当前位置: 首页 > news >正文

华为 eNSP 防火墙实战:防火墙安全策略

一、项目背景与需求分析

在企业网络架构中,防火墙是保障内网安全、实现精细化访问控制的核心设备。本次项目以 CY 公司网络场景为原型,基于华为 USG6000V 防火墙搭建环境,通过配置安全区域与访问控制策略,实现不同部门用户对 DMZ 区服务器的权限隔离,满足企业 “按需授权、最小权限” 的安全管理原则。

1.1 网络拓扑与地址规划

本次实验拓扑包含三个核心区域:研发部(Trust 区域)、售前部门(Untrust 区域)、DMZ 服务器区,地址规划如下:

区域接口网关地址网段说明
TrustGE1/0/0192.1.1.254/24192.1.1.0/24研发部内网,包含管理员 A、员工 B、临时客户 C
UntrustGE1/0/1192.1.2.254/24192.1.2.0/24售前部门外网,包含员工 D、E
DMZGE1/0/2192.1.3.254/24192.1.3.0/24服务器区,部署 FTP(192.1.3.1)与 HTTP(192.1.3.2)服务器

1.2 业务需求拆解

根据企业安全策略,需实现以下 5 类访问控制需求:

  1. 管理员 A(192.1.1.1):可对 FTP、HTTP 服务器进行完全访问(支持 Ping、数据上传下载)。
  2. 研发员工 B(192.1.1.2):可访问 FTP、HTTP 服务器,但禁止 Ping 操作,仅开放业务端口。
  3. 临时客户 C(192.1.1.3):禁止访问 DMZ 区所有服务器,默认拒绝所有访问请求。
  4. 售前员工 D/E(192.1.2.1/2):仅可访问 HTTP 服务器,禁止访问 FTP 服务器,同时限制 Ping 操作。

二、前期准备:设备基础配置

2.1 终端与服务器 IP 配置

首先完成所有 PC 与服务器的网络参数配置,确保各终端网关指向防火墙对应接口:

  • 管理员 A:IP192.1.1.1/24,网关192.1.1.254
  • 员工 B:IP192.1.1.2/24,网关192.1.1.254
  • 客户 C:IP192.1.1.3/24,网关192.1.1.254
  • 售前员工 D:IP192.1.2.1/24,网关192.1.2.254
  • 售前员工 E:IP192.1.2.2/24,网关192.1.2.254
  • FTP 服务器:IP192.1.3.1/24,网关192.1.3.254
  • HTTP 服务器:IP192.1.3.2/24,网关192.1.3.254

2.2 防火墙接口与安全区域配置

(1)接口 IP 配置
# 进入接口配置模式,配置各区域网关IP [USG6000V]interface GigabitEthernet1/0/0 [USG6000V-GigabitEthernet1/0/0]undo shutdown [USG6000V-GigabitEthernet1/0/0]ip address 192.1.1.254 255.255.255.0 [USG6000V]interface GigabitEthernet1/0/1 [USG6000V-GigabitEthernet1/0/1]undo shutdown [USG6000V-GigabitEthernet1/0/1]ip address 192.1.2.254 255.255.255.0 [USG6000V]interface GigabitEthernet1/0/2 [USG6000V-GigabitEthernet1/0/2]undo shutdown [USG6000V-GigabitEthernet1/0/2]ip address 192.1.3.254 255.255.255.0
(2)安全区域划分

华为防火墙通过安全区域(Zone)实现接口的逻辑隔离,默认包含 Trust、Untrust、DMZ 三个区域,需将接口加入对应区域:

# 配置Trust区域(研发内网) [USG6000V]firewall zone trust [USG6000V-zone-trust]set priority 85 # 优先级越高,区域越可信 [USG6000V-zone-trust]add interface GigabitEthernet1/0/0 # 配置Untrust区域(售前外网) [USG6000V]firewall zone untrust [USG6000V-zone-untrust]set priority 5 [USG6000V-zone-untrust]add interface GigabitEthernet1/0/1 # 配置DMZ区域(服务器区) [USG6000V]firewall zone dmz [USG6000V-zone-dmz]set priority 50 [USG6000V-zone-dmz]add interface GigabitEthernet1/0/2

三、核心配置:访问控制策略

3.1 管理员 A 的完全访问策略

允许管理员 A 从 Trust 区域访问 DMZ 区所有服务,包括 ICMP(Ping)、FTP、HTTP:

# 创建安全策略,允许管理员A的所有访问 [USG6000V]security-policy [USG6000V-policy-security]rule name truA->dmz [USG6000V-policy-security-rule-truA->dmz]source-zone trust [USG6000V-policy-security-rule-truA->dmz]destination-zone dmz [USG6000V-policy-security-rule-truA->dmz]source-address 192.1.1.1 255.255.255.255 [USG6000V-policy-security-rule-truA->dmz]action permit

