1. 环境准备与拓扑搭建第一次接触防火墙配置时我对着USG6000V的黑色命令行界面手足无措。后来发现用eNSP模拟器搭建实验环境就像玩积木关键在于先把地基打牢。建议先准备这些建筑材料eNSP 1.3带USG6000V镜像的版本USG6000V防火墙镜像文件3台云主机模拟内网PC、DMZ服务器和ISP网关搭建拓扑时有个容易踩的坑很多教程直接教配置命令却不说清楚接口对应关系。我的经验是先用白纸画出三区两线的结构[内网区]--(GE0/0/1)--[USG6000V]--(GE0/0/2)--[DMZ区] | (GE0/0/0) | [ISP网关]实际配置时我习惯先给所有接口贴标签。比如在eNSP里右键防火墙接口把GE0/0/1改名为Trust-LANGE0/0/2改成DMZGE0/0/0标为Untrust-ISP。这个小技巧能避免后续策略绑错接口。2. 接口配置与区域划分2.1 物理接口IP分配给防火墙接口配IP就像给房子装门牌号得先确定哪个区域用什么网段。我常用这套方案# 内网接口配置连接员工区 USG6000V system-view [USG6000V] interface GigabitEthernet 0/0/1 [USG6000V-GigabitEthernet0/0/1] ip address 192.168.10.1 24 [USG6000V-GigabitEthernet0/0/1] service-manage all permit # 临时放通管理权限 # DMZ接口配置服务器区 [USG6000V] interface GigabitEthernet 0/0/2 [USG6000V-GigabitEthernet0/0/2] ip address 172.16.20.1 24 # 外网接口配置ISP上行 [USG6000V] interface GigabitEthernet 0/0/0 [USG6000V-GigabitEthernet0/0/0] ip address 203.179.1.2 24注意实际公网IP要替换成ISP提供的地址这里用示例地址演示2.2 安全区域绑定防火墙的聪明之处在于知道谁是谁。把接口加入安全区域就像给不同房间贴标签[USG6000V] firewall zone trust # 创建信任区域内网 [USG6000V-zone-trust] add interface GigabitEthernet 0/0/1 [USG6000V] firewall zone dmz # 创建DMZ区域 [USG6000V-zone-dmz] add interface GigabitEthernet 0/0/2 [USG6000V] firewall zone untrust # 创建非信任区域外网 [USG6000V-zone-untrust] add interface GigabitEthernet 0/0/0测试时可以用display firewall zone查看绑定效果我曾因为漏绑接口导致整个DMZ区无法访问。3. 安全策略配置实战3.1 基础访问控制策略配置策略就像制定大楼门禁规则建议按从内到外的顺序设置。这里有个我总结的万能模板# 允许内网访问外网员工上网 [USG6000V] security-policy [USG6000V-policy-security] rule name Trust_to_Untrust [USG6000V-policy-security-rule-Trust_to_Untrust] source-zone trust [USG6000V-policy-security-rule-Trust_to_Untrust] destination-zone untrust [USG6000V-policy-security-rule-Trust_to_Untrust] action permit # 允许外网访问DMZ的Web服务 [USG6000V-policy-security] rule name Untrust_to_DMZ_Web [USG6000V-policy-security-rule-Untrust_to_DMZ_Web] source-zone untrust [USG6000V-policy-security-rule-Untrust_to_DMZ_Web] destination-zone dmz [USG6000V-policy-security-rule-Untrust_to_DMZ_Web] destination-address 172.16.20.10 32 # 假设Web服务器IP [USG6000V-policy-security-rule-Untrust_to_DMZ_Web] service http https [USG6000V-policy-security-rule-Untrust_to_DMZ_Web] action permit踩坑提醒策略生效需要commit但eNSP里的USG6000V默认自动提交真机可能需要手动执行commit命令3.2 精细化控制策略真实企业环境往往需要更细致的控制。比如只允许财务部访问特定服务器# 先创建地址组 [USG6000V] ip address-set Finance_Dept [USG6000V-address-set-Finance_Dept] address 192.168.10.100 192.168.10.120 # 再创建服务组财务系统端口 [USG6000V] service-set Finance_Ports [USG6000V-service-set-Finance_Ports] service tcp destination 8080 # 财务系统端口 [USG6000V-service-set-Finance_Ports] service tcp destination 8443 # 最后绑定策略 [USG6000V-policy-security] rule name Finance_Access [USG6000V-policy-security-rule-Finance_Access] source-address address-set Finance_Dept [USG6000V-policy-security-rule-Finance_Access] destination-address 172.16.20.50 32 [USG6000V-policy-security-rule-Finance_Access] service service-set Finance_Ports [USG6000V-policy-security-rule-Finance_Access] action permit4. NAT配置与上网实现4.1 源NAT配置内网上网让内网用户上网就像帮他们代购需要做地址转换。推荐用地址池方式# 创建NAT地址池用外网接口IP [USG6000V] nat address-group Internet_Pool [USG6000V-address-group-Internet_Pool] address 203.179.1.2 203.179.1.2 # 配置源NAT规则 [USG6000V] nat-policy [USG6000V-policy-nat] rule name Outbound_NAT [USG6000V-policy-nat-rule-Outbound_NAT] source-address 192.168.10.0 24 [USG6000V-policy-nat-rule-Outbound_NAT] action source-nat address-group Internet_Pool测试时在内网PC执行ping 8.8.8.8同时在防火墙用display nat session查看转换记录。4.2 目的NAT配置发布DMZ服务把服务器发布到公网就像开店铺挂招牌需要端口映射# 将公网IP的80端口映射到DMZ服务器 [USG6000V-policy-nat] rule name Publish_Web [USG6000V-policy-nat-rule-Publish_Web] destination-address 203.179.1.2 32 [USG6000V-policy-nat-rule-Publish_Web] service http [USG6000V-policy-nat-rule-Publish_Web] action destination-nat static ip 172.16.20.10有个实用技巧用display nat-policy可以查看所有NAT规则优先级我曾因规则顺序错误导致映射失效。5. 验证与排错指南5.1 基础检查命令配置完总要验证效果这几个命令是我的诊断三件套# 查看策略命中情况 display security-policy statistics rule all # 查看NAT会话实时流量 display nat session verbose # 测试连通性从防火墙ping测试 ping -a 192.168.10.1 172.16.20.10 # 测试内网到DMZ5.2 常见问题排查遇到问题时可以按这个流程检查物理连接eNSP中设备连线是否变绿接口状态display interface brief查看端口UP/DOWN路由表display routing-table确认默认路由指向ISP网关策略顺序安全策略是从上往下匹配用display security-policy看规则顺序有次我配置完所有策略却发现内网无法上网最后发现是缺了默认路由[USG6000V] ip route-static 0.0.0.0 0 203.179.1.16. 实验报告撰写要点写实验报告不是记流水账我的结构通常是拓扑说明用Visio或eNSP导出拓扑图标注各区域IP段关键配置只摘录核心命令配上中文注释测试结果截图ping测试和display nat session的输出问题分析记录实验过程中遇到的真实报错及解决方法比如可以这样记录NAT配置片段# 源NAT配置内网192.168.10.0/24 → 公网IP出向 nat-policy rule name Outbound_NAT source-zone trust destination-zone untrust source-address 192.168.10.0 24 action source-nat address-group Internet_Pool最后提醒实验完成后别忘保存配置save否则重启eNSP所有配置都会丢失。建议把关键配置复制到文本文件备份。