华为防火墙配置用户手册防火墙默认的管理接口为g0/0/0，默认的ip地址为192.168.0.1/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin@123一、配置案例1.1 拓扑图GE 0/0/1：10.10.10.1/24GE 0/0/2：220.10.10.16/24GE 0/0/3：10.10.11.1/24WWW服务器：10.10.11.2/24（DMZ区域）FTP服务器：10.10.11.3/24（DMZ区域）1.2 Telnet配置配置VTY 的优先级为3，基于密码验证。

# 进入系统视图。

<USG5300> system-view# 进入用户界面视图[USG5300] user-interface vty 0 4# 设置用户界面能够访问的命令级别为level 3[USG5300-ui-vty0-4] user privilege level 3配置Password验证# 配置验证方式为Password验证[USG5300-ui-vty0-4] authentication-mode password# 配置验证密码为lantian[USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123配置空闲断开连接时间# 设置超时为30分钟[USG5300-ui-vty0-4] idle-timeout 30[USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。

基于用户名和密码验证user-interface vty 0 4authentication-mode aaaaaalocal-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!local-user admin service-type telnetlocal-user admin level 3firewall packet-filter default permit interzone untrust local direction inbound如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。

1.3 地址配置内网：进入GigabitEthernet 0/0/1视图[USG5300] interface GigabitEthernet 0/0/1配置GigabitEthernet 0/0/1的IP地址[USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0配置GigabitEthernet 0/0/1加入Trust区域[USG5300] firewall zone trust[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1[USG5300-zone-untrust] quit外网：进入GigabitEthernet 0/0/2视图[USG5300] interface GigabitEthernet 0/0/2配置GigabitEthernet 0/0/2的IP地址[USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0配置GigabitEthernet 0/0/2加入Untrust区域[USG5300] firewall zone untrust[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2[USG5300-zone-untrust] quitDMZ：进入GigabitEthernet 0/0/3视图[USG5300] interface GigabitEthernet 0/0/3配置GigabitEthernet 0/0/3的IP地址。

[USG5300-GigabitEthernet0/0/3] ip address 10.10.11.1 255.255.255.0[USG5300] firewall zone dmz[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3[USG5300-zone-untrust] quit1.4 防火墙策略本地策略是指与Local安全区域有关的域间安全策略，用于控制外界与设备本身的互访。

域间安全策略就是指不同的区域之间的安全策略。

域内安全策略就是指同一个安全区域之间的策略，缺省情况下，同一安全区域内的数据流都允许通过，域内安全策略没有Inbound和Outbound方向的区分。

策略内按照policy的顺序进行匹配，如果policy 0匹配了，就不会检测policy 1了,和policy 的ID大小没有关系，谁在前就先匹配谁。

缺省情况下开放local域到其他任意安全区域的缺省包过滤，方便设备自身的对外访问。

其他接口都没有加安全区域，并且其他域间的缺省包过滤关闭。

要想设备转发流量必须将接口加入安全区域，并配置域间安全策略或开放缺省包过滤。

安全策略的匹配顺序：每条安全策略中包括匹配条件、控制动作和UTM等高级安全策略。

匹配条件安全策略可以指定多种匹配条件，报文必须同时满足所有条件才会匹配上策略。

比如如下策略policy 1policy service service-set dnspolicy destination 221.2.219.123 0policy source 192.168.10.1在这里policy service的端口53就是指的是221.2.219.123的53号端口，可以说是目的地址的53号端口。

域间可以应用多条安全策略，按照策略列表的顺序从上到下匹配。

只要匹配到一条策略就不再继续匹配剩下的策略。

如果安全策略不是以自动排序方式配置的，策略的优先级按照配置顺序进行排列，越先配置的策略，优先级越高，越先匹配报文。

但是也可以手工调整策略之间的优先级。

缺省情况下，安全策略就不是以自动排序方式。

如果安全策略是以自动排序方式配置的，策略的优先级按照策略ID的大小进行排列，策略ID越小，优先级越高，越先匹配报文。

此时，策略之间的优先级关系不可调整。

policy create-mode auto-sort enable命令用来开启安全策略自动排序功能，默认是关闭的。

如果没有匹配到安全策略，将按缺省包过滤的动作进行处理，所以在配置具体安全策略时要注意与缺省包过滤的关系。

例如安全策略中只允许某些报文通过但是没有关闭缺省包过滤，将造成那些没有匹配到安全策略的流量也会通过，就失去配置安全策略的意义了。

同样，如果安全策略中只配置了需要拒绝的流量，其他流量都是允许通过的，这时需要开放缺省包过滤才能实现需求，否则会造成所有流量都不能通过。

执行命令display this查看当前已有的安全策略，策略显示的顺序就是策略的匹配顺序，越前边的优先级越高执行命令policy move policy-id1 { before | after } policy-id2，调整策略优先级。

UTM策略安全策略中除了基本的包过滤功能，还可以引用IPS、A V、应用控制等UTM策略进行进一步的应用层检测。

但前提是匹配到控制动作为permit的流量才能进行UTM处理，如果匹配到deny直接丢弃报文。

安全策略的应用方向域间的Inbound和Outbound方向上都可以应用安全策略，需要根据会话的方向合理应用。

因为USG是基于会话的安全策略，只对同一会话的首包检测，后续包直接按照首包的动作进行处理。

所以对同一条会话来说只需要在首包的发起方向上，也就是访问发起的方向上应用安全策略。

如上图所示，Trust域的PC访问Untrust域的Server，只需要在Trust到Untrust的Outbound方向上应用安全策略允许PC访问Server即可，对于Server回应PC的应答报文会命中首包建立的会话而允许通过。

1.4.1 Trust和Untrust域间：允许内网用户访问公网策略一般都是优先级高的在前，优先级低的在后。

policy 1：允许源地址为10.10.10.0/24的网段的报文通过配置Trust和Untrust域间出方向的防火墙策略。

//如果不加policy source就是指any，如果不加policy destination目的地址就是指any。

[USG5300] policy interzone trust untrust outbound[USG5300-policy-interzone-trust-untrust-outbound] policy 1[USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255 [USG5300-policy-interzone-trust-untrust-outbound-1] action permit[USG5300-policy-interzone-trust-untrust-outbound-1] quit如果是允许所有的内网地址上公网可以用以下命令：[USG2100]firewall packet-filter default permit interzone trust untrust direction outbound //必须添加这条命令，或者firewall packet-filter default permit all，但是这样不安全。

否则内网不能访问公网。

注意：由优先级高访问优先级低的区域用outbound，比如policy interzone trust untrust outbound。

这时候policy source ip地址，就是指的优先级高的地址，即trust地址，destination地址就是指的untrust地址。

只要是outbound，即使配置成policy interzone untrust trust outbound也会变成policy interzone trust untrust outbound。