3.2 研发员工 B 的受限访问策略

员工 B 仅可访问 HTTP 与 FTP 服务,禁止 Ping 操作,因此需分别配置业务端口策略:

(1)HTTP 访问策略(仅开放 TCP 80 端口)
[USG6000V-policy-security]rule name truB->HTTP [USG6000V-policy-security-rule-truB->HTTP]source-zone trust [USG6000V-policy-security-rule-truB->HTTP]destination-zone dmz [USG6000V-policy-security-rule-truB->HTTP]source-address 192.1.1.2 255.255.255.255 [USG6000V-policy-security-rule-truB->HTTP]destination-address 192.1.3.2 255.255.255.255 [USG6000V-policy-security-rule-truB->HTTP]service protocol tcp destination-port 80 [USG6000V-policy-security-rule-truB->HTTP]action permit
(2)FTP 访问策略(开放控制通道与数据通道)

配置两条规则,分别开放控制端口 21 与被动模式数据端口范围:

运行

# 开放FTP控制通道(TCP 21) [USG6000V-policy-security]rule name truB->FTP1 [USG6000V-policy-security-rule-truB->FTP1]source-zone trust [USG6000V-policy-security-rule-truB->FTP1]destination-zone dmz [USG6000V-policy-security-rule-truB->FTP1]source-address 192.1.1.2 255.255.255.255 [USG6000V-policy-security-rule-truB->FTP1]destination-address 192.1.3.1 255.255.255.255 [USG6000V-policy-security-rule-truB->FTP1]service protocol tcp destination-port 21 [USG6000V-policy-security-rule-truB->FTP1]action permit # 开放FTP被动模式数据通道(TCP 1025-65535) [USG6000V-policy-security]rule name truB->FTP2 [USG6000V-policy-security-rule-truB->FTP2]source-zone trust [USG6000V-policy-security-rule-truB->FTP2]destination-zone dmz [USG6000V-policy-security-rule-truB->FTP2]source-address 192.1.1.2 255.255.255.255 [USG6000V-policy-security-rule-truB->FTP2]destination-address 192.1.3.1 255.255.255.255 [USG6000V-policy-security-rule-truB->FTP2]service protocol tcp destination-port 1025 to 65535 [USG6000V-policy-security-rule-truB->FTP2]action permit

开启 ASPF 功能,自动放行 FTP 数据通道:

# 配置控制通道策略 [USG6000V-policy-security]rule name truB->FTP1 [USG6000V-policy-security-rule-truB->FTP]source-zone trust [USG6000V-policy-security-rule-truB->FTP]destination-zone dmz [USG6000V-policy-security-rule-truB->FTP]source-address 192.1.1.2 255.255.255.255 [USG6000V-policy-security-rule-truB->FTP]destination-address 192.1.3.1 255.255.255.255 [USG6000V-policy-security-rule-truB->FTP]service protocol tcp destination-port 21 [USG6000V-policy-security-rule-truB->FTP]action permit # 开启Trust到DMZ的ASPF检测 [USG6000V]firewall interzone trust dmz [USG6000V-interzone-trust-dmz]detect ftp

3.3 临时客户 C 的拒绝策略

客户 C 的访问默认被防火墙隐式拒绝,无需额外配置策略,所有访问请求将被直接丢弃。

3.4 售前员工 D/E 的 HTTP 访问策略

允许 Untrust 区域的员工 D/E 仅访问 HTTP 服务器(TCP 80 端口),禁止其他所有访问:

[USG6000V-policy-security]rule name untr->HTTP [USG6000V-policy-security-rule-untr->HTTP]source-zone untrust [USG6000V-policy-security-rule-untr->HTTP]destination-zone dmz [USG6000V-policy-security-rule-untr->HTTP]destination-address 192.1.3.2 255.255.255.255 [USG6000V-policy-security-rule-untr->HTTP]service protocol tcp destination-port 80 [USG6000V-policy-security-rule-untr->HTTP]action permit

四、结果验证与效果分析

4.1 访问验证

  • HTTP 访问:管理员 A 通过浏览器访问http://192.1.3.2,可正常加载页面;
  • FTP 访问:使用 员工A连接192.1.3.1,可成功登录并上传 / 下载文件;
  • Ping 测试:客户C不能ping 192.1.3.1ping 192.1.3.2,限制权限生效。

4.2 研发员工 B 访问验证

  • HTTP 访问:可正常访问http://192.1.3.2
  • FTP 访问:可通过客户端连接192.1.3.1并操作文件;
  • Ping 测试ping 192.1.3.1ping 192.1.3.2均失败,限制 ICMP 的策略生效。

