# 华为 USG6000E-S02 防火墙基本配置 针对华为 USG6000E-S02 防火墙,配置 WAN 口 DHCP 上网并将内网服务器端口映射到外网,主要涉及**接口配置**、**安全策略**和**NAT 策略**三个步骤。 由于你的 WAN 口是 DHCP 模式(IP 地址不固定),在配置端口映射时,我们需要使用 `interface` 关键字来绑定公网接口,而不是写死 IP 地址。 以下是基于命令行(CLI)的详细配置步骤: ### 1. 基础接口与区域配置 首先配置 LAN 口 IP,并将接口划分到对应的安全区域(Trust 为内网,Untrust 为外网)。 ```bash system-view [Huawei] sysname FW1 # --- 配置 LAN 口 (假设使用 GE1/0/1) --- [FW1] interface GigabitEthernet 1/0/1 [FW1-GigabitEthernet1/0/1] ip address 192.168.8.1 24 [FW1-GigabitEthernet1/0/1] service-manage all permit # 允许该接口被管理(如Ping/SSH),调试用 [FW1-GigabitEthernet1/0/1] quit # --- 配置 WAN 口 (假设使用 GE1/0/0) --- [FW1] interface GigabitEthernet 1/0/0 [FW1-GigabitEthernet1/0/0] ip address dhcp-alloc # 开启 DHCP 获取公网 IP [FW1-GigabitEthernet1/0/0] quit # --- 将接口加入安全区域 --- [FW1] firewall zone trust [FW1-zone-trust] add interface GigabitEthernet 1/0/1 [FW1-zone-trust] quit [FW1] firewall zone untrust [FW1-zone-untrust] add interface GigabitEthernet 1/0/0 [FW1-zone-untrust] quit ``` ### 2. 配置默认路由 为了让内网流量能出去,需要配置一条默认路由指向 WAN 口(DHCP 模式下通常不需要指定下一跳 IP,直接指定出接口即可,或者 DHCP 会自动下发路由,但手动添加更稳妥)。 ```bash [FW1] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 ``` ### 3. 配置 NAT Server (端口映射) 这是核心步骤。由于 WAN 口 IP 是动态的,我们使用 `global interface` 方式配置。这将把 WAN 口当前的公网 IP 的 6011 端口映射到服务器的 6011 端口。 ```bash [FW1] interface GigabitEthernet 1/0/0 [FW1-GigabitEthernet1/0/0] nat server protocol tcp global interface GigabitEthernet 1/0/0 6011 inside 192.168.8.48 6011 [FW1-GigabitEthernet1/0/0] quit ``` ### 4. 配置安全策略 (放行流量) 华为防火墙默认拒绝所有流量。**必须**配置安全策略,允许外网(Untrust)访问内网服务器(Trust)。 注意:目的地址要填写内网服务器的真实 IP (`192.168.8.48`),因为防火墙在处理 NAT Server 时,策略匹配是在地址转换之后进行的(或者是匹配转换后的目的地址)。 ```bash [FW1] security-policy [FW1-policy-security] rule name Allow_WAN_to_Server [FW1-policy-security-rule-Allow_WAN_to_Server] source-zone untrust # 源区域:外网 [FW1-policy-security-rule-Allow_WAN_to_Server] destination-zone trust # 目的区域:内网 [FW1-policy-security-rule-Allow_WAN_to_Server] destination-address 192.168.8.48 32 # 目的地址:服务器IP [FW1-policy-security-rule-Allow_WAN_to_Server] service protocol tcp destination-port 6011 # 服务端口 [FW1-policy-security-rule-Allow_WAN_to_Server] action permit # 动作:允许 [FW1-policy-security-rule-Allow_WAN_to_Server] quit [FW1-policy-security] quit ``` ### 5. 