华为 USG6000E-S02 防火墙基本配置
针对华为 USG6000E-S02 防火墙,配置 WAN 口 DHCP 上网并将内网服务器端口映射到外网,主要涉及接口配置、安全策略和NAT 策略三个步骤。
由于你的 WAN 口是 DHCP 模式(IP 地址不固定),在配置端口映射时,我们需要使用 interface 关键字来绑定公网接口,而不是写死 IP 地址。
以下是基于命令行(CLI)的详细配置步骤:
1. 基础接口与区域配置
首先配置 LAN 口 IP,并将接口划分到对应的安全区域(Trust 为内网,Untrust 为外网)。
<Huawei> system-view
[Huawei] sysname FW1
# --- 配置 LAN 口 (假设使用 GE1/0/1) ---
[FW1] interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1] ip address 192.168.8.1 24
[FW1-GigabitEthernet1/0/1] service-manage all permit # 允许该接口被管理(如Ping/SSH),调试用
[FW1-GigabitEthernet1/0/1] quit
# --- 配置 WAN 口 (假设使用 GE1/0/0) ---
[FW1] interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0] ip address dhcp-alloc # 开启 DHCP 获取公网 IP
[FW1-GigabitEthernet1/0/0] quit
# --- 将接口加入安全区域 ---
[FW1] firewall zone trust
[FW1-zone-trust] add interface GigabitEthernet 1/0/1
[FW1-zone-trust] quit
[FW1] firewall zone untrust
[FW1-zone-untrust] add interface GigabitEthernet 1/0/0
[FW1-zone-untrust] quit
2. 配置默认路由
为了让内网流量能出去,需要配置一条默认路由指向 WAN 口(DHCP 模式下通常不需要指定下一跳 IP,直接指定出接口即可,或者 DHCP 会自动下发路由,但手动添加更稳妥)。
[FW1] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0
3. 配置 NAT Server (端口映射)
这是核心步骤。由于 WAN 口 IP 是动态的,我们使用 global interface 方式配置。这将把 WAN 口当前的公网 IP 的 6011 端口映射到服务器的 6011 端口。
[FW1] interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0] nat server protocol tcp global interface GigabitEthernet 1/0/0 6011 inside 192.168.8.48 6011
[FW1-GigabitEthernet1/0/0] quit
4. 配置安全策略 (放行流量)
华为防火墙默认拒绝所有流量。必须配置安全策略,允许外网(Untrust)访问内网服务器(Trust)。
注意:目的地址要填写内网服务器的真实 IP (192.168.8.48),因为防火墙在处理 NAT Server 时,策略匹配是在地址转换之后进行的(或者是匹配转换后的目的地址)。
[FW1] security-policy
[FW1-policy-security] rule name Allow_WAN_to_Server
[FW1-policy-security-rule-Allow_WAN_to_Server] source-zone untrust # 源区域:外网
[FW1-policy-security-rule-Allow_WAN_to_Server] destination-zone trust # 目的区域:内网
[FW1-policy-security-rule-Allow_WAN_to_Server] destination-address 192.168.8.48 32 # 目的地址:服务器IP
[FW1-policy-security-rule-Allow_WAN_to_Server] service protocol tcp destination-port 6011 # 服务端口
[FW1-policy-security-rule-Allow_WAN_to_Server] action permit # 动作:允许
[FW1-policy-security-rule-Allow_WAN_to_Server] quit
[FW1-policy-security] quit
5. 保存配置
配置完成后,务必保存,否则重启后配置会丢失。
[FW1] return
<FW1> save
💡 常见问题排查
-
外网无法访问?
