如何配置防火墙

防火墙是一种网络安全设备，通常位于网络边界，用于隔离不同安全级别的网络，保护一个网络免受来自另一个网络的攻击和入侵。这种“隔离”不是一刀切，是有控制地隔离，允许合法流量通过防火墙，禁止非法流量通过防火墙。

如图1-1所示，防火墙位于企业Internet出口保护内网安全。在防火墙上可以指定规则，允许内网10.1.1.0/24网段的PC访问Internet，禁止Internet用户访问IP地址为192.168.1.2的内网主机。

图1-1 防火墙控制流量转发

由上文可见，防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络，通过路由协议保证互联互通，确保将报文转发到目的地；交换机通常用来组建局域网，作为局域网通信的重要枢纽，通过二层/三层交换快速转发报文；而防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙的本质是控制。

防火墙控制网络流量的实现主要依托于安全区域和安全策略，下文详细介绍。

前文提到防火墙用于隔离不同安全级别的网络，那么防火墙如何识别不同网络呢？答案就是安全区域（Security Zone）。通过将防火墙各接口划分到不同的安全区域，从而将接口连接的网络划分为不同的安全级别。防火墙上的接口必须加入安全区域（部分机型的独立管理口除外）才能处理流量。

安全区域的设计理念可以减少网络攻击面，一旦划分安全区域，流量就无法在安全区域之间流动，除非管理员指定了合法的访问规则。如果网络被入侵，攻击者也只能访问同一个安全区域内的资源，这就把损失控制在一个比较小的范围内。因此建议通过安全区域为网络精细化分区。

接口加入安全区域代表接口所连接的网络加入安全区域，而不是指接口本身。接口、网络和安全区域的关系如图1-2所示。

图1-2 接口、网络和安全区域

防火墙的安全区域按照安全级别的不同从1到100划分安全级别，数字越大表示安全级别越高。防火墙缺省存在trust、dmz、untrust和local四个安全区域，管理员还可以自定义安全区域实现更细粒度的控制。例如，一个企业按图1-3划分防火墙的安全区域，内网接口加入trust安全区域，外网接口加入untrust安全区域，服务器区接口加入dmz安全区域，另外为访客区自定义名称为guest的安全区域。

一个接口只能加入到一个安全区域，一个安全区域下可以加入多个接口。

图1-3 划分安全区域

上图中有一个特殊的安全区域local，安全级别最高为100。local代表防火墙本身，local区域中不能添加任何接口，但防火墙上所有接口本身都隐含属于local区域。凡是由防火墙主动发出的报文均可认为是从local安全区域发出，凡是接收方是防火墙的报文（非转发报文）均可认为是由local安全区域接收。

另外除了物理接口，防火墙还支持逻辑接口，如子接口、VLANIF、Tunnel接口等，这些逻辑接口在使用时也需要加入安全区域。

前文提到防火墙通过规则控制流量，这个规则在防火墙上被称为“安全策略”。安全策略是防火墙产品的一个基本概念和核心功能，防火墙通过安全策略来提供安全管控能力。

如图1-4所示，安全策略由匹配条件、动作和内容安全配置文件组成，针对允许通过的流量可以进一步做反病毒、入侵防御等内容安全检测。

图1-4 安全策略的组成及Web界面

所有匹配条件在一条安全策略中都是可选配置；但是一旦配置了，就必须全部符合才认为匹配，即这些匹配条件之间是“与”的关系。一个匹配条件中如果配置了多个值，多个值之间是“或”的关系，只要流量匹配了其中任意一个值，就认为匹配了这个条件。

一条安全策略中的匹配条件越具体，其所描述的流量越精确。你可以只使用五元组（源/目的IP地址、端口、协议）作为匹配条件，也可以利用防火墙的应用识别、用户识别能力，更精确、更方便地配置安全策略。

穿墙安全策略与本地安全策略

穿过防火墙的流量、防火墙发出的流量、防火墙接收的流量均受安全策略控制。如图1-5所示，内网PC既需要Telnet登录防火墙管理设备，又要通过防火墙访问Internet。此时需要为这两种流量分别配置安全策略。

图1-5 穿墙安全策略与本地安全策略

尤其讲下本地安全策略，也就是与local域相关相关的安全策略。以上例子中，位于trust域的PC登录防火墙，配置trust访问local的安全策略；反之如果防火墙主动访问其他安全区域的对象，例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等，需要配置local到其他安全区域的安全策略。记住一点防火墙本身是local安全区域，接口加入的安全区域代表接口连接的网络属于此安全区域，这样就可以分清防火墙本身和外界网络的域间关系了。

缺省安全策略与安全策略列表

防火墙存在一条缺省安全策略default，默认禁止所有的域间流量。缺省策略永远位于策略列表的最底端，且不可删除。

用户创建的安全策略，按照创建顺序从上往下排列，新创建的安全策略默认位于策略列表底部，缺省策略之前。防火墙接收到流量之后，按照安全策略列表从上向下依次匹配。一旦某一条安全策略匹配成功，则停止匹配，并按照该安全策略指定的动作处理流量。如果所有手工创建的安全策略都未匹配，则按照缺省策略处理。

由此可见，安全策略列表的顺序是影响策略是否按预期匹配的关键，新建安全策略后往往需要手动调整顺序。

企业的一台服务器地址为10.1.1.1，允许IP网段为10.2.1.0/24的办公区访问此服务器，配置了安全策略policy1。运行一段时间后，又要求禁止两台临时办公PC（10.2.1.1、10.2.1.2）访问服务器。

