一、防火墙初始化配置
防火墙初始化是部署前的关键步骤,需完成以下操作:
- 通过默认账户登录(admin/Admin@123),立即修改默认密码
- 进入系统视图配置设备名称:
system-view→sysname FW-Server - 配置管理接口IP地址,示例:
interface GigabitEthernet 1/0/0
ip address 192.168.1.254 255.255.255.0
service-manage ping permit
二、区域管理实践
基于网络信任级别划分安全区域是防火墙的核心功能:
- Trust区域:承载内部服务器,配置示例:
firewall zone trust
add interface GigabitEthernet1/0/0 - DMZ区域:部署对外服务,需限制双向访问
- Untrust区域:互联网接入区域,默认禁止入站流量
区域间流量遵循最小授权原则,非必要通信默认拒绝
三、安全策略配置
基于五元组的策略配置流程:
- 创建地址集:
ip address-set internal type object - 定义服务对象:
service-set HTTP destination-port 80 - 配置策略规则示例:
security-policy
rule name Web_Access
source-zone trust
destination-zone dmz
service HTTP
action permit
建议启用日志记录功能,定期审计策略有效性
四、操作命令详解
| 功能 | 华为命令 | Firewalld命令 |
|---|---|---|
| 查看会话表 | dis firewall session table | firewall-cmd –list-all |
| 策略重载 | refresh security-policy | firewall-cmd –reload |
调试时建议使用debugging命令跟踪流量路径
五、测试与验证
配置完成后需执行以下验证步骤:
- 执行
ping 192.168.1.254测试接口可达性 - 使用
display security-policy rule all检查策略命中次数 - 通过
tcpdump抓包验证NAT转换效果
建议制定定期策略审查机制,及时更新漏洞特征库