- 检查公网 IP: 在防火墙上执行
display ip interface brief查看 GE1/0/0 是否获取到了公网 IP。如果是10.x.x.x或100.64.x.x等运营商内网 IP,你需要联系运营商申请公网 IP,或者使用 IPv6。 - 检查运营商限制: 很多家用宽带会封锁常见的高危端口(如 80, 443, 8080 等)。虽然 6011 不是常见被封端口,但如果依然不通,可以尝试改为其他非标准端口测试。
- 检查公网 IP: 在防火墙上执行
-
内网通过公网 IP 访问不通?
- 如果你在内网想通过公网 IP 访问这台服务器,还需要配置 NAT回流 (NAT Loopback)。需要在
nat-policy中添加规则,或者直接允许域内互访。 - 简单方案:内网用户直接访问
192.168.8.48:6011即可。
- 如果你在内网想通过公网 IP 访问这台服务器,还需要配置 NAT回流 (NAT Loopback)。需要在
-
Web 界面配置方法:
- 登录 Web 界面 -> 策略 > NAT 策略 > 服务器映射。
- 点击新建:
- 名称:任意
- 接口:选择 WAN 口 (GE1/0/0)
- 协议:TCP
- 外部端口:6011
- 内部 IP 地址:192.168.8.48
- 内部端口:6011
- 确定后,系统通常会自动提示或跳转去配置相应的安全策略,确保“允许”规则已生成。
要在华为 USG6000E-S02 防火墙上开启 SSH 登录并创建专用账号,你需要完成三个主要步骤:生成本地密钥、配置 VTY 用户界面以及创建 AAA 本地用户。
以下是基于命令行(CLI)的详细配置流程。假设你已经可以通过 Console 口或 Telnet 登录设备。
根据你提供的静态 IP 信息,我们需要修改防火墙 WAN 口的配置。
⚠️ 重要提示: 由于你将 WAN 口从 DHCP 改为静态 IP,之前配置的 nat server(端口映射)中使用的 global interface 方式可能会失效或不再适用。你需要将其修改为绑定具体的公网 IP (223.241.233.98)。
以下是完整的配置步骤,包含 接口修改、路由更新 以及 NAT 策略修正。
1. 修改 WAN 口 IP 与 DNS
假设你的 WAN 口依然是 GigabitEthernet 1/0/0。
<Huawei> system-view
[Huawei] interface GigabitEthernet 1/0/0
# 清除旧的 DHCP 配置(如果有)
[Huawei-GigabitEthernet1/0/0] undo ip address dhcp-alloc
# 配置新的静态 IP 和掩码
[Huawei-GigabitEthernet1/0/0] ip address 223.241.233.98 255.255.255.0
# 配置 DNS (华为防火墙通常在全局配置 DNS)
[Huawei-GigabitEthernet1/0/0] quit
[Huawei] dns resolve
[Huawei] dns server 61.132.163.68
2. 更新默认路由
将默认路由的下一跳指向你提供的新网关。
# 如果之前有默认路由,建议先删除再添加,或者直接覆盖
[Huawei] undo ip route-static 0.0.0.0 0.0.0.0
[Huawei] ip route-static 0.0.0.0 0.0.0.0 223.241.233.1
3. 修正 NAT Server (端口映射)
因为现在有了固定的公网 IP,建议将之前的 interface 模式改为 ip-address 模式,这样更稳定且规范。
操作步骤:
- 进入 WAN 口视图。
- 删除旧的 NAT 规则。
- 添加绑定具体 IP 的新规则。
[Huawei] interface GigabitEthernet 1/0/0
# 删除旧规则 (假设之前是在这个接口做的映射)
[Huawei-GigabitEthernet1/0/0] undo nat server protocol tcp global interface GigabitEthernet 1/0/0 6011 inside 192.168.8.48 6011
# 添加新规则:将公网IP 223.241.233.98 的6011端口映射到内网服务器
[Huawei-GigabitEthernet1/0/0] nat server protocol tcp global 223.241.233.98 6011 inside 192.168.8.48 6011
[Huawei-GigabitEthernet1/0/0] quit
4. 检查安全策略
这一步通常不需要改动,除非你之前限制了源区域。但为了保险起见,请确认允许外网访问内网服务器的策略依然存在。