4.3 临时客户 C 访问验证

  • 无法访问 HTTP 与 FTP 服务器,浏览器提示 “无法连接”,FTP 客户端连接超时;
  • Ping 测试无响应,默认拒绝策略生效。

4.4 售前员工 D/E 访问验证

  • HTTP 访问:可以访问http://192.1.3.2
  • FTP 访问:客户端连接192.1.3.1超时,被拒绝;
  • Ping 测试ping 192.1.3.1ping 192.1.3.2均失败,限制策略生效。


五、项目总结与扩展思考

5.1 核心知识点回顾

  1. 安全区域设计:通过 Trust/Untrust/DMZ 的三层架构,实现内网、外网、服务器区的逻辑隔离,优先级决定区域信任等级;
  2. ASPF 技术:解决 FTP 等多通道协议的动态端口放行问题,简化安全策略配置;
  3. 精细化策略:基于源 IP、目的 IP、服务端口的五元组策略,实现 “按需授权、最小权限” 的访问控制。

5.2 企业场景扩展

在真实企业网络中,可进一步优化以下配置:

  • 配置 NAT 策略,实现内网用户访问外网时的地址转换;
  • 开启日志审计,记录所有访问 DMZ 服务器的行为;
  • 结合用户认证(如 AD 域、LDAP),实现基于用户的动态访问控制;
  • 配置黑名单 / 白名单,临时限制异常 IP 的访问。

通过本次实战,完整掌握了华为 USG6000V 防火墙的安全区域划分、协议检测与精细化访问控制策略配置流程,为企业网络安全部署提供了可落地的实践方案。

注:本实验基于华为 eNSP 仿真环境完成,配置命令适用于 USG6000V 系列防火墙,真实设备配置需根据版本差异调整。

http://www.cnnetsun.cn/news/2078876.html

相关文章:

  • 【开源推荐】form-validator-cn 轻量级中文表单校验库 | TS 零依赖、极简开箱即用
  • 2026 网络安全新手避坑全指南:从零入门到实战落地,彻底告别自学弯路
  • Python数据类型转换实现方法
  • 嵌入式系统最后防线:在无MMU的MCU上实现C语言内存安全的3种硬件协同方案(ARMv8-M TrustZone实测)
  • 从CAN总线到以太网:手把手拆解汽车‘五大域’控制器之间的‘聊天’协议
  • Skill生成能力测试
  • 算法训练营第十四天 | 18. 四数之和
  • 实时数字人领域迎来新突破,Soul App发布轻量化模型SoulX-FlashHead
  • IOU Tracker实战:在低算力边缘设备(如Jetson Nano)上部署车辆跟踪
  • AI拓客系统选型指南:从“生存刚需”到“增长引擎”,GEO技术成破局关键
  • SQL如何处理多级分类统计报表_窗口函数层级汇总技巧
  • 从LIDC-IDRI到可训练数据:Python实战放射组学肺结节良恶性分类的数据预处理全解
  • P2639 [USACO09OCT] Bessie‘s Weight Problem G
  • 聊聊土木工程转行都去干啥了!_土木转行
  • AI长期记忆系统架构解析:从向量检索到多模态一致性
  • Pearcleaner:macOS深度清理的工程化解决方案
  • 人工智能|大白话YOLOv2
  • 保姆级教程:用Node.js复现抖音直播WSS链接的signature生成(附完整可运行代码)
  • 新药研发避坑指南:如何用ADMET预测工具(如ADMETlab 2.0)提前筛掉“问题分子”?
  • Taste-Skill:为AI编码助手注入设计品味,提升前端代码审美与工程实践
  • 别再只盯着DSI/CSI了!聊聊MIPI DPI:那个让无缓存屏幕动起来的‘老派’接口
  • Mistral与NVIDIA新语言模型技术解析与部署实践
  • SQL触发器如何获取触发源应用名_利用APP_NAME函数追踪
  • 晶科科技:国产芯模“协同破局、祛魅前行”,AIDC迎重大机遇
  • 为什么92%的车载软件团队弃用Eclipse改用VSCode?——基于ISO 26262 ASIL-B项目实测的4项性能跃升数据报告
  • 告别串口助手:用Python+PyQt5自制STM32 IAP升级上位机(支持Ymodem协议)
  • 【国家级等保2.0三级强制要求】:C项目上线前必须通过的5层内存安全静态验证关卡(含CI/CD自动化脚本模板)
  • 图像描述生成:Inject与Merge架构对比与实践
  • Keras实战:从零构建YOLOv8目标检测模型
  • Proma开源项目解析:Python驱动的程序化营销自动化工具库