华为 eNSP 防火墙实战：防火墙安全策略

张

张建站

2026/4/25 5:33:37

10分钟阅读

一、项目背景与需求分析在企业网络架构中防火墙是保障内网安全、实现精细化访问控制的核心设备。本次项目以 CY 公司网络场景为原型基于华为 USG6000V 防火墙搭建环境通过配置安全区域与访问控制策略实现不同部门用户对 DMZ 区服务器的权限隔离满足企业 “按需授权、最小权限” 的安全管理原则。1.1 网络拓扑与地址规划本次实验拓扑包含三个核心区域研发部Trust 区域、售前部门Untrust 区域、DMZ 服务器区地址规划如下区域接口网关地址网段说明TrustGE1/0/0192.1.1.254/24192.1.1.0/24研发部内网包含管理员 A、员工 B、临时客户 CUntrustGE1/0/1192.1.2.254/24192.1.2.0/24售前部门外网包含员工 D、EDMZGE1/0/2192.1.3.254/24192.1.3.0/24服务器区部署 FTP192.1.3.1与 HTTP192.1.3.2服务器1.2 业务需求拆解根据企业安全策略需实现以下 5 类访问控制需求管理员 A192.1.1.1可对 FTP、HTTP 服务器进行完全访问支持 Ping、数据上传下载。研发员工 B192.1.1.2可访问 FTP、HTTP 服务器但禁止 Ping 操作仅开放业务端口。临时客户 C192.1.1.3禁止访问 DMZ 区所有服务器默认拒绝所有访问请求。售前员工 D/E192.1.2.1/2仅可访问 HTTP 服务器禁止访问 FTP 服务器同时限制 Ping 操作。二、前期准备设备基础配置2.1 终端与服务器 IP 配置首先完成所有 PC 与服务器的网络参数配置确保各终端网关指向防火墙对应接口管理员 AIP192.1.1.1/24网关192.1.1.254员工 BIP192.1.1.2/24网关192.1.1.254客户 CIP192.1.1.3/24网关192.1.1.254售前员工 DIP192.1.2.1/24网关192.1.2.254售前员工 EIP192.1.2.2/24网关192.1.2.254FTP 服务器IP192.1.3.1/24网关192.1.3.254HTTP 服务器IP192.1.3.2/24网关192.1.3.2542.2 防火墙接口与安全区域配置1接口 IP 配置# 进入接口配置模式配置各区域网关IP [USG6000V]interface GigabitEthernet1/0/0 [USG6000V-GigabitEthernet1/0/0]undo shutdown [USG6000V-GigabitEthernet1/0/0]ip address 192.1.1.254 255.255.255.0 [USG6000V]interface GigabitEthernet1/0/1 [USG6000V-GigabitEthernet1/0/1]undo shutdown [USG6000V-GigabitEthernet1/0/1]ip address 192.1.2.254 255.255.255.0 [USG6000V]interface GigabitEthernet1/0/2 [USG6000V-GigabitEthernet1/0/2]undo shutdown [USG6000V-GigabitEthernet1/0/2]ip address 192.1.3.254 255.255.255.02安全区域划分华为防火墙通过安全区域Zone实现接口的逻辑隔离默认包含 Trust、Untrust、DMZ 三个区域需将接口加入对应区域# 配置Trust区域研发内网 [USG6000V]firewall zone trust [USG6000V-zone-trust]set priority 85 # 优先级越高区域越可信 [USG6000V-zone-trust]add interface GigabitEthernet1/0/0 # 配置Untrust区域售前外网 [USG6000V]firewall zone untrust [USG6000V-zone-untrust]set priority 5 [USG6000V-zone-untrust]add interface GigabitEthernet1/0/1 # 配置DMZ区域服务器区 [USG6000V]firewall zone dmz [USG6000V-zone-dmz]set priority 50 [USG6000V-zone-dmz]add interface GigabitEthernet1/0/2三、核心配置访问控制策略3.1 管理员 A 的完全访问策略允许管理员 A 从 Trust 区域访问 DMZ 区所有服务包括 ICMPPing、FTP、HTTP# 创建安全策略允许管理员A的所有访问 [USG6000V]security-policy [USG6000V-policy-security]rule name truA-dmz [USG6000V-policy-security-rule-truA-dmz]source-zone trust [USG6000V-policy-security-rule-truA-dmz]destination-zone dmz [USG6000V-policy-security-rule-truA-dmz]source-address 192.1.1.1 255.255.255.255 [USG6000V-policy-security-rule-truA-dmz]action permit3.2 研发员工 B 的受限访问策略员工 B 仅可访问 HTTP 与 FTP 服务禁止 Ping 操作因此需分别配置业务端口策略1HTTP 访问策略仅开放 TCP 80 端口[USG6000V-policy-security]rule name truB-HTTP [USG6000V-policy-security-rule-truB-HTTP]source-zone trust [USG6000V-policy-security-rule-truB-HTTP]destination-zone dmz [USG6000V-policy-security-rule-truB-HTTP]source-address 192.1.1.2 255.255.255.255 [USG6000V-policy-security-rule-truB-HTTP]destination-address 192.1.3.2 255.255.255.255 [USG6000V-policy-security-rule-truB-HTTP]service protocol tcp destination-port 80 [USG6000V-policy-security-rule-truB-HTTP]action permit2FTP 访问策略开放控制通道与数据通道配置两条规则分别开放控制端口 21 