此时新配置的安全区策略policy2位于policy1的下方。因为policy1的地址范围覆盖了policy2的地址范围，policy2永远无法被匹配。

需要手动调整policy2到policy1的上方，调整后的安全策略如下：

因此，配置安全策略时，注意先精确后宽泛。如果新增安全策略，注意和已有安全策略的顺序，如果不符合预期需要调整。

更详细的安全策略介绍与配置请参见《华为防火墙 安全策略精要》。

防火墙设备出厂配置如下表。

如需恢复出厂配置，请在Web界面中选择“系统 > 配置文件管理”,单击“恢复出厂配置”。

按下图连接管理网口、内网口GE0/0/2和外网口GE0/0/3。图中管理PC与设备管理网口连接，用于登录Web界面。如果使用命令行配置，首次登录请使用Console配置线连接管理PC的串口与设备的Console口。

图1-6 防火墙线缆连接

防火墙缺省工作在三层，通常作为企业Internet出口网关，实现内外网通信的同时进行安全防护。此种模式设备通过路由协议转发各个网段之间的报文。因此，这种接入方式也被称为“路由模式”。

防火墙三层接入部署在内外网之间时，通常还需要负责内网的私网地址与外网的公网地址之间的转换，也就是NAT功能，因此这种接入方式又常被称为“NAT模式”。

图1-8 防火墙三层接入组网图

初始接入时，请使用Web界面提供的快速向导，根据企业的Internet接入方式将防火墙快速接入Internet。然后在此基础上进行高级配置。

• 静态IP：如果从网络服务商处获得固定的IP地址，请选择此接入方式。
• PPPoE：如果从网络服务商处获得用户名和密码进行拨号，请选择此接入方式。
• DHCP：如果从网络服务商自动获取IP地址，请选择此接入方式。

执行快速向导后，防火墙具备的基本配置如下：

• 上网接口：加入untrust区域，并通过管理员选择的接入方式获取到公网IP地址。
• 局域网接口：加入trust区域，私网IP地址配置完毕；如果管理员在向导中启用了局域网DHCP服务，则局域网接口开启DHCP服务器功能为局域网PC分配IP地址及DNS服务器地址。

  局域网接口为局域网PC分配的DNS服务器为防火墙局域网接口的IP地址，防火墙作为DNS代理接收PC的DNS请求，然后再将DNS请求发往DNS服务器。

• 源NAT：存在一条Easy IP方式的源NAT策略，出接口是上网接口的所有流量的源IP地址被转换为上网接口IP地址。
• 路由：存在一条缺省路由，出接口是上网接口，将流量转发至Internet。
• 安全策略：未配置，需要自行手工配置安全策略，允许局域网用户访问Internet。

完成上述配置后，内网PC、防火墙均可以访问Internet，可以按如下操作进行测试。

测试内网PC访问Internet

在内网PC浏览器中输入一个网址，测试是否可以打开网页。如果打开网页失败，尝试如下方法排障：

1. 选择“网络 > 接口”，在接口列表中检查防火墙内、外网接口的状态是否Up。如果外网接口Down，请确认防火墙的配置与网络服务商提供的参数是否一致。
2. 检查内网PC是否正常设置IP地址和DNS服务器；如果配置了防火墙为PC分配地址，则在cmd窗口执行ipconfig /all命令检查PC是否正常通过防火墙获取IP地址和DNS服务器，如果PC没有获取到地址请检查防火墙的DHCP服务配置。
3. 登录防火墙Web界面选择“监控 > 诊断中心”，单击“网页诊断”页签。输入内网PC的IP地址以及网页URL，单击“诊断”。根据诊断信息进行故障处理。

测试防火墙访问Internet

使用防火墙Web界面提供的升级中心（isecurity.huawei.com）连通性测试功能进行测试。

选择“系统 > 升级中心”，单击“测试升级中心链接”链接，弹出检测结果页面。如果连接失败，请按照提示信息进行修改。

现在防火墙已经接入网络，并具备基本安全功能。下一步您可以开始配置其他高级特性，以下列举一些常用特性，具体配置请查阅产品文档。

• 双机热备：部署两台防火墙进行备份，实现在一台防火墙故障时，另外一台防火墙能够迅速接替故障防火墙的工作，保证业务流量不中断。
• VPN：防火墙支持IPSec VPN、SSL VPN、L2TP、GRE等多种VPN，满足分支互联、移动办公需要。
• 智能选路：当企业通过多ISP接入Internet时，防火墙提供动态、静态智能选路功能，按照管理员配置的选路方式调整流量分配，最大化利用链路资源。
• 用户认证：主机动态获取IP地址、同一主机多人登录，基于IP地址的策略控制无法针对具体的人。防火墙提供用户认证功能，对认证通过的用户进行权限管控。
• 内容安全：基础安全策略只控制是否放行流量，防火墙提供内容安全功能，针对放行的流量深度检测应用层数据。内容安全功能包括入侵防御、反病毒、URL过滤、文件过滤、内容过滤、邮件过滤等。
• 加密流量检测：越来越多的应用流量采用加密传输，需要配置加密流量检测功能对SSL流量进行解密再执行内容安全检测。
• 带宽管理：企业购买的带宽有限，带宽管理功能提供带宽限制、关键业务带宽保证等功能，提高带宽利用率。

日志记录对监控网络安全性、监控业务运行状态、监控防火墙运行状态至关重要。管理员定期分析日志，调整防火墙配置，确保防火墙对网络的持续保护。

防火墙支持会话日志、流量日志、策略命中日志、威胁日志、系统日志等丰富的日志类型。表1-3列举常用日志类型，更多信息查阅产品文档。