乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > 华为防火墙设置详细步骤说明

华为防火墙设置详细步骤说明

当前时间: 2026-03-07 10:21:49 分类:软件教程 评论(0)

华为防火墙设置详细步骤说明

以华为USG系列为例,提供Web界面+命令行双方式的完整配置步骤,覆盖从初始登录到上网、NAT、安全策略、保存的全流程。

一、初始登录(Web/CLI)

Web登录(推荐)

1. 电脑网口设为 192.168.0.2/24,网关 192.168.0.1

2. 浏览器访问:https://192.168.0.1:8443(默认管理口GE0/0/0)

3. 默认账号:admin / Admin@123(首次登录强制改密)

CLI登录(Console/SSH)

• Console:波特率9600,数据位8,停止位1,无校验

• 进入系统视图:system-view(提示符从 <USG> 变为 [USG])

二、基础配置(必做)

1. 接口IP+安全区域绑定(核心)

默认区域优先级:Local(100) > Trust(85) > DMZ(50) > Untrust(5)

Web方式

• 内网口(GE0/0/1,连交换机)

◦ 网络 → 接口 → 编辑GE0/0/1

◦ 模式:路由;安全区域:Trust

◦ IP:192.168.1.1/24(内网网关)

◦ 访问管理:启用HTTPS/SSH/Ping

• 外网口(GE0/0/7,连光猫/路由器)

◦ 模式:路由;安全区域:Untrust

◦ IP:静态(如 220.1.1.2/30)/DHCP/PPPoE(按需)

◦ 访问管理:仅启用Ping(谨慎开放管理)

CLI方式

# 内网口Trust

interface GigabitEthernet 0/0/1

 ip address 192.168.1.1 255.255.255.0

 service-manage https permit

 service-manage ssh permit

 service-manage ping permit

 quit

firewall zone trust

 add interface GigabitEthernet 0/0/1

 quit

# 外网口Untrust

interface GigabitEthernet 0/0/7

 ip address 220.1.1.2 255.255.255.252

 service-manage ping permit

 quit

firewall zone untrust

 add interface GigabitEthernet 0/0/7

 quit

2. 配置默认路由(上网必备)

Web方式

• 网络 → 路由 → 静态路由 → 新建

• 目的地址/掩码:0.0.0.0/0

• 下一跳:外网网关(如 220.1.1.1)

CLI方式

ip route-static 0.0.0.0 0.0.0.0 220.1.1.1

3. 安全策略(默认拒绝所有,必须放行)

Web方式

• 策略 → 安全策略 → 新建

• 名称:Trust_to_Untrust

• 源区域:Trust;目的区域:Untrust

• 动作:允许;服务:any(或仅HTTP/HTTPS/DNS)

• 启用并保存

CLI方式

security-policy

 rule name Trust_to_Untrust

  source-zone trust

  destination-zone untrust

  action permit

  quit

quit

4. NAT配置(内网共享上网)

Web方式

• 策略 → NAT → 源NAT → 新建

• 名称:SNAT_Trust

• 源区域:Trust;目的区域:Untrust

• 源地址:192.168.1.0/24

• 转换方式:Easy-IP(复用外网口IP)

• 启用并保存

CLI方式

nat-policy

 rule name SNAT_Trust

  source-zone trust

  destination-zone untrust

  source-address 192.168.1.0 24

  action nat easy-ip

  quit

quit

三、进阶常用配置

1. 端口映射(外网访问内网服务器)

CLI示例(外网80→内网192.168.1.10:80)

nat server protocol tcp global 220.1.1.2 80 inside 192.168.1.10 80

# 放行安全策略

security-policy

 rule name Untrust_to_DMZ_Web

  source-zone untrust

  destination-zone trust

  destination-address 192.168.1.10 32

  service http

  action permit

  quit

quit

2. 管理员账号(CLI)

aaa

 local-user admin password cipher Admin@123456

 local-user admin service-type http https ssh

 local-user admin privilege level 15

 quit

3. 保存配置(必做!)

save

# 确认:Y

四、验证与排错

1. 内网PC网关设为 192.168.1.1,测试Ping外网/上网

2. 查看接口状态:display interface brief

3. 查看安全策略:display security-policy rule all

4. 查看NAT:display nat server / display nat policy

5. 查看路由:display ip routing-table

AD:【资源若失效或者不可用,请留言评论或加老夜微信 al_tmen】>>点此前往<<
本站文章均为手工撰写未经允许谢绝转载:夜雨聆风 » 华为防火墙设置详细步骤说明
xiaoqiang, wang

wang

猜你喜欢

评论 抢沙发

取消

9 + 1 =
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
×
订阅图标按钮