与被动模式数据端口范围运行# 开放FTP控制通道TCP 21 [USG6000V-policy-security]rule name truB-FTP1 [USG6000V-policy-security-rule-truB-FTP1]source-zone trust [USG6000V-policy-security-rule-truB-FTP1]destination-zone dmz [USG6000V-policy-security-rule-truB-FTP1]source-address 192.1.1.2 255.255.255.255 [USG6000V-policy-security-rule-truB-FTP1]destination-address 192.1.3.1 255.255.255.255 [USG6000V-policy-security-rule-truB-FTP1]service protocol tcp destination-port 21 [USG6000V-policy-security-rule-truB-FTP1]action permit # 开放FTP被动模式数据通道TCP 1025-65535 [USG6000V-policy-security]rule name truB-FTP2 [USG6000V-policy-security-rule-truB-FTP2]source-zone trust [USG6000V-policy-security-rule-truB-FTP2]destination-zone dmz [USG6000V-policy-security-rule-truB-FTP2]source-address 192.1.1.2 255.255.255.255 [USG6000V-policy-security-rule-truB-FTP2]destination-address 192.1.3.1 255.255.255.255 [USG6000V-policy-security-rule-truB-FTP2]service protocol tcp destination-port 1025 to 65535 [USG6000V-policy-security-rule-truB-FTP2]action permit开启 ASPF 功能自动放行 FTP 数据通道# 配置控制通道策略 [USG6000V-policy-security]rule name truB-FTP1 [USG6000V-policy-security-rule-truB-FTP]source-zone trust [USG6000V-policy-security-rule-truB-FTP]destination-zone dmz [USG6000V-policy-security-rule-truB-FTP]source-address 192.1.1.2 255.255.255.255 [USG6000V-policy-security-rule-truB-FTP]destination-address 192.1.3.1 255.255.255.255 [USG6000V-policy-security-rule-truB-FTP]service protocol tcp destination-port 21 [USG6000V-policy-security-rule-truB-FTP]action permit # 开启Trust到DMZ的ASPF检测 [USG6000V]firewall interzone trust dmz [USG6000V-interzone-trust-dmz]detect ftp3.3 临时客户 C 的拒绝策略客户 C 的访问默认被防火墙隐式拒绝无需额外配置策略所有访问请求将被直接丢弃。3.4 售前员工 D/E 的 HTTP 访问策略允许 Untrust 区域的员工 D/E 仅访问 HTTP 服务器TCP 80 端口禁止其他所有访问[USG6000V-policy-security]rule name untr-HTTP [USG6000V-policy-security-rule-untr-HTTP]source-zone untrust [USG6000V-policy-security-rule-untr-HTTP]destination-zone dmz [USG6000V-policy-security-rule-untr-HTTP]destination-address 192.1.3.2 255.255.255.255 [USG6000V-policy-security-rule-untr-HTTP]service protocol tcp destination-port 80 [USG6000V-policy-security-rule-untr-HTTP]action permit四、结果验证与效果分析4.1 访问验证HTTP 访问管理员 A 通过浏览器访问http://192.1.3.2可正常加载页面FTP 访问使用员工A连接192.1.3.1可成功登录并上传 / 下载文件Ping 测试客户C不能ping 192.1.3.1和ping 192.1.3.2限制权限生效。4.2 研发员工 B 访问验证HTTP 访问可正常访问http://192.1.3.2FTP 访问可通过客户端连接192.1.3.1并操作文件Ping 测试ping 192.1.3.1和ping 192.1.3.2均失败限制 ICMP 的策略生效。4.3 临时客户 C 访问验证无法访问 HTTP 与 FTP 服务器浏览器提示 “无法连接”FTP 客户端连接超时Ping 测试无响应默认拒绝策略生效。4.4 售前员工 D/E 访问验证HTTP 访问可以访问http://192.1.3.2FTP 访问客户端连接192.1.3.1超时被拒绝Ping 测试ping 192.1.3.1和ping 192.1.3.2均失败限制策略生效。五、项目总结与扩展思考5.1 核心知识点回顾安全区域设计通过 Trust/Untrust/DMZ 的三层架构实现内网、外网、服务器区的逻辑隔离优先级决定区域信任等级ASPF 技术解决 FTP 等多通道协议的动态端口放行问题简化安全策略配置精细化策略基于源 IP、目的 IP、服务端口的五元组策略实现 “按需授权、最小权限” 的访问控制。5.2 企业场景扩展在真实企业网络中可进一步优化以下配置配置 NAT 策略实现内网用户访问外网时的地址转换开启日志审计记录所有访问 DMZ 服务器的行为结合用户认证如 AD 域、LDAP实现基于用户的动态访问控制配置黑名单 / 白名单临时限制异常 IP 的访问。通过本次实战完整掌握了华为 USG6000V 防火墙的安全区域划分、协议检测与精细化访问控制策略配置流程为企业网络安全部署提供了可落地的实践方案。注本实验基于华为 eNSP 仿真环境完成配置命令适用于 USG6000V 系列防火墙真实设备配置需根据版本差异调整。