项目5-任务1 防火墙安全策略的配置与调试

任务1防火墙安全策略的配置与调试

——项目5防火墙技术的配置与调试“网络设备安装与调试”系列教学视频设计：吴彬本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络设备安装与调试（eNSP）（AIGC版）》出版社：电子工业出版社主编：赵海伟，吴彬，蓝永健副主编：徐龙泉，王汉明出版日期：2026年4月ISBN：

978-7-121-51949-91任务描述PART任务描述：USG6000V上线1任务详细描述项目背景甲方公司新购入华为USG6000V防火墙，项目工程师小王负责首次配置与调试。防火墙作为内外网安全屏障，需划分Trust、DMZ、Untrust三大安全区域。配置需求配置要求包括：Trust区域计算机可相互访问并能与DMZ区域服务器互通，Untrust区域与其他区域完全隔离。实训意义通过本次实训，学员将掌握华为防火墙区域划分、接口配置、安全策略编写及连通性验证的完整流程，为复杂场景交付奠定基础。任务描述1网络拓扑图任务描述1IP地址规划表设备名称接口IP地址网关FWGE1/0/154/24-------GE1/0/254/24-------GE1/0/354/24-------GE1/0/454/24-------PC1-------/2454PC2-------/2454PC3-------/2454Server1-------/24542任务分析PART任务分析201任务目标完成端口IP配置并划分安全区域，编写安全策略实现Trust与DMZ双向通信，通过ping测试验证网络连通性。02验收标准提交配置文件截图、策略命中计数及测试结果，确保PC1可访问Server1与PC2，无法访问PC3，Untrust区域与其他区域零通信。3知识准备PART知识准备3防火墙的安全区域Local区域代表防火墙自身，用于设备管理与内部通信，是防火墙运行的基础区域。Trust区域用于定义内部网络，内部用户可在此区域自由通信，是企业核心业务网络所在。Untrust区域定义非内部网络或互联网，外部用户访问受限，确保企业网络边界安全。DMZ区域用于放置对外服务器，如Web服务器，允许外部访问特定服务，同时保护内部网络。只有当接口加入区域且配置放行策略后，跨区报文才被允许。区域一旦与接口绑定，就不能重复加入其他区域。确保拓扑清晰，理解各区域角色是后续策略设计的前提。知识准备-安全策略匹配流程3匹配流程报文进入防火墙后按顺序匹配安全策略列表，命中即执行permit或deny动作，无匹配则默认拒绝。比较常见的应用是Trust区域访问Untrust区域，这时需要一条由Trust区域访问Untrust区域的安全策略（包括源地址、目的地址等多个参数）。当Trust区域中的数据报文到达防火墙后会匹配安全策略，如果成功匹配安全策略，则Trust区域就可以访问Untrust区域；如果无法匹配安全策略，则Trust区域就不能访问Untrust区域。知识准备——将接口划分到相应区域中3匹配流程将防火墙FW的GE1/0/0接口划分到Untrust区域中，将防火墙FW的GE1/0/1接口划分到Trust区域中，将防火墙FW的GE1/0/2接口划分到DMZ区域中。在匹配对应规则的情况下，不同安全区域的数据报文就可以交换。如果不匹配规则，则数据报文将被丢弃。知识准备-配置防火墙安全策略3命令示例4任务实施PART查看实训任务书查看微课视频请查看教材配套的实训任务书，里面有详细的步骤和提示。请查看教材配套的微课视频，里面有企业专家和授课教师的实际操作介绍。子任务1防火墙初始化与端口IP地址配置任务实施4导入设备包

