华为防火墙配置实例：从零开始的企业级安全防护实战指南（附完整命令与案例）-拾贝生活号

在当前网络安全威胁日益复杂的背景下，华为防火墙作为企业网络的第一道防线，承担着至关重要的角色。无论是抵御DDoS攻击、实现内外网隔离，还是构建安全的远程访问通道，合理的防火墙配置都直接决定了企业的信息安全水平。

华为防火墙配置实例：从零开始的企业级安全防护实战指南（附完整命令与案例）

本文将结合真实项目场景，以华为USG6000系列防火墙为例，深入解析华为防火墙配置实例，涵盖基础设置、安全策略、NAT转换、IPSec VPN、高可用性等核心功能，并提供可复用的CLI命令和最佳实践建议，助力IT管理员快速掌握企业级防火墙部署技能。

华为防火墙基础配置：初始化与区域划分

任何防火墙部署的第一步都是完成基础网络配置和安全区域定义。遵循“最小权限”原则，合理划分安全域是构建纵深防御体系的基础。

1. 初始访问与管理接口配置

通过Console线或管理口（MGMT）首次登录设备后，进行如下基础设置：

<Huawei> system-view
[Huawei] sysname FW-Edge-Gateway    # 修改主机名便于识别
[FW-Edge-Gateway] interface GigabitEthernet1/0/0
[FW-Edge-Gateway-GigabitEthernet1/0/0] ip address 192.168.1.1 255.255.255.0
[FW-Edge-Gateway-GigabitEthernet1/0/0] service-manage enable  # 允许Web/SSH管理
[FW-Edge-Gateway-GigabitEthernet1/0/0] quit

2. 创建管理员账户（强化账号安全）

[FW-Edge-Gateway] aaa
[FW-Edge-Gateway-aaa] local-user admin password cipher StrongPass@2025!
[FW-Edge-Gateway-aaa] local-user admin service-type http https ssh
[FW-Edge-Gateway-aaa] local-user admin privilege level 15
[FW-Edge-Gateway-aaa] quit

✅ 安全建议：启用密码复杂度策略，定期更换密码，禁用默认账户。

3. 安全区域（Security Zone）配置

华为防火墙默认包含trust、untrust、dmz等区域，需根据实际网络结构绑定物理接口。

# 内网区域（信任）
[FW-Edge-Gateway] firewall zone trust
[FW-Edge-Gateway-zone-trust] add interface GigabitEthernet1/0/1
[FW-Edge-Gateway-zone-trust] quit

# 外网区域（非信任）
[FW-Edge-Gateway] firewall zone untrust
[FW-Edge-Gateway-zone-untrust] add interface GigabitEthernet1/0/2
[FW-Edge-Gateway-zone-untrust] quit

# DMZ区域（服务器区）
[FW-Edge-Gateway] firewall zone dmz
[FW-Edge-Gateway-zone-dmz] add interface GigabitEthernet1/0/3
[FW-Edge-Gateway-zone-dmz] quit

安全策略配置：实现最小权限访问控制

安全策略是防火墙的核心，用于控制不同区域间的流量流向。务必遵循“默认拒绝，按需放行”原则。

实例1：允许内网用户访问互联网

[FW-Edge-Gateway] security-policy
[FW-Edge-Gateway-policy-security] rule name Allow_Trust_to_Untrust
[FW-Edge-Gateway-policy-security-rule-Allow_Trust_to_Untrust] source-zone trust
[FW-Edge-Gateway-policy-security-rule-Allow_Trust_to_Untrust] destination-zone untrust
[FW-Edge-Gateway-policy-security-rule-Allow_Trust_to_Untrust] source-address 192.168.1.0 24
[FW-Edge-Gateway-policy-security-rule-Allow_Trust_to_Untrust] action permit
[FW-Edge-Gateway-policy-security-rule-Allow_Trust_to_Untrust] logging enable  # 启用日志审计
[FW-Edge-Gateway-policy-security-rule-Allow_Trust_to_Untrust] quit
[FW-Edge-Gateway-policy-security] quit

实例2：禁止外网直接访问内网SSH服务

[FW-Edge-Gateway] security-policy
[FW-Edge-Gateway-policy-security] rule name Block_SSH_From_Untrust
[FW-Edge-Gateway-policy-security-rule-Block_SSH_From_Untrust] source-zone untrust
[FW-Edge-Gateway-policy-security-rule-Block_SSH_From_Untrust] destination-zone trust
[FW-Edge-Gateway-policy-security-rule-Block_SSH_From_Untrust] destination-address 192.168.1.0 24
[FW-Edge-Gateway-policy-security-rule-Block_SSH_From_Untrust] service ssh
[FW-Edge-Gateway-policy-security-rule-Block_SSH_From_Untrust] action deny
[FW-Edge-Gateway-policy-security-rule-Block_SSH_From_Untrust] quit
[FW-Edge-Gateway-policy-security] quit

