ENSP实战:USG5500防火墙多区域策略配置与验证
1. 实验环境搭建与基础配置第一次接触USG5500防火墙时我对着密密麻麻的接口发懵。后来发现只要理清三个关键区域就简单多了Trust区域内网、DMZ区域服务器区、Untrust区域外网。在eNSP中搭建环境时建议先准备好这些设备1台USG5500防火墙关键设备2台AR2220路由器模拟内外网连接4台S5700交换机连接终端设备10台PC终端测试用2台Server服务器部署在DMZ区接口配置的坑我踩过防火墙的G0/0/0口默认是管理口但实际项目中我们常用它连接内网。建议按这个逻辑配置接口# 防火墙基础配置示例 system-view sysname FW1 interface GigabitEthernet 0/0/0 ip address 172.16.1.2 255.255.255.0 # 连接Trust区域 undo shutdown interface GigabitEthernet 0/0/1 ip address 172.16.2.1 255.255.255.0 # 连接DMZ区域 undo shutdown interface GigabitEthernet 0/0/2 ip address 172.16.3.1 255.255.255.0 # 连接Untrust区域 undo shutdown注意eNSP模拟器有时会出现端口状态异常如果发现接口无法up尝试重启设备或重新连线。2. 安全区域绑定与路由设置安全区域就像小区的门禁系统Trust是业主通道高信任度DMZ是访客登记处中等信任Untrust就是小区大门完全不可信。配置时最易出错的是区域绑定顺序# 正确绑定姿势必须先创建区域再绑定接口 firewall zone trust add interface GigabitEthernet 0/0/0 firewall zone dmz add interface GigabitEthernet 0/0/1 firewall zone untrust add interface GigabitEthernet 0/0/2路由配置有个实用技巧USG5500默认不会自动生成路由。我遇到过内网能ping通防火墙却无法上网的情况后来发现是缺了这条关键配置# 静态路由配置示例指向各区域网关 ip route-static 192.168.1.0 255.255.255.0 172.16.1.1 ip route-static 192.168.2.0 255.255.255.0 172.16.1.1 ip route-static 3.3.3.0 255.255.255.0 172.16.3.2 # 外网路由3. 精细化访问控制策略企业网络最典型的需求就是市场部需要上网但研发部禁止外联。通过策略编号实现这个需求时要注意策略的匹配顺序# 策略组配置实例注意编号小的优先执行 policy interzone trust untrust outbound policy 1 # 禁止192.168.2.0网段访问外网 policy source 192.168.2.0 0.0.0.255 action deny policy 2 # 允许192.168.1.0网段访问外网 policy source 192.168.1.0 0.0.0.255 action permit policy interzone trust dmz outbound policy 3 # 允许所有内网访问DMZ action permit实测中发现个细节策略修改后不会立即生效需要手动清除会话表。可以用这个命令快速验证策略display firewall session table # 查看当前会话 reset firewall session table # 重置会话4. 实战验证与排错技巧配置完成后我习惯用这个验证流程基础连通性测试# 在PC1上执行 ping 192.168.1.254 # 测试网关连通性 ping 172.16.2.2 # 测试DMZ服务器连通性策略生效验证# 在受限网段PC4上测试 ping 3.3.3.1 # 应该失败 telnet 3.3.3.1 80 # 测试TCP协议控制DNS特殊配置 想让特定网段支持域名访问别忘了这两步# 防火墙开启DNS代理 dns proxy enable # 在策略中放行DNS流量 policy interzone trust untrust outbound policy 4 policy service dns action permit遇到策略不生效时先用这个诊断组合拳display current-configuration | include policy # 检查策略配置 display firewall statistic system discard # 查看丢弃报文统计 tracert 3.3.3.1 # 追踪路由路径5. 企业级配置经验分享真实项目中的配置要比实验复杂得多。比如这三个实用场景多网段差异化控制财务部10.10.10.0/24只能访问特定服务器市场部10.10.20.0/24可以全网访问时间段控制上班时间禁止视频流量午休时段放开应用层过滤拦截特定URL或文件类型高级配置示例# 基于时间的策略 time-range worktime 08:00 to 18:00 working-day policy interzone trust untrust outbound policy 10 time-range worktime policy source 10.10.10.0 0.0.0.255 policy service http action deny最后说个血泪教训配置备份一定要做有次设备重启后配置丢失差点造成事故。现在我都用这个命令定期备份save config.cfg # 保存配置到文件 ftp 192.168.1.100 put config.cfg # 上传到FTP服务器