华为防火墙USG6000V1实战：5分钟搞定内网外网隔离与服务器访问控制

华为防火墙USG6000V1实战：5分钟搞定内网外网隔离与服务器访问控制

每次接手一个新网络，最怕的就是防火墙配置。规则一多，策略一杂，别说5分钟，有时候半天都调不通。尤其是面对华为USG6000V这种企业级设备，命令行界面虽然强大，但没个清晰的思路，很容易在security-policy里迷失方向。今天，我们不谈那些冗长的理论，直接从一次真实的网络割接需求出发，分享一套我用了多年的“5分钟配置模板”。这套方法的精髓在于，将复杂的安全域规划简化为三个核心动作：划区、定流向、配策略。无论你是需要紧急上线一套隔离环境，还是想快速验证一个网络架构，这套基于命令行（CLI）的流程都能让你在极短时间内，实现内网（Trust）、外网（Untrust）与服务器区（DMZ）的安全互访控制，并且自带排错指南。

1. 核心理念：从“零信任”到“最小化授权”的快速落地

很多工程师一上来就敲命令，往往忽略了防火墙策略设计的底层逻辑。华为防火墙，或者说所有现代防火墙，其默认行为都是**“拒绝所有”**。这意味着，在没有任何策略的情况下，所有跨安全区域的流量都会被丢弃。我们的配置过程，本质上是在这个“全黑”的画布上，用“允许”策略画出几条精确的白线。

传统的教学喜欢从IP地址、接口配置讲起，但实战中，“区域（Zone）”才是策略的锚点。我的习惯是，在连线甚至配置IP之前，先在心里把网络拓扑抽象成几个安全区域。对于最经典的三层架构：

• Trust区域：代表内部可信网络，通常是员工的办公网段。
• Untrust区域：代表不可信的外部网络，最典型的就是互联网出口。
• DMZ区域：代表对外提供服务的服务器区域，如Web、Mail服务器。

这三个区域的信任等级是递减的：Trust > DMZ > Untrust。我们的策略目标，就是用最少的规则，实现这样的访问关系：内网用户可以自由访问外网和服务器，外网用户只能访问服务器，绝不能触及内网，而服务器区域自身发起对外或对内的访问，则需要额外严格的控制。这就是“最小化授权”原则的直观体现。

注意：华为防火墙每个接口只能属于一个安全区域。将接口划入区域，是后续所有安全策略生效的前提。

2. 5分钟极速配置：命令行实战分解

假设我们手头有一台全新的USG6000V，需要为以下网段快速部署策略：

• 内网（Trust）：10.0.0.0/24， 接口G1/0/0
• 外网（Untrust）：202.196.10.0/24， 接口G1/0/1
• 服务器区（DMZ）：192.168.10.0/24，接口G1/0/2

我们的目标是：5分钟内，让内网能上网、能访问服务器；让外网能访问服务器；同时确保内网绝对安全。

2.1 第一步：基础环境搭建（约1分钟）

首先，我们需要进入系统视图，为防火墙定义一个主机名，并关闭不必要的信息中心提示，让输出更干净。

<USG6000V> system-view
[USG6000V] sysname FW-Core
[FW-Core] undo info-center enable
Info: Information center is disabled.

接着，以最快的速度配置三个物理接口的IP地址。这里的关键是连续操作，避免来回切换视图。

[FW-Core] interface GigabitEthernet 1/0/0
[FW-Core-GigabitEthernet1/0/0] ip address 10.0.0.254 255.255.255.0
[FW-Core-GigabitEthernet1/0/0] quit

[FW-Core] interface GigabitEthernet 1/0/1
[FW-Core-GigabitEthernet1/0/1] ip address 202.196.10.254 255.255.255.0
[FW-Core-GigabitEthernet1/0/1] quit

[FW-Core] interface GigabitEthernet 1/0/2
[FW-Core-GigabitEthernet1/0/2] ip address 192.168.10.254 255.255.255.0
[FW-Core-GigabitEthernet1/0/2] quit

配置完成后，可以用一个命令快速验证：