🔍 策略匹配顺序：防火墙按规则顺序匹配，建议将具体规则置于通用规则之前。

NAT配置实战：源NAT与目的NAT详解

NAT（网络地址转换）是连接私有网络与公网的关键技术，常见于上网和服务器发布场景。

1. 源NAT（SNAT）——内网用户访问公网

# 创建NAT地址池
[FW-Edge-Gateway] nat address-group PUBLIC_POOL
[FW-Edge-Gateway-address-group-PUBLIC_POOL] section 0 203.0.113.10 203.0.113.20
[FW-Edge-Gateway-address-group-PUBLIC_POOL] mode pat  # 启用端口复用
[FW-Edge-Gateway-address-group-PUBLIC_POOL] quit

# 配置NAT策略
[FW-Edge-Gateway] nat-policy
[FW-Edge-Gateway-policy-nat] rule name SNAT_OUTBOUND
[FW-Edge-Gateway-policy-nat-rule-SNAT_OUTBOUND] source-zone trust
[FW-Edge-Gateway-policy-nat-rule-SNAT_OUTBOUND] destination-zone untrust
[FW-Edge-Gateway-policy-nat-rule-SNAT_OUTBOUND] source-address 192.168.1.0 24
[FW-Edge-Gateway-policy-nat-rule-SNAT_OUTBOUND] action source-nat address-group PUBLIC_POOL
[FW-Edge-Gateway-policy-nat] quit

2. 目的NAT（DNAT）——发布内部Web服务器

将公网IP 203.0.113.100:80 映射到内网 192.168.1.100:8080 的Web服务。

[FW-Edge-Gateway] nat server protocol tcp global 203.0.113.100 80 inside 192.168.1.100 8080

⚠️ 安全提醒：仅对必要服务开放DNAT，并配合IPS/AV等深度防护。

IPSec VPN配置：构建站点间加密隧道

实现总部与分支之间的安全互联，推荐使用IPSec VPN。

1. 配置IKE提议（第一阶段）

[FW-Edge-Gateway] ike proposal IKE_PROPOSAL_1
[FW-Edge-Gateway-ike-proposal-IKE_PROPOSAL_1] encryption-algorithm aes-256
[FW-Edge-Gateway-ike-proposal-IKE_PROPOSAL_1] dh group14
[FW-Edge-Gateway-ike-proposal-IKE_PROPOSAL_1] integrity-algorithm sha2-256
[FW-Edge-Gateway-ike-proposal-IKE_PROPOSAL_1] quit

2. 配置IPSec提议（第二阶段）

[FW-Edge-Gateway] ipsec proposal IPSEC_PROPOSAL_1
[FW-Edge-Gateway-ipsec-proposal-IPSEC_PROPOSAL_1] esp authentication-algorithm sha2-256
[FW-Edge-Gateway-ipsec-proposal-IPSEC_PROPOSAL_1] esp encryption-algorithm aes-256
[FW-Edge-Gateway-ipsec-proposal-IPSEC_PROPOSAL_1] quit

3. 配置IKE对等体与IPSec策略

[FW-Edge-Gateway] ike peer BRANCH_PEER
[FW-Edge-Gateway-ike-peer-BRANCH_PEER] pre-shared-key cipher BranchKey@123
[FW-Edge-Gateway-ike-peer-BRANCH_PEER] remote-address 203.0.113.200
[FW-Edge-Gateway-ike-peer-BRANCH_PEER] ike-proposal IKE_PROPOSAL_1
[FW-Edge-Gateway-ike-peer-BRANCH_PEER] quit

[FW-Edge-Gateway] ipsec policy POLICY_TO_BRANCH 1 isakmp
[FW-Edge-Gateway-ipsec-policy-isakmp-POLICY_TO_BRANCH-1] proposal IPSEC_PROPOSAL_1
[FW-Edge-Gateway-ipsec-policy-isakmp-POLICY_TO_BRANCH-1] ike-peer BRANCH_PEER
[FW-Edge-Gateway-ipsec-policy-isakmp-POLICY_TO_BRANCH-1] quit

# 应用到外网接口
[FW-Edge-Gateway] interface GigabitEthernet1/0/2
[FW-Edge-Gateway-GigabitEthernet1/0/2] ipsec policy POLICY_TO_BRANCH

高可用性配置：双机热备（HRP）

为保障业务连续性，建议部署主备模式的双机热备。

# 主防火墙配置
[FW-Edge-Gateway] hrp enable
[FW-Edge-Gateway] hrp interface GigabitEthernet1/0/4  # 心跳接口
[FW-Edge-Gateway] hrp preempt delay 60                # 抢占延迟60秒
[FW-Edge-Gateway] hrp standby config enable           # 允许同步配置

✅ 最佳实践：使用独立的心跳链路（推荐万兆光口），并配置VRRP虚拟IP实现无缝切换。

运维与排错：关键命令速查表

场景	命令
查看路由表	`display ip routing-table`
查看NAT会话	`display firewall session table nat`
查看安全策略	`display security-policy all`
调试IPSec协商	`debugging ike all` / `debugging ipsec all`
导出配置备份	`<Huawei> save`
抓包分析	`capture-packet interface GigabitEthernet1/0/1`