以下是针对 思科(Cisco ASA/Firepower)、华三(H3C)、华为(Huawei USG)防火墙 的基础配置指南,涵盖 区域划分、安全策略、NAT、路由 等核心功能。配置示例基于通用场景,实际部署时需根据网络环境调整。
一、配置防火墙区域(Zone)
1. 思科防火墙(Cisco ASA)
ASA 使用 安全级别(Security Levels) 隐式划分逻辑区域,接口的安全级别决定流量方向(高到低默认允许,低到高需配置ACL)。
bash
复制
下载
! 配置接口名称和IP interface GigabitEthernet0/0 nameif outside # 外部区域(安全级别默认0) security-level 0 ip address 203.0.113.1 255.255.255.0 interface GigabitEternet0/1 nameif inside # 内部区域(安全级别100) security-level 100 ip address 192.168.1.1 255.255.255.0
2. 华三防火墙(H3C)
华三通过显式定义安全区域(Zone),并将接口加入区域。
bash
复制
下载
# 创建安全区域 security-zone name Inside security-zone name Outside # 将接口加入区域 interface GigabitEthernet0/0 port link-mode route ip address 203.0.113.1 24 security-zone Outside interface GigabitEthernet0/1 port link-mode route ip address 192.168.1.1 24 security-zone Inside
3. 华为防火墙(Huawei USG)
华为同样显式定义安全区域并绑定接口。
bash
复制
下载
# 创建安全区域 firewall zone name Inside set priority 85 firewall zone name Outside set priority 5 # 将接口加入区域 interface GigabitEthernet0/0/0 ip address 203.0.113.1 24 firewall zone Outside interface GigabitEthernet0/0/1 ip address 192.168.1.1 24 firewall zone Inside
二、配置安全策略(允许内网访问外网)
1. 思科防火墙(Cisco ASA)
bash
复制
下载
! 允许内部到外部的所有流量 access-list INSIDE_OUT permit ip any any access-group INSIDE_OUT in interface inside
2. 华三防火墙(H3C)
bash
复制
下载
# 创建策略允许内部到外部 security-policy ip rule name INSIDE_TO_OUTSIDE source-zone Inside destination-zone Outside source-ip 192.168.1.0 24 action pass
3. 华为防火墙(Huawei USG)
bash
复制
下载
# 创建策略规则 policy interzone Inside Outside outbound policy 0 action permit source 192.168.1.0 0.0.0.255 service any
三、配置NAT(源地址转换)
1. 思科防火墙(Cisco ASA)
bash
复制
下载
! 配置动态PAT(内部IP转换为外部接口IP) object network INSIDE_NET subnet 192.168.1.0 255.255.255.0 nat (inside,outside) dynamic interface
2. 华三防火墙(H3C)
bash
复制
下载
# 配置源NAT(Easy-IP模式) nat address-group 0 mode pat section 0 203.0.113.1 203.0.113.1 acl advanced 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 nat outbound 3000 address-group 0
3. 华为防火墙(Huawei USG)
bash
复制
下载
# 配置源NAT(接口地址转换) nat-policy interzone Inside Outside outbound policy 0 source 192.168.1.0 24 action source-nat easy-ip enable
四、配置路由(静态路由)
1. 思科防火墙(Cisco ASA)
bash
复制
下载
! 配置默认路由指向外网网关 route outside 0.0.0.0 0.0.0.0 203.0.113.254
2. 华三防火墙(H3C)
bash
复制
下载
# 配置默认路由 ip route-static 0.0.0.0 0 203.0.113.254
3. 华为防火墙(Huawei USG)
bash
复制
下载
# 配置默认路由 ip route-static 0.0.0.0 0.0.0.0 203.0.113.254
五、验证配置
1. 思科防火墙
bash
复制
下载
show route # 查看路由表 show nat detail # 检查NAT规则 show access-list # 查看ACL策略
2. 华三防火墙
bash
复制
下载
display security-policy all # 查看安全策略 display nat outbound # 查看NAT规则 display ip routing-table # 查看路由表
3. 华为防火墙
bash
复制
下载
display firewall session table # 查看会话表 display nat-policy # 查看NAT策略 display ip routing-table # 查看路由表
六、常见问题排查
-
流量不通
-
检查接口状态(
display interface/show interface)。 -
确认安全策略是否匹配流量(检查策略命中计数)。
-
验证NAT规则是否生效(查看转换后的地址)。
-
-
NAT失效
-
确保NAT规则的应用方向(inbound/outbound)正确。
-
检查地址池或接口IP是否可达。
-
-
路由缺失
-
确认静态路由的下一跳地址正确且可达。
-
检查防火墙是否启用了路由功能(某些场景需关闭透明模式)。
-
总结
-
区域划分:明确接口所属安全区域,控制流量流向。
-
安全策略:按最小权限原则开放必要流量(建议细化到端口)。
-
NAT配置:确保内部地址正确转换为公网地址。
-
路由配置:保证防火墙能正确转发流量到下一跳。
根据实际需求,可扩展配置 端口映射(目的NAT)、VPN、高可用性(HA) 等功能。