[Huawei] display current-configuration | include rule.*Allow_WAN_to_Server
# 确保能看到这条规则,且动作为 permit
5. 保存配置
[Huawei] return
<Huawei> save
📝 配置总结表
| 配置项 | 设置值 | 说明 |
|---|---|---|
| WAN 接口 IP | 223.241.233.98 / 24 |
运营商分配的固定 IP |
| 默认网关 | 223.241.233.1 |
流量出口指向 |
| DNS 服务器 | 61.132.163.68 |
用于防火墙解析域名 |
| NAT 映射 | 223.241.233.98:6011 -> 192.168.8.48:6011 |
外部访问入口 |
配置完成后,你可以尝试在外网使用 telnet 223.241.233.98 6011 来测试端口是否通畅。
根据你提供的静态 IP 信息,我们需要修改防火墙 WAN 口的配置。
⚠️ 重要提示: 由于你将 WAN 口从 DHCP 改为静态 IP,之前配置的 nat server(端口映射)中使用的 global interface 方式可能会失效或不再适用。你需要将其修改为绑定具体的公网 IP (223.241.233.98)。
以下是完整的配置步骤,包含 接口修改、路由更新 以及 NAT 策略修正。
1. 修改 WAN 口 IP 与 DNS
假设你的 WAN 口依然是 GigabitEthernet 1/0/0。
<Huawei> system-view
[Huawei] interface GigabitEthernet 1/0/0
# 清除旧的 DHCP 配置(如果有)
[Huawei-GigabitEthernet1/0/0] undo ip address dhcp-alloc
# 配置新的静态 IP 和掩码
[Huawei-GigabitEthernet1/0/0] ip address 223.241.233.98 255.255.255.0
# 配置 DNS (华为防火墙通常在全局配置 DNS)
[Huawei-GigabitEthernet1/0/0] quit
[Huawei] dns resolve
[Huawei] dns server 61.132.163.68
2. 更新默认路由
将默认路由的下一跳指向你提供的新网关。
# 如果之前有默认路由,建议先删除再添加,或者直接覆盖
[Huawei] undo ip route-static 0.0.0.0 0.0.0.0
[Huawei] ip route-static 0.0.0.0 0.0.0.0 223.241.233.1
3. 修正 NAT Server (端口映射)
因为现在有了固定的公网 IP,建议将之前的 interface 模式改为 ip-address 模式,这样更稳定且规范。
操作步骤:
- 进入 WAN 口视图。
- 删除旧的 NAT 规则。
- 添加绑定具体 IP 的新规则。
[Huawei] interface GigabitEthernet 1/0/0
# 删除旧规则 (假设之前是在这个接口做的映射)
[Huawei-GigabitEthernet1/0/0] undo nat server protocol tcp global interface GigabitEthernet 1/0/0 6011 inside 192.168.8.48 6011
# 添加新规则:将公网IP 223.241.233.98 的6011端口映射到内网服务器
[Huawei-GigabitEthernet1/0/0] nat server protocol tcp global 223.241.233.98 6011 inside 192.168.8.48 6011
[Huawei-GigabitEthernet1/0/0] quit
4. 检查安全策略
这一步通常不需要改动,除非你之前限制了源区域。但为了保险起见,请确认允许外网访问内网服务器的策略依然存在。
[Huawei] display current-configuration | include rule.*Allow_WAN_to_Server
# 确保能看到这条规则,且动作为 permit
5. 保存配置
[Huawei] return
<Huawei> save
📝 配置总结表
| 配置项 | 设置值 | 说明 |
|---|---|---|
| WAN 接口 IP | 223.241.233.98 / 24 |
运营商分配的固定 IP |
| 默认网关 | 223.241.233.1 |
流量出口指向 |
| DNS 服务器 | 61.132.163.68 |
用于防火墙解析域名 |
