华为防火墙USG6000V区域配置实战:从零掌握Trust、DMZ、Untrust与Local

第一次打开eNSP模拟器,面对华为防火墙密密麻麻的接口和区域配置选项时,大多数新手都会感到无从下手。安全区域作为防火墙最基础也最重要的概念,直接决定了数据流的走向和访问权限。本文将用一次完整的实验带您彻底理解四个关键区域——Trust(信任区)、DMZ(非军事区)、Untrust(非信任区)和Local(本地区)的实际意义与配置方法。

1. 安全区域概念的生活化解读

防火墙的区域划分就像我们生活中的住宅空间布局,每个区域都有其特定的安全等级和访问规则:

  • Trust区域 :相当于家里的卧室,是最私密、最安全的空间。通常放置内部服务器和办公终端,默认允许出站流量但严格限制入站访问。在实验中,我们会将连接内网PC的接口划归此区域。

  • DMZ区域 :好比家里的客厅,用来接待访客。这里放置需要对外提供服务的设备(如Web服务器、邮件服务器),允许外部特定访问但隔离内网。实验中的R1路由器就位于此区域。

  • Untrust区域 :如同住宅外部的公共区域,默认不可信任。互联网接口通常属于此区域,任何来自Untrust的访问都需要显式放行。实验中的R2路由器模拟外部网络。

  • Local区域 :这是防火墙自身的"大脑",包含管理接口和系统服务。需要特别注意, 即使接口未加入任何区域,访问防火墙本身的流量都受Local区域规则控制

关键区别:接口加入区域控制的是"穿过防火墙"的流量,而Local区域管理的是"到达防火墙"的流量。这是初学者最容易混淆的概念。

2. eNSP实验环境搭建

在开始配置前,需要准备以下实验环境:

设备清单:
1台PC(模拟内网主机)
2台路由器(AR2220):
  - R1 模拟DMZ区服务器
  - R2 模拟外部网络
1台防火墙(USG6000V)

拓扑连接关系

  • PC ↔ 防火墙G1/0/0(Trust区域)
  • R1 ↔ 防火墙G1/0/2(DMZ区域)
  • R2 ↔ 防火墙G1/0/1(Untrust区域)

各设备基础IP配置如下表:

设备 接口 IP地址 所属区域
PC Ethernet0 192.168.1.1/24 Trust
FW G1/0/0 192.168.1.254/24 Trust
FW G1/0/1 10.0.0.1/24 Untrust
FW G1/0/2 172.16.0.254/24 DMZ
R1 G0/0/0 172.16.0.1/24 DMZ
R2 G0/0/0 10.0.0.2/24 Untrust

3. 防火墙基础配置实战

3.1 接口区域划分

登录防火墙后(默认账号admin/Admin@123),首先需要将物理接口划归到对应安全区域:

<FW> system-view
[FW] firewall zone trust
[FW-zone-trust] add interface GigabitEthernet 1/0/0
[FW-zone-trust] quit

[FW] firewall zone untrust 
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit

[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 1/0/2
[FW-zone-dmz] quit

常见问题排查

  • 如果接口状态显示 down ,检查物理连线是否正常
  • 使用 display firewall zone 命令验证接口归属
  • Local区域无需手动添加接口,但需要特别注意其安全策略

3.2 安全策略配置

实现四个区域互通需要配置两条策略:一条允许ICMP协议(用于ping测试),另一条允许OSPF协议(用于路由学习):

# 允许所有区域间的ICMP通信(实验环境专用,生产环境需细化)
[FW] security-policy
[FW-policy-security] rule name permit_ping
[FW-policy-security-rule-permit_ping] source-zone trust dmz untrust local
[FW-policy-security-rule-permit_ping] destination-zone trust dmz untrust local  
[FW-policy-security-rule-permit_ping] service icmp
[FW-policy-security-rule-permit_ping] action permit