保存配置 配置完成后,务必保存,否则重启后配置会丢失。 ```bash [FW1] return save ``` --- ### 💡 常见问题排查 1. **外网无法访问?** - **检查公网 IP:** 在防火墙上执行 `display ip interface brief` 查看 GE1/0/0 是否获取到了公网 IP。如果是 `10.x.x.x` 或 `100.64.x.x` 等运营商内网 IP,你需要联系运营商申请公网 IP,或者使用 IPv6。 - **检查运营商限制:** 很多家用宽带会封锁常见的高危端口(如 80, 443, 8080 等)。虽然 6011 不是常见被封端口,但如果依然不通,可以尝试改为其他非标准端口测试。 2. **内网通过公网 IP 访问不通?** - 如果你在内网想通过公网 IP 访问这台服务器,还需要配置 **NAT回流 (NAT Loopback)**。需要在 `nat-policy` 中添加规则,或者直接允许域内互访。 - *简单方案*:内网用户直接访问 `192.168.8.48:6011` 即可。 3. **Web 界面配置方法:** - 登录 Web 界面 -> **策略** > **NAT 策略** > **服务器映射**。 - 点击新建: - **名称**:任意 - **接口**:选择 WAN 口 (GE1/0/0) - **协议**:TCP - **外部端口**:6011 - **内部 IP 地址**:192.168.8.48 - **内部端口**:6011 - 确定后,系统通常会自动提示或跳转去配置相应的安全策略,确保“允许”规则已生成。 要在华为 USG6000E-S02 防火墙上开启 SSH 登录并创建专用账号,你需要完成三个主要步骤:**生成本地密钥**、**配置 VTY 用户界面**以及**创建 AAA 本地用户**。 以下是基于命令行(CLI)的详细配置流程。假设你已经可以通过 Console 口或 Telnet 登录设备。 根据你提供的静态 IP 信息,我们需要修改防火墙 WAN 口的配置。 **⚠️ 重要提示:** 由于你将 WAN 口从 DHCP 改为静态 IP,之前配置的 `nat server`(端口映射)中使用的 `global interface` 方式可能会失效或不再适用。你需要将其修改为绑定具体的公网 IP (`223.241.233.98`)。 以下是完整的配置步骤,包含 **接口修改**、**路由更新** 以及 **NAT 策略修正**。 ### 1. 修改 WAN 口 IP 与 DNS 假设你的 WAN 口依然是 `GigabitEthernet 1/0/0`。 ```bash system-view [Huawei] interface GigabitEthernet 1/0/0 # 清除旧的 DHCP 配置(如果有) [Huawei-GigabitEthernet1/0/0] undo ip address dhcp-alloc # 配置新的静态 IP 和掩码 [Huawei-GigabitEthernet1/0/0] ip address 223.241.233.98 255.255.255.0 # 配置 DNS (华为防火墙通常在全局配置 DNS) [Huawei-GigabitEthernet1/0/0] quit [Huawei] dns resolve [Huawei] dns server 61.132.163.68 ``` ### 2. 更新默认路由 将默认路由的下一跳指向你提供的新网关。 ```bash # 如果之前有默认路由,建议先删除再添加,或者直接覆盖 [Huawei] undo ip route-static 0.0.0.0 0.0.0.0 [Huawei] ip route-static 0.0.0.0 0.0.0.0 223.241.233.1 ``` ### 3. 修正 NAT Server (端口映射) 因为现在有了固定的公网 IP,建议将之前的 `interface` 模式改为 `ip-address` 模式,这样更稳定且规范。 **操作步骤:** 1. 进入 WAN 口视图。 2. 删除旧的 NAT 规则。 3. 添加绑定具体 IP 的新规则。 ```bash [Huawei] interface GigabitEthernet 1/0/0 # 删除旧规则 (假设之前是在这个接口做的映射) [Huawei-GigabitEthernet1/0/0] undo nat server protocol tcp global interface GigabitEthernet 1/0/0 6011 inside 192.168.8.48 6011 # 添加新规则:将公网IP 223.241.233.98 的6011端口映射到内网服务器 [Huawei-GigabitEthernet1/0/0] nat server protocol tcp global 223.241.233.98 6011 inside 192.168.8.48 6011 [Huawei-GigabitEthernet1/0/0] quit ``` ### 4. 检查安全策略 这一步通常不需要改动,除非你之前限制了源区域。但为了保险起见,请确认允许外网访问内网服务器的策略依然存在。 ```bash [Huawei] display current-configuration | include rule.*Allow_WAN_to_Server # 确保能看到这条规则,且动作为 permit ``` ### 5. 保存配置 ```bash [Huawei] return save ``` --- ### 📝 配置总结表
配置项设置值说明
