博客

今天以华为USG系列防火墙为例，写一个在企业出口配置防火墙的网络实验。

防火墙作为VAS设备，向租户提供安全策略、EIP、源NAT、IPSec、内容安全等增值安全服务。作为执行器，接收控制器下发的防御策略，及时阻断威胁流量。

应用领域包括：校园出口、广电网络、金融中心、企业园区、云计算等。

以企业园区为例：防火墙部署在大中型企业出口提供Internet接入、VPN互联和安全防护功能，主要使用双机热备、NAT、ISP智能选路、VPN、攻击防范等功能。

下面列举2个应用场景配置：CLI和Web

管理员登录设备后，首先要对设备进行网络基础配置，使设备快速接入网络，如下图，企业购买了FW作为企业出口网关。管理员在登录FW后，首先需要对FW进行网络基础配置，包括设备名称、时钟、接口IP地址、安全区域、缺省路由及缺省包过滤的配置。

CLI配置思路

1. 配置FW的设备名称。
2. 配置FW的时钟。
3. 配置FW各业务接口的IP地址。IP地址需要在配置前进行统一规划。
4. 将各个业务接口加入安全区域。一般情况下，连接外网的接口加入安全级别低的安全区域（例如untrust区域），连接内网的接口加入安全级别高的安全区域（例如trust区域），服务器可以加入DMZ区域。
5. 配置缺省路由，下一跳为ISP提供的接入点。
6. 打开缺省包过滤，保证FW能够接入Internet。缺省情况下，缺省包过滤关闭。

CIL操作步骤

1.配置设备名称

<FW> system-view
[FW] sysname FW_A
[FW_A] quit

2.配置时钟，包括当前时间和时区。

<FW> clock datetime 18:10:45 2023-08-14
<FW> clock timezone BJ add 08:00:00

3.配置接口的IP地址。连接外网的接口IP地址（本例为10.1.1.1/24）需要从当地ISP获取。

<FW_A> system-view
[FW_A] interface GigabitEthernet 0/0/0
[FW_A-GigabitEthernet0/0/0] ip address 192.168.1.1 24
[FW_A-GigabitEthernet0/0/0] quit
[FW_A] interface GigabitEthernet 0/0/1
[FW_A-GigabitEthernet0/0/1] ip address 10.1.1.1 24
[FW_A-GigabitEthernet0/0/1] quit
[FW_A] interface GigabitEthernet 0/0/2
[FW_A-GigabitEthernet0/0/2] ip address 1.1.1.1 24
[FW_A-GigabitEthernet0/0/2] quit

4.将各个业务接口加入安全区域。

[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 0/0/0
[FW_A-zone-trust] quit
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 0/0/1
[FW_A-zone-dmz] quit
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 0/0/2
[FW_A-zone-untrust] quit

5.配置缺省路由。

[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

6.打开缺省包过滤，保证FW能够接入Internet。

这里同样可以用脚本直接导入的方式实现一键配置，以下是完整的配置脚本：

#
 sysname FW_A
#                                                                               
interface GigabitEthernet0/0/0
 ip address 192.168.1.1 255.255.255.0
#                                                                               
interface GigabitEthernet0/0/1
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet0/0/2
 ip address 1.1.1.1 255.255.255.0
#
firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
#
firewall zone dmz
 set priority 50
 add interface GigabitEthernet0/0/1
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/2
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
#                                                                               
security-policy                                                                 
 default action permit      
#
return

Web配置思路

1. 配置FW的时钟。
2. 配置FW各业务接口的IP地址。IP地址需要在配置前进行统一规划。
3. 将各个业务接口加入安全区域。一般情况下，连接外网的接口加入安全级别低的安全区域（例如untrust区域），连接内网的接口加入安全级别高的安全区域（例如trust区域），服务器可以加入DMZ区域。
4. 配置缺省路由，下一跳为ISP提供的接入点。
5. 打开缺省包过滤，保证FW能够接入Internet。缺省情况下，缺省包过滤关闭。

Web操作步骤

1. 配置时钟，包括当前时间和时区。
   1. 选择“系统 > 配置 > 时钟配置”。
   2. 在“配置方式”中选择“手动配置时间”。
   3. 配置“时区”。
   4. 配置“日期”。
   5. 配置“系统时间”。
   6. 单击“应用”。
2. 配置接口0的IP地址和安全区域。
   1. 选择“网络 > 接口”。
   2. 单击GE0/0/0。
   3. 按如下参数配置接口GE0/0/0。安全区域trust的IP地址192.168.1.1/24
   4. 单击“确定”。
   5. 重复上述步骤按如下参数配置接口GE0/0/1。安全区域dmz的IP地址10.1.1.1/24
   6. 重复上述步骤按如下参数配置接口GE0/0/2。安全区域untrust的IP地址1.1.1.1/24
3. 配置缺省路由。
   1. 选择“网络 > 路由 > 静态路由”。
   2. 单击“新建”。
   3. 按如下参数配置缺省路由。目的地址0.0.0.0掩码0.0.0.0下一跳1.1.1.254
   4. 单击“确定”。
4. 打开缺省包过滤，保证FW能够接入Internet。一般情况下建议保持缺省包过滤关闭，然后配置具体允许哪些数据流通过的安全策略。
   1. 选择“策略 > 安全策略”。
   2. 修改default安全策略的动作为允许。
   3. 单击“确定”。

以上就是企业出口防火墙典型案例的详细配置，感兴趣的同学可以在ensp搭建拓扑图试一下。