| NAT 映射 | 223.241.233.98:6011 -> 192.168.8.48:6011 |
外部访问入口 |
配置完成后,你可以尝试在外网使用 telnet 223.241.233.98 6011 来测试端口是否通畅。
⚙️ 核心配置步骤
请在系统视图下依次执行以下命令:
1. 生成本地 RSA 密钥对
SSH 加密连接依赖密钥对,这是必须的第一步。
<Huawei> system-view
[Huawei] rsa local-key-pair create
# 系统提示输入密钥长度,直接回车使用默认值(通常为 2048)即可
# 注意:如果提示已存在密钥,可跳过此步
2. 开启 SSH 服务并配置 VTY 用户界面
这一步是告诉防火墙允许通过 SSH 协议进行远程管理,并指定验证方式。
[Huawei] stelnet server enable # 开启 Secure Telnet (SSH) 服务
[Huawei] user-interface vty 0 4 # 进入虚拟终端接口配置模式
[Huawei-ui-vty0-4] authentication-mode aaa # 设置认证模式为 AAA(即使用用户名+密码)
[Huawei-ui-vty0-4] protocol inbound ssh # 仅允许 SSH 协议接入(如需同时支持 Telnet 可改为 'all')
[Huawei-ui-vty0-4] user privilege level 15 # 赋予最高权限等级(可选,建议设置以便管理)
[Huawei-ui-vty0-4] quit
3. 创建管理员账号和密码
在 AAA 视图下创建专门用于 SSH 登录的用户。
[Huawei] aaa # 进入 AAA 配置视图
[Huawei-aaa] manager-user sshadmin # 创建用户名为 "sshadmin"(可根据需要修改)
[Huawei-aaa-manager-user-sshadmin] password cipher YourPassword@123 # 设置密码(cipher表示加密存储)
[Huawei-aaa-manager-user-sshadmin] service-type ssh # 关键:指定该用户仅允许使用 SSH 服务
[Huawei-aaa-manager-user-sshadmin] level 15 # 赋予该用户最高管理权限
[Huawei-aaa-manager-user-sshadmin] quit
[Huawei-aaa] quit
4. 保存配置
配置完成后务必保存,防止重启丢失。
[Huawei] return
<Huawei> save
🛡️ 补充检查:安全策略与接口放行
如果上述配置完成后仍然无法连接,通常是因为防火墙的安全策略拦截了 SSH 流量(TCP 22端口)。
-
检查管理接口是否放行 SSH 如果你的 SSH 客户端连接的是管理口(如 GE0/0/0),需要确保该接口允许 SSH 服务:
[Huawei] interface GigabitEthernet 0/0/0 [Huawei-GigabitEthernet0/0/0] service-manage ssh permit [Huawei-GigabitEthernet0/0/0] quit -
检查安全策略 (Security Policy) 如果你是通过业务接口(如 GE1/0/1)进行 SSH 管理,必须在安全策略中放行从该区域到 Local 区域的流量:
[Huawei] security-policy [Huawei-policy-security] rule name Allow_SSH_Local [Huawei-policy-security-rule-Allow_SSH_Local] source-zone trust # 源区域(根据实际连接接口所在的区域填写) [Huawei-policy-security-rule-Allow_SSH_Local] destination-zone local # 目的区域必须是 local(代表防火墙本身) [Huawei-policy-security-rule-Allow_SSH_Local] service ssh # 服务类型为 ssh [Huawei-policy-security-rule-Allow_SSH_Local] action permit # 动作允许 [Huawei-policy-security-rule-Allow_SSH_Local] quit
✅ 验证方法
配置完成后,你可以使用 Putty、Xshell 或电脑自带的 CMD 进行测试:
- 命令:
ssh sshadmin@<防火墙IP地址> - 端口: 默认为 22
- 密码: 输入你刚才设置的
YourPassword@123
No Comments