**WAN 接口 IP**`223.241.233.98 / 24`运营商分配的固定 IP
**默认网关**`223.241.233.1`流量出口指向
**DNS 服务器**`61.132.163.68`用于防火墙解析域名
**NAT 映射**`223.241.233.98:6011` -> `192.168.8.48:6011`外部访问入口
配置完成后,你可以尝试在外网使用 `telnet 223.241.233.98 6011` 来测试端口是否通畅。 根据你提供的静态 IP 信息,我们需要修改防火墙 WAN 口的配置。 **⚠️ 重要提示:** 由于你将 WAN 口从 DHCP 改为静态 IP,之前配置的 `nat server`(端口映射)中使用的 `global interface` 方式可能会失效或不再适用。你需要将其修改为绑定具体的公网 IP (`223.241.233.98`)。 以下是完整的配置步骤,包含 **接口修改**、**路由更新** 以及 **NAT 策略修正**。 ### 1. 修改 WAN 口 IP 与 DNS 假设你的 WAN 口依然是 `GigabitEthernet 1/0/0`。 ```bash system-view [Huawei] interface GigabitEthernet 1/0/0 # 清除旧的 DHCP 配置(如果有) [Huawei-GigabitEthernet1/0/0] undo ip address dhcp-alloc # 配置新的静态 IP 和掩码 [Huawei-GigabitEthernet1/0/0] ip address 223.241.233.98 255.255.255.0 # 配置 DNS (华为防火墙通常在全局配置 DNS) [Huawei-GigabitEthernet1/0/0] quit [Huawei] dns resolve [Huawei] dns server 61.132.163.68 ``` ### 2. 更新默认路由 将默认路由的下一跳指向你提供的新网关。 ```bash # 如果之前有默认路由,建议先删除再添加,或者直接覆盖 [Huawei] undo ip route-static 0.0.0.0 0.0.0.0 [Huawei] ip route-static 0.0.0.0 0.0.0.0 223.241.233.1 ``` ### 3. 修正 NAT Server (端口映射) 因为现在有了固定的公网 IP,建议将之前的 `interface` 模式改为 `ip-address` 模式,这样更稳定且规范。 **操作步骤:** 1. 进入 WAN 口视图。 2. 删除旧的 NAT 规则。 3. 添加绑定具体 IP 的新规则。 ```bash [Huawei] interface GigabitEthernet 1/0/0 # 删除旧规则 (假设之前是在这个接口做的映射) [Huawei-GigabitEthernet1/0/0] undo nat server protocol tcp global interface GigabitEthernet 1/0/0 6011 inside 192.168.8.48 6011 # 添加新规则:将公网IP 223.241.233.98 的6011端口映射到内网服务器 [Huawei-GigabitEthernet1/0/0] nat server protocol tcp global 223.241.233.98 6011 inside 192.168.8.48 6011 [Huawei-GigabitEthernet1/0/0] quit ``` ### 4. 检查安全策略 这一步通常不需要改动,除非你之前限制了源区域。但为了保险起见,请确认允许外网访问内网服务器的策略依然存在。 ```bash [Huawei] display current-configuration | include rule.*Allow_WAN_to_Server # 确保能看到这条规则,且动作为 permit ``` ### 5. 保存配置 ```bash [Huawei] return save ``` --- ### 📝 配置总结表
配置项设置值说明
