华为 USG6000E-S02 防火墙基本配置
针对华为 USG6000E-S02 防火墙,配置 WAN 口 DHCP 上网并将内网服务器端口映射到外网,主要涉及接口配置、安全策略和NAT 策略三个步骤。
由于你的 WAN 口是 DHCP 模式(IP 地址不固定),在配置端口映射时,我们需要使用 interface 关键字来绑定公网接口,而不是写死 IP 地址。
以下是基于命令行(CLI)的详细配置步骤:
1. 基础接口与区域配置
首先配置 LAN 口 IP,并将接口划分到对应的安全区域(Trust 为内网,Untrust 为外网)。
<Huawei> system-view
[Huawei] sysname FW1
# --- 配置 LAN 口 (假设使用 GE1/0/1) ---
[FW1] interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1] ip address 192.168.8.1 24
[FW1-GigabitEthernet1/0/1] service-manage all permit # 允许该接口被管理(如Ping/SSH),调试用
[FW1-GigabitEthernet1/0/1] quit
# --- 配置 WAN 口 (假设使用 GE1/0/0) ---
[FW1] interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0] ip address dhcp-alloc # 开启 DHCP 获取公网 IP
[FW1-GigabitEthernet1/0/0] quit
# --- 将接口加入安全区域 ---
[FW1] firewall zone trust
[FW1-zone-trust] add interface GigabitEthernet 1/0/1
[FW1-zone-trust] quit
[FW1] firewall zone untrust
[FW1-zone-untrust] add interface GigabitEthernet 1/0/0
[FW1-zone-untrust] quit
2. 配置默认路由
为了让内网流量能出去,需要配置一条默认路由指向 WAN 口(DHCP 模式下通常不需要指定下一跳 IP,直接指定出接口即可,或者 DHCP 会自动下发路由,但手动添加更稳妥)。
[FW1] ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0
3. 配置 NAT Server (端口映射)
这是核心步骤。由于 WAN 口 IP 是动态的,我们使用 global interface 方式配置。这将把 WAN 口当前的公网 IP 的 6011 端口映射到服务器的 6011 端口。
[FW1] interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0] nat server protocol tcp global interface GigabitEthernet 1/0/0 6011 inside 192.168.8.48 6011
[FW1-GigabitEthernet1/0/0] quit
4. 配置安全策略 (放行流量)
华为防火墙默认拒绝所有流量。必须配置安全策略,允许外网(Untrust)访问内网服务器(Trust)。
注意:目的地址要填写内网服务器的真实 IP (192.168.8.48),因为防火墙在处理 NAT Server 时,策略匹配是在地址转换之后进行的(或者是匹配转换后的目的地址)。
[FW1] security-policy
[FW1-policy-security] rule name Allow_WAN_to_Server
[FW1-policy-security-rule-Allow_WAN_to_Server] source-zone untrust # 源区域:外网
[FW1-policy-security-rule-Allow_WAN_to_Server] destination-zone trust # 目的区域:内网
[FW1-policy-security-rule-Allow_WAN_to_Server] destination-address 192.168.8.48 32 # 目的地址:服务器IP
[FW1-policy-security-rule-Allow_WAN_to_Server] service protocol tcp destination-port 6011 # 服务端口
[FW1-policy-security-rule-Allow_WAN_to_Server] action permit # 动作:允许
[FW1-policy-security-rule-Allow_WAN_to_Server] quit
[FW1-policy-security] quit
5. 保存配置
配置完成后,务必保存,否则重启后配置会丢失。
[FW1] return
<FW1> save
💡 常见问题排查
-
外网无法访问?
- 检查公网 IP: 在防火墙上执行
display ip interface brief查看 GE1/0/0 是否获取到了公网 IP。如果是10.x.x.x或100.64.x.x等运营商内网 IP,你需要联系运营商申请公网 IP,或者使用 IPv6。 - 检查运营商限制: 很多家用宽带会封锁常见的高危端口(如 80, 443, 8080 等)。虽然 6011 不是常见被封端口,但如果依然不通,可以尝试改为其他非标准端口测试。
- 检查公网 IP: 在防火墙上执行
-
内网通过公网 IP 访问不通?
- 如果你在内网想通过公网 IP 访问这台服务器,还需要配置 NAT回流 (NAT Loopback)。需要在
nat-policy中添加规则,或者直接允许域内互访。 - 简单方案:内网用户直接访问
192.168.8.48:6011即可。
- 如果你在内网想通过公网 IP 访问这台服务器,还需要配置 NAT回流 (NAT Loopback)。需要在
-
Web 界面配置方法:
- 登录 Web 界面 -> 策略 > NAT 策略 > 服务器映射。
- 点击新建:
- 名称:任意
- 接口:选择 WAN 口 (GE1/0/0)
- 协议:TCP
- 外部端口:6011
- 内部 IP 地址:192.168.8.48
- 内部端口:6011
- 确定后,系统通常会自动提示或跳转去配置相应的安全策略,确保“允许”规则已生成。