启动防火墙后，会弹出“导入设备包”对话框。

单击“浏览”按钮，会弹出如图所示的文件管理窗口，找到并选择解压缩后的华为USG6000V防火墙的设备软件包（文件名为vfw_usg），单击“打开”按钮导入该文件。导入成功后，右击防火墙图标，在弹出的快捷菜单中选择启动命令。任务实施--初始化防火墙管理密码4操作示例Username:adminPassword: //输入默认管理密码Admin@123ThepasswordneedstobechangeD．Changenow?[Y/N]:yPleaseenteroldpassword: //输入旧密码，第一次启动为默认管理密码Admin@123Pleaseenternewpassword: //输入新密码，该密码需包含大小写英文字母、数字、字符，如Admin@1234Pleaseconfirmnewpassword: //再次输入新密码，确认新密码<USG6000V1>任务实施-配置防火墙的管理接口4操作示例[USG6000V1]interfaceGigabitEthernet0/0/0[USG6000V1-GigabitEthernet0/0/0]service-manageenable //开启接口管理功能[USG6000V1-GigabitEthernet0/0/0]service-managehttppermit //允许HTTP访问[USG6000V1-GigabitEthernet0/0/0]service-managehttpspermit //允许HTTPS访问[USG6000V1-GigabitEthernet0/0/0]service-managepingpermit //允许接口被ping防火墙的GE0/0/0接口为管理接口，默认已经配置管理IP地址/24，因为是用于管理，所以通常不使用该接口连接终端设备，可以开启这个接口的Web管理和允许被ping。查看实训任务书查看微课视频请查看教材配套的实训任务书，里面有详细的步骤和提示。请查看教材配套的微课视频，里面有企业专家和授课教师的实际操作介绍。子任务2配置防火墙安全策略任务实施--配置防火墙的接口的IP地址4操作示例<USG6000V1>system-view[USG6000V1]sysnameFW[FW]interfaceGigabitEthernet1/0/1[FW-GigabitEthernet1/0/1]ipaddress5424[FW-GigabitEthernet1/0/1]quit[FW]interfaceGigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]ipaddress5424[FW-GigabitEthernet1/0/2]quit[FW]interfaceGigabitEthernet1/0/3[FW-GigabitEthernet1/0/3]ipaddress5424[FW-GigabitEthernet1/0/3]quit[FW]interfaceGigabitEthernet1/0/4[FW-GigabitEthernet1/0/4]ipaddress5424[FW-GigabitEthernet1/0/4]quit任务实施-将防火墙的各个接口划分到对应的区域中4操作实例[FW]firewallzonetrust //进入Trust区域[FW-zone-trust]addinterfaceGigabitEthernet1/0/1 //向该区域中添加接口[FW-zone-trust]addinterfaceGigabitEthernet1/0/2 //向该区域中添加接口[FW-zone-trust]quit[FW]firewallzoneuntrust //进入Untrust区域[FW-zone-untrust]addinterfaceGigabitEthernet1/0/3 //向该区域中添加接口[FW-zone-untrust]quit[FW]firewallzonedmz //进入DMZ区域[FW-zone-dmz]addinterfaceGigabitEthernet1/0/4[FW-zone-dmz]quit将防火墙FW的GE1/0/1接口和GE1/0/2接口划分到Trust区域中，将防火墙的GE1/0/3接口划分到Untrust区域中，将防火墙的GE1/0/4接口划分到DMZ区域中。任务实施--配置安全策略4操作示例[FW]security-policy //进入安全策略编辑模式[FW-policy-security]rulenametr_to_dmz //配置安全策略的名称[FW-policy-security-rule-tr_to_dmz]source-zonetrust //配置源区域为Trust区域[FW-policy-security-rule-tr_to_dmz]destination-zonedmz //配置目的区域为DMZ区域[FW-policy-security-rule-tr_to_dmz]serviceany //配置安全策略包含所有服务[FW-policy-security-rule-tr_to_dmz]actionpermit //配置允许符合安全策略内条件的数据通过[FW-policy-security-rule-tr_to_dmz]quit[FW-policy-security]rulenamedmz_to_tr//配置DMZ区域到Trust区域的反向安全策略并允许符合条件的数据通过[FW-policy-security-rule-dmz_to_tr]source-zonedmz[FW-policy-security-rule-dmz_to_tr]destination-zonetrust[FW-policy-security-rule-dmz_to_tr]serviceany[FW-policy-security-rule-dmz_to_tr]actionpermit[FW-policy-security-rule-dmz_to_tr]quit[FW-policy-security]quit允许Trust区域访问DMZ区域，允许DMZ区域访问Trust区域。5任务测试PART任务测试--各PC的连通性测试5操作示例PC>pingFrom:bytes=32seq=1ttl=254time<1msFrom:bytes=32seq=2ttl=254time<1msFrom:bytes=32seq=3ttl=254time<1msPC>pingFrom:bytes=32seq=2ttl=127time=16msFrom:bytes=32seq=3ttl=127time<1ms----省略部分输出----PC>pingPing:32databytes,PressCtrl_CtobreakRequesttimeout!Requesttimeout!----省略部分输出----PC1与Server1、PC2之间是连通的，PC1与PC3之间是不连通的。任务测试--查看安全策略命中情况5操作示例[FW]displaysecurity-policyallTotal:3RULEIDRULENAMESTATEACTIONHITTED-------------------------------------------------------------------------------0defaultenabledeny281tr_to_dmzenablepermit52dmz_to_trenablepermit0防火墙使用（HITTED）tr_to_dmz策略允许通过（permit）五次，使用default策略拒绝通过（deny）28次6任务拓展PART任务拓展6网络拓扑为了方便后期企业内部人员对防火墙自行进行维护，小王需要开启防火墙的Web管理，并在Web界面中继续编辑安全策略，使Trust区域可以访问Untrust区域，但Untrust区域不能访问Trust区域。任务拓展6操作流程（1）配置本地计算机网卡的IP地址，可以使用虚拟网卡。将其中一个虚拟网卡的IP地址配置为/24，这样可以让其和防火墙FW的管理接口GE0/0/0的IP地址/24连通。（2）配置完本地网卡的IP地址后，打开网络拓扑（先打开网络拓扑会导致无法加载最新的网卡IP地址配置），向网络拓扑中添加云Cloud，双击Cloud。（3）在弹出的窗口的“绑定信息”下拉列表中选择刚配置了/24的那张网卡对应的选项，单击“增加”按钮。任务拓展6操作流程（3）在弹出的窗口的“绑定信息”下拉列表中选择刚配置了/24的那张网卡对应的选项，单击“增加”按钮。任务拓展6操作流程（4）在“绑定信息”下拉列表中选择“UDP”选项，如图所示，单击“增加”按钮。任务拓展6操作流程(5)