华为防火墙USG6350作为企业级网络安全设备,其配置涉及多个维度,包括基础初始化、安全策略、网络地址转换(NAT)、VPN接入以及高可用性等,本文将结合华为USG6331等同类设备的通用配置逻辑,详细说明关键配置步骤与注意事项,帮助用户快速掌握设备部署方法。
设备初始化与基础配置
设备首次启动时,需通过Console口进行初始配置,包括管理IP地址、登录账号及系统时间等。
1 通过Console口登录
使用专用Console线连接设备的Console口(通常为蓝色RJ45接口),终端软件(如SecureCRT、PuTTY)参数设置为:波特率9600、数据位8、停止位1、无校验、无流控,登录后默认进入用户视图,输入system-view进入系统视图。
2 配置管理IP地址
interface Vlanif1 //进入默认管理接口
ip address 192.168.1.1 255.255.255.0 //配置管理IP
quit 3 配置登录用户与权限
aaa
local-user admin password cipher Admin@123 //创建用户并设置密码
local-user admin privilege level 15 //赋予最高权限
local-user admin service-type telnet ssh //启用SSH和Telnet服务
quit 4 配置时区与NTP服务器
clock timezone GMT add 08:00 //设置时区为GMT+8
ntp-server 192.168.1.100 //配置NTP服务器同步时间
quit 安全区域与策略配置
华为防火墙通过“安全区域(Zone)”划分网络边界,并通过“安全策略”控制区域间流量。
1 创建安全区域
security-zone name trust //创建受信任区域
add interface GigabitEthernet 0/0/1 //添加内网接口
quit
security-zone name untrust //创建不受信任区域
add interface GigabitEthernet 0/0/2 //添加外网接口
quit
security-zone name dmz //创建隔离区域
add interface GigabitEthernet 0/0/3 //添加DMZ区域接口 2 配置安全策略
示例:允许内网用户访问外网HTTP/HTTPS服务
security-policy
name policy-out
source-zone trust //源安全区域
destination-zone untrust //目的安全区域
source-address 192.168.1.0 24 //源地址范围
destination-address any //目的地址任意
service http https //应用服务
action permit //动作允许
schedule 24h //时间策略为全天
quit 3 配置防病毒与入侵防御
在安全策略中启用IPS(入侵防御系统)和AV(防病毒)功能:
profile name security-profile
ips-policy strict //设置IPS为严格模式
av-policy on //开启防病毒检测
quit
security-policy
...
profile security-profile //应用安全策略模板 NAT地址转换配置
NAT用于隐藏内网地址,实现多用户共享公网IP。
1 配置NAT地址池
nat address-group 1
mode pat //使用PAT(端口地址转换)模式
section 0 203.0.113.1 203.0.113.10 //公网IP范围
quit 2 配置源NAT策略
nat-policy
name source-nat
source-zone trust
destination-zone untrust
source-address 192.168.1.0 24
action source-nat address-group 1 //使用地址池1
quit 3 配置目的NAT(DNAT)
示例:将公网端口映射至内网服务器
nat-policy
name destination-nat
source-zone any
destination-zone untrust
destination-address 203.0.113.5 32 //公网IP
service tcp 80 //映射80端口
action destination-nat static 192.168.1.100 80 //内网服务器IP及端口
quit VPN配置
华为防火墙支持IPSec VPN和SSL VPN,此处以IPSec VPN为例说明站点间VPN配置。
1 配置IKE Proposal
ike proposal 10
encryption-algorithm aes-256 //加密算法
authentication-algorithm sha2-256 //认证算法
dh group14 //DH组
quit 2 配置IKE Peer
ike peer branch1
pre-shared-key cipher VPNkey123! //预共享密钥
remote-address 203.0.113.20 //对端公网IP
quit 3 配置IPSec Proposal与策略
ipsec proposal ipsec-proposal
esp encryption-algorithm aes-256
esp authentication-algorithm sha2-256
quit
ipsec policy vpn-policy 10 isakmp
security acl 3000 //应用ACL定义的流量
ike-peer branch1
proposal ipsec-proposal
quit 4 应用VPN策略至接口
interface GigabitEthernet 0/0/2
ipsec policy vpn-policy //应用IPSec策略
quit
acl number 3000
rule 5 permit ip source 192.168.1.0 24 destination 10.1.0.0 24
quit 高可用性配置
为保障业务连续性,可配置VRRP(虚拟路由冗余协议)实现双机热备。
1 配置VRRP备份组
interface Vlanif1
vrrp vrid 1 virtual-ip 192.168.1.254 //虚拟IP
vrrp vrid 1 priority 120 //主设备优先级
vrrp vrid 1 preempt-mode timer delay 10 //抢占延迟
quit 2 配置会话同步
hrp enable //启用HRP(高可靠性协议)
hrp mirror session all //同步会话表
hrp track interface GigabitEthernet 0/0/2 //跟踪外网接口 配置验证与维护
1 常用验证命令
- 查看接口状态:
display ip interface brief - 查看安全策略:
display security-policy - 查看NAT会话:
display session table - 查看VPN状态:
display ike sa/display ipsec sa
2 日志与监控
配置Syslog服务器集中记录日志:
info-center loghost 192.168.1.100 //Syslog服务器IP
info-center source default channel log //启用日志输出 相关问答FAQs
Q1:华为USG6331防火墙无法通过Web界面登录,如何排查?
A:首先检查管理IP是否配置正确,并确认防火墙与客户端在同一网段;其次检查安全策略是否允许客户端IP访问Web服务(默认端口443);最后验证浏览器是否使用HTTPS协议,并尝试清除缓存或更换浏览器,若仍无法登录,可通过Console口检查https server enable命令是否已启用。
Q2:配置NAT后,内网用户无法访问外网,可能的原因有哪些?
A:常见原因包括:①安全策略未放行内网到外网的流量;②NAT地址池IP地址不足或已被占用;③源NAT策略未正确匹配流量(可使用display nat session table检查会话);④运营商线路问题或防火墙路由表缺失默认路由(可执行display ip routing-table确认),需逐一排查上述配置与网络连通性。
来源互联网整合,作者:小编,如若转载,请注明出处:https://www.aiboce.com/ask/324183.html
