我发现它的配置逻辑和真实设备完全一致这对我们网络工程师来说简直是练习神器。防火墙最核心的功能就是区域隔离。华为把网络划分成几个典型区域Local区域优先级100是防火墙自己Trust区域优先级85放内部可信设备Untrust区域优先级5对应危险的外部网络还有DMZ区域优先级50用来放服务器。优先级数字越大越可信数据从低优先级流向高优先级叫inbound反过来叫outbound。这个设计特别像小区的门禁系统——业主(Trust)可以自由进出访客(Untrust)需要登记而物业办公室(Local)则是管理核心。2. 实验环境搭建要点在ENSP里搭建实验环境时我建议先用Cloud云设备桥接到本地物理网卡。有次我忘记勾选UDP选项结果死活连不上防火墙排查了半天才发现问题。具体操作是右键Cloud选择配置→增加端口→绑定真实网卡→勾选UDP协议。防火墙的G0/0/0接口我通常配置成192.168.70.10/24这个网段和大多数人的本地网络不冲突。配置完IP记得一定要执行[FW-GigabitEthernet0/0/0]service-manage enable [FW-GigabitEthernet0/0/0]undo shutdown否则接口就像没插网线一样毫无反应。我第一次实验时就卡在这里后来发现是漏了service-manage这条命令。3. 安全策略配置实战安全策略是防火墙的大脑我把它理解为谁可以访问哪里。新建策略时要特别注意五个要素规则名称rule name源区域source-zone目的区域destination-zone服务类型service动作action permit/deny比如要允许内网管理防火墙就需要这样配置[FW]security-policy [FW-policy-security]rule name allow_admin [FW-policy-security-rule-allow_admin]source-zone trust [FW-policy-security-rule-allow_admin]destination-zone local [FW-policy-security-rule-allow_admin]action permit有次我给客户调试时策略顺序没安排好导致后面的规则被前面的覆盖了。后来学乖了复杂的策略一定先用display security-policy all命令查看执行顺序。4. 远程管理三重奏4.1 Telnet配置不推荐但必要虽然Telnet是明文传输但在内网调试时还是很方便的。配置时容易踩的坑是忘记在接口下放行服务[FW-GigabitEthernet0/0/0]service-manage telnet permit [FW]telnet server enable更关键的是AAA认证配置我见过有人输完密码不保存重启设备后哭晕在机房[FW]aaa [FW-aaa]manager-user admin [FW-aaa-manager-user-admin]password cipher YourPassword123 [FW-aaa-manager-user-admin]service-type telnet [FW-aaa-manager-user-admin]level 154.2 Web界面配置HTTPS管理界面比命令行友好多了特别是查看日志的时候。配置时要注意必须同时放行HTTP和HTTPS默认端口是8443浏览器访问时要加https://[FW-GigabitEthernet0/0/0]service-manage http permit [FW-GigabitEthernet0/0/0]service-manage https permit [FW-aaa]manager-user webadmin [FW-aaa-manager-user-webadmin]service-type web有次客户反馈登录后很多功能看不到原来是用户级别设低了。web管理建议至少level 3以上权限。4.3 SSH安全配置SSH才是远程管理的正道配置稍微复杂些[FW]rsa local-key-pair create # 生成密钥 [FW]stelnet server enable # 开启SSH服务 [FW-ui-vty0-4]protocol inbound ssh # VTY线路启用SSH密钥生成时可能会卡住几分钟这是正常现象。我遇到过Windows SSH客户端连不上最后发现是防火墙默认只支持SSHv2而客户端默认用了SSHv1。5. 排错经验分享调试防火墙最痛苦的就是为什么策略不生效。根据我踩坑的经验排查顺序应该是检查接口是否加入安全区域display zone查看策略命中计数display security-policy statistics确认服务是否开启display telnet/ssh/server status检查路由是否可达display ip routing-table有个经典案例客户说SSH连不上我查了半天发现是安全策略的destination-zone写成了local而不是local。这种细节错误最容易忽视建议配置时开启日志功能[FW]info-center enable [FW]info-center loghost 192.168.70.1006. 安全加固建议基础配置完成后我通常会做这些加固操作修改默认HTTP端口web-manager security port 8444设置登录失败锁定aaa authentication-scheme default启用访问限制acl number 2000配置会话超时idle-timeout 10 0特别是最后一个有次离开座位忘记锁屏回来发现同事帮忙改了配置。现在我都强制10分钟无操作自动退出[FW-ui-vty0-4]idle-timeout 10 0 [FW-ui-vty0-4]shell timeout 10