1. 华为USG6000V防火墙基础认知第一次接触华为USG6000V防火墙时我被它金属质感的机身和密密麻麻的接口震撼到了。这款防火墙在中小企业网络环境中特别常见就像网络世界的门神负责把控所有进出的数据流量。USG6000V支持虚拟化部署这意味着你可以在VMware或KVM环境中运行它对于预算有限但又需要专业级防火墙功能的企业来说简直是福音。防火墙默认的管理账号是admin密码是Admin123这个一定要记牢。我第一次配置时就因为输错密码被锁了账号折腾了半天才重置成功。登录后你会看到一个简洁的Web界面不过老司机们更喜欢用命令行操作毕竟有些高级功能在Web界面里藏得比较深。防火墙有三个关键区域需要特别注意Trust区域通常连接内部办公网络比如员工的电脑、打印机等Untrust区域连接外部网络比如互联网出口DMZ区域放置那些需要内外网都能访问的服务器比如Web服务器、邮件服务器2. 基础网络环境搭建2.1 接口IP配置实战配置接口IP是防火墙部署的第一步这里有个小技巧先把所有需要用到的网线接好再开机这样系统会自动识别物理接口状态。我遇到过好几次因为网线没插好导致配置不生效的情况。以配置GigabitEthernet 1/0/1接口为例这是内网接口system-view interface GigabitEthernet 1/0/1 ip address 192.168.1.254 24 service-manage ping permit最后一行service-manage ping permit特别重要它允许这个接口响应ping请求。记得有次给客户部署时忘了这步结果排查了半天为什么内网ping不通防火墙。2.2 安全域划分技巧安全域是防火墙的核心概念相当于给不同安全级别的网络区域打标签。配置时要注意先创建安全域再把接口加入对应的安全域firewall zone name DMZ add interface GigabitEthernet 1/0/2 firewall zone trust add interface GigabitEthernet 1/0/1 firewall zone untrust add interface GigabitEthernet 1/0/3实际项目中我习惯用更直观的命名比如把trust改成Office-Network这样后期维护时一目了然。华为防火墙允许自定义安全域名称这个功能很实用。3. 内网访问外网配置详解3.1 安全策略配置防火墙默认遵循默认拒绝原则所以必须明确放行内网访问外网的流量。安全策略相当于网络世界的通行证需要定义谁(源)、去哪里(目的)、干什么(服务)。security-policy rule name inside-to-outside source-zone trust destination-zone untrust action permit这里有个坑要注意规则名称最好不要用中文虽然系统支持但可能在某些版本会出现显示异常。我习惯用英文加下划线的命名方式比如office_to_internet。3.2 NAT策略配置内网访问外网还需要NAT网络地址转换把内网的私有IP转换成公网IP。华为防火墙支持多种NAT方式对于中小企业最常用的是easy-ip模式直接使用接口的公网IP。nat-policy rule name inside-out-nat source-zone trust destination-zone untrust action source-nat easy-ip曾经有个客户的内网有200多台电脑配置完NAT后发现网速特别慢。后来发现是NAT会话数限制导致的调整了session number参数后问题解决。所以在大规模网络环境中这些细节参数也要特别注意。3.3 路由配置要点最后别忘了配置默认路由告诉防火墙所有去往外网的流量走哪个网关ip route-static 0.0.0.0 0 8.0.0.2在复杂网络环境中可能还需要配置更精确的路由。我建议先用display ip routing-table命令查看现有路由表避免配置冲突。4. 外网访问内网服务器配置4.1 NAT服务器映射让外网访问内网服务器需要做端口映射华为称之为NAT Server。比如把内网192.168.0.11的80端口映射到公网IP 8.0.0.1的6677端口nat server http protocol tcp global 8.0.0.1 6677 inside 192.168.0.11 80这里有个实用技巧外部端口不一定要和内部端口一致。比如你可以把内部80端口映射到外部的8080端口这样能稍微增加一点安全性。但要注意如果映射的是HTTP服务用户访问时就得带上端口号比如http://8.0.0.1:8080。4.2 双向安全策略配置NAT Server配置好后还需要配套的安全策略security-policy rule name outside-to-dmz source-zone untrust destination-zone DMZ destination-address 192.168.0.11 mask 255.255.255.255 service http action permit我强烈建议为每个服务创建独立的安全策略规则而不是笼统地放行所有流量。曾经见过一个案例管理员图省事直接放行所有DMZ区域的流量结果服务器被攻陷。5. 常见问题排查指南5.1 ping不通的排查步骤当网络不通时我有一套自创的四步排查法检查物理连接网线、光纤是否插好检查接口状态display interface brief检查IP配置display ip interface brief检查安全策略display security-policy rule all特别是第四步很多问题其实都是安全策略没配置好导致的。华为防火墙的拒绝日志很有用可以用display firewall session table verbose查看被拒绝的流量详情。5.2 NAT失效的解决方法如果NAT不生效可以尝试以下命令诊断display nat-policy rule all display nat session all曾经遇到过一个奇葩问题NAT配置完全正确但就是不通。最后发现是防火墙的License没有包含NAT功能。所以购买设备时一定要确认功能授权是否齐全。5.3 性能优化建议对于高流量环境我有几个实用建议启用NAT ALG应用层网关提升特定协议的性能调整会话老化时间默认值可能不适合你的业务考虑启用硬件加速功能如果设备支持在某个电商客户那里我们通过优化NAT会话参数使防火墙的并发处理能力提升了40%。具体参数要根据实际业务流量特点来调整没有放之四海而皆准的最优值。