# 允许OSPF协议通信
[FW-policy-security] rule name permit_ospf
[FW-policy-security-rule-permit_ospf] source-zone local dmz untrust
[FW-policy-security-rule-permit_ospf] destination-zone dmz local untrust
[FW-policy-security-rule-permit_ospf] service ospf
[FW-policy-security-rule-permit_ospf] action permit

生产环境警告:上述配置放行了所有区域间的ICMP通信,实际部署时应根据最小权限原则细化源/目的地址和服务类型。

4. 动态路由与连通性测试

4.1 OSPF基础配置

在三台设备上启用OSPF协议,确保路由可达:

# 在R1上的配置
[R1] ospf 1 router-id 1.1.1.1
[R1-ospf-1] area 0
[R1-ospf-1-area-0.0.0.0] network 172.16.0.1 0.0.0.0

# 在R2上的配置
[R2] ospf 1 router-id 2.2.2.2
[R2-ospf-1] area 0
[R2-ospf-1-area-0.0.0.0] network 10.0.0.2 0.0.0.0

# 在防火墙上的配置
[FW] ospf 1 router-id 3.3.3.3
[FW-ospf-1] area 0
[FW-ospf-1-area-0.0.0.0] network 192.168.1.254 0.0.0.0
[FW-ospf-1-area-0.0.0.0] network 10.0.0.1 0.0.0.0
[FW-ospf-1-area-0.0.0.0] network 172.16.0.254 0.0.0.0

验证OSPF邻居关系:

[FW] display ospf peer brief
OSPF Process 1 with Router ID 3.3.3.3
Peer Statistic Information
----------------------------------------------------------------------------
Area Id        Interface            Neighbor id     State    
0.0.0.0       GigabitEthernet1/0/1 2.2.2.2         Full     
0.0.0.0       GigabitEthernet1/0/2 1.1.1.1         Full     
----------------------------------------------------------------------------

4.2 端到端连通性测试

完成所有配置后,从Trust区域的PC执行测试:

# 测试与DMZ区域R1的连通性
PC> ping 172.16.0.1
Ping 172.16.0.1: 32 data bytes, Press Ctrl_C to break
From 172.16.0.1: bytes=32 seq=1 ttl=254 time=16 ms

# 测试与Untrust区域R2的连通性
PC> ping 10.0.0.2
Ping 10.0.0.2: 32 data bytes, Press Ctrl_C to break
From 10.0.0.2: bytes=32 seq=1 ttl=254 time=31 ms

# 测试与防火墙自身的连通性
PC> ping 192.168.1.254
Ping 192.168.1.254: 32 data bytes, Press Ctrl_C to break
From 192.168.1.254: bytes=32 seq=1 ttl=255 time=1 ms

5. 进阶配置与排错指南

5.1 服务管理配置

默认情况下,防火墙的接口不允许被直接访问。如果需要从特定区域管理防火墙,需配置service-manage:

# 允许从Trust区域ping防火墙
[FW] interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0] service-manage ping permit
[FW-GigabitEthernet1/0/0] quit

# 允许从Trust区域SSH访问防火墙(需先配置SSH服务)
[FW] interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0] service-manage ssh permit

5.2 常见故障排查

当出现连通性问题时,建议按以下顺序排查:

  1. 检查物理连接

    [FW] display interface brief
    

    确认所有接口物理状态为 up

  2. 验证区域划分

    [FW] display firewall zone
    

    确认各接口归属正确的安全区域

  3. 检查安全策略

    [FW] display security-policy rule
    

    确认存在允许通信的规则,特别注意规则顺序(防火墙从上到下匹配规则)

  4. 查看会话表

    [FW] display firewall session table
    

    成功的通信会建立会话条目,若无相应条目说明流量被丢弃

  5. 启用调试信息

    [FW] debugging firewall packet
    [FW] terminal monitor
    [FW] terminal debugging
    

    实时显示被丢弃的数据包详情(完成后务必关闭调试)

在实际工程中遇到区域间通信问题时,最常被忽略的是Local区域策略。曾经有个项目因为忘记配置到Local区域的HTTPS访问策略,导致网管系统无法登录,耗费三小时才定位到这个"新手错误"。

更多推荐