**WAN 接口 IP**`223.241.233.98 / 24`运营商分配的固定 IP
**默认网关**`223.241.233.1`流量出口指向
**DNS 服务器**`61.132.163.68`用于防火墙解析域名
**NAT 映射**`223.241.233.98:6011` -> `192.168.8.48:6011`外部访问入口
配置完成后,你可以尝试在外网使用 `telnet 223.241.233.98 6011` 来测试端口是否通畅。 ### ⚙️ 核心配置步骤 请在系统视图下依次执行以下命令: #### 1. 生成本地 RSA 密钥对 SSH 加密连接依赖密钥对,这是必须的第一步。 ```bash system-view [Huawei] rsa local-key-pair create # 系统提示输入密钥长度,直接回车使用默认值(通常为 2048)即可 # 注意:如果提示已存在密钥,可跳过此步 ``` #### 2. 开启 SSH 服务并配置 VTY 用户界面 这一步是告诉防火墙允许通过 SSH 协议进行远程管理,并指定验证方式。 ```bash [Huawei] stelnet server enable # 开启 Secure Telnet (SSH) 服务 [Huawei] user-interface vty 0 4 # 进入虚拟终端接口配置模式 [Huawei-ui-vty0-4] authentication-mode aaa # 设置认证模式为 AAA(即使用用户名+密码) [Huawei-ui-vty0-4] protocol inbound ssh # 仅允许 SSH 协议接入(如需同时支持 Telnet 可改为 'all') [Huawei-ui-vty0-4] user privilege level 15 # 赋予最高权限等级(可选,建议设置以便管理) [Huawei-ui-vty0-4] quit ``` #### 3. 创建管理员账号和密码 在 AAA 视图下创建专门用于 SSH 登录的用户。 ```bash [Huawei] aaa # 进入 AAA 配置视图 [Huawei-aaa] manager-user sshadmin # 创建用户名为 "sshadmin"(可根据需要修改) [Huawei-aaa-manager-user-sshadmin] password cipher YourPassword@123 # 设置密码(cipher表示加密存储) [Huawei-aaa-manager-user-sshadmin] service-type ssh # 关键:指定该用户仅允许使用 SSH 服务 [Huawei-aaa-manager-user-sshadmin] level 15 # 赋予该用户最高管理权限 [Huawei-aaa-manager-user-sshadmin] quit [Huawei-aaa] quit ``` #### 4. 保存配置 配置完成后务必保存,防止重启丢失。 ```bash [Huawei] return save ``` --- ### 🛡️ 补充检查:安全策略与接口放行 如果上述配置完成后仍然无法连接,通常是因为防火墙的安全策略拦截了 SSH 流量(TCP 22端口)。 1. **检查管理接口是否放行 SSH** 如果你的 SSH 客户端连接的是管理口(如 GE0/0/0),需要确保该接口允许 SSH 服务: ```bash [Huawei] interface GigabitEthernet 0/0/0 [Huawei-GigabitEthernet0/0/0] service-manage ssh permit [Huawei-GigabitEthernet0/0/0] quit ``` 2. **检查安全策略 (Security Policy)** 如果你是通过业务接口(如 GE1/0/1)进行 SSH 管理,必须在安全策略中放行从该区域到 Local 区域的流量: ```bash [Huawei] security-policy [Huawei-policy-security] rule name Allow_SSH_Local [Huawei-policy-security-rule-Allow_SSH_Local] source-zone trust # 源区域(根据实际连接接口所在的区域填写) [Huawei-policy-security-rule-Allow_SSH_Local] destination-zone local # 目的区域必须是 local(代表防火墙本身) [Huawei-policy-security-rule-Allow_SSH_Local] service ssh # 服务类型为 ssh [Huawei-policy-security-rule-Allow_SSH_Local] action permit # 动作允许 [Huawei-policy-security-rule-Allow_SSH_Local] quit ``` ### ✅ 验证方法 配置完成后,你可以使用 Putty、Xshell 或电脑自带的 CMD 进行测试: - **命令**: `ssh sshadmin@<防火墙IP地址>` - **端口**: 默认为 22 - **密码**: 输入你刚才设置的 `YourPassword@123` - ``