华为防火墙配置教程

前期准备

1. 设备连接：将管理员PC网口与设备的管理口（如MEth 0/0/0或GigabitEthernet 0/0/0）通过网线直连或者通过二层交换机相连。

   

2. 设置管理员IP地址：将管理员的IP地址设置为192.168.0.2 192.168.0.254范围内的IP地址。

3. 登录Web界面：在管理员PC的浏览器中输入地址https://192.168.0.1:8443，首次登录时会弹出创建管理员账号界面，输入用户名、密码、确认密码后单击“创建”，创建的管理员拥有系统管理员权限和Web服务类型，账号创建成功后，进入登录界面，输入已创建的用户名、密码登录设备。

基础配置

1. 修改管理口IP地址（可选）：选择“网络 > 接口”，可以修改管理口的IP地址，修改后需要重新登录。

2. 配置接口IP地址及安全区域

   • 三层接入配置
     • 上网接口（外网口）：例如将GE0/0/3接口配置为外网口，加入untrust区域，并根据实际网络情况配置IP地址（如通过静态IP、PPPoE、DHCP等方式获取公网IP地址）。
     • 局域网接口（内网口）：将GE0/0/2接口配置为内网口，加入trust区域，配置私网IP地址，若需为局域网PC分配IP地址，可启用局域网DHCP服务。
   • 二层透明接入配置

     将相应的二层接口（如GE0/0/2和GE0/0/3）配置为交换模式，并分别加入trust和untrust安全区域。

     

3. 配置路由：根据网络拓扑和接入方式，配置相应的路由，例如在三层接入模式下，若采用静态IP接入方式，可能存在一条缺省路由，出接口为上网接口，将流量转发至Internet。

安全策略配置

1. 访问控制策略

   • 选择“策略 > 安全策略 > 安全策略”，新建安全策略。
   • 配置源区域、目的区域、源地址、目的地址、服务类型（如HTTP、HTTPS、TCP、UDP等）以及动作（允许或拒绝）等参数，允许局域网用户访问Internet，可配置源区域为trust，目的区域为untrust，源地址为局域网地址段，目的地址为Any，服务类型根据需求选择，动作为允许。

2. NAT策略配置（如需）

   • 选择“策略 > NAT策略 > NAT策略”。
   • 若进行源NAT转换,先选择“源转换地址池”页签，新建地址池，地址池中为可供使用的公网IP地址范围；再选择“NAT策略”页签，新建NAT策略，配置源区域、目的区域、转换方式等参数。

其他常用配置

1. 管理员账号管理：选择“系统 > 管理员 > 管理员”，可以新建其他管理员，并绑定不同的权限角色。

2. 证书管理（可选）：访问Web界面登录地址时，浏览器可能会提示证书不安全，可在此界面上单击“下载根证书”下载证书，然后双击证书文件进行安装，下次登录就不会有安全告警提示。

   

常见问题与解答

1. 问题：华为防火墙配置后无法访问外网，可能是什么原因？

   • 解答：可能的原因包括：安全策略未允许相应的流量通过，需检查安全策略配置是否正确；路由配置错误，导致无法找到外网的路径，需检查路由表；上网接口未正确获取到公网IP地址，需检查接口的IP配置和接入方式；源NAT策略配置有误（如果使用了源NAT），需检查NAT策略的配置。

2. 问题：如何查看华为防火墙当前的配置信息？

   • 解答：可以通过以下几种方式查看：在Web界面中，依次点击“系统 > 配置管理”，可查看设备的基本配置信息；在命令行界面（CLI）中，使用相应的显示命令查看具体配置，使用display current-configuration命令可查看当前