1. 实验环境搭建与基础配置
第一次接触USG5500防火墙时,我对着密密麻麻的接口发懵。后来发现只要理清三个关键区域就简单多了:Trust区域(内网)、DMZ区域(服务器区)、Untrust区域(外网)。在eNSP中搭建环境时,建议先准备好这些设备:
- 1台USG5500防火墙(关键设备)
- 2台AR2220路由器(模拟内外网连接)
- 4台S5700交换机(连接终端设备)
- 10台PC终端(测试用)
- 2台Server服务器(部署在DMZ区)
接口配置的坑我踩过:防火墙的G0/0/0口默认是管理口,但实际项目中我们常用它连接内网。建议按这个逻辑配置接口:
# 防火墙基础配置示例 system-view sysname FW1 interface GigabitEthernet 0/0/0 ip address 172.16.1.2 255.255.255.0 # 连接Trust区域 undo shutdown interface GigabitEthernet 0/0/1 ip address 172.16.2.1 255.255.255.0 # 连接DMZ区域 undo shutdown interface GigabitEthernet 0/0/2 ip address 172.16.3.1 255.255.255.0 # 连接Untrust区域 undo shutdown注意:eNSP模拟器有时会出现端口状态异常,如果发现接口无法up,尝试重启设备或重新连线。
2. 安全区域绑定与路由设置
安全区域就像小区的门禁系统:Trust是业主通道(高信任度),DMZ是访客登记处(中等信任),Untrust就是小区大门(完全不可信)。配置时最易出错的是区域绑定顺序:
# 正确绑定姿势(必须先创建区域再绑定接口) firewall zone trust add interface GigabitEthernet 0/0/0 firewall zone dmz add interface GigabitEthernet 0/0/1 firewall zone untrust add interface GigabitEthernet 0/0/2路由配置有个实用技巧:USG5500默认不会自动生成路由。我遇到过内网能ping通防火墙却无法上网的情况,后来发现是缺了这条关键配置:
# 静态路由配置示例(指向各区域网关) ip route-static 192.168.1.0 255.255.255.0 172.16.1.1 ip route-static 192.168.2.0 255.255.255.0 172.16.1.1 ip route-static 3.3.3.0 255.255.255.0 172.16.3.2 # 外网路由3. 精细化访问控制策略
企业网络最典型的需求就是:市场部需要上网但研发部禁止外联。通过策略编号实现这个需求时,要注意策略的匹配顺序:
# 策略组配置实例(注意编号小的优先执行) policy interzone trust untrust outbound policy 1 # 禁止192.168.2.0网段访问外网 policy source 192.168.2.0 0.0.0.255 action deny policy 2 # 允许192.168.1.0网段访问外网 policy source 192.168.1.0 0.0.0.255 action permit policy interzone trust dmz outbound policy 3 # 允许所有内网访问DMZ action permit实测中发现个细节:策略修改后不会立即生效,需要手动清除会话表。可以用这个命令快速验证策略:
display firewall session table # 查看当前会话 reset firewall session table # 重置会话4. 实战验证与排错技巧
配置完成后,我习惯用这个验证流程:
- 基础连通性测试:
# 在PC1上执行 ping 192.168.1.254 # 测试网关连通性 ping 172.16.2.2 # 测试DMZ服务器连通性 - 策略生效验证:
# 在受限网段PC4上测试 ping 3.3.3.1 # 应该失败 telnet 3.3.3.1 80 # 测试TCP协议控制 - DNS特殊配置: 想让特定网段支持域名访问?别忘了这两步:
# 防火墙开启DNS代理 dns proxy enable # 在策略中放行DNS流量 policy interzone trust untrust outbound policy 4 policy service dns action permit
遇到策略不生效时,先用这个诊断组合拳:
display current-configuration | include policy # 检查策略配置 display firewall statistic system discard # 查看丢弃报文统计 tracert 3.3.3.1 # 追踪路由路径5. 企业级配置经验分享
真实项目中的配置要比实验复杂得多。比如这三个实用场景:
- 多网段差异化控制:财务部(10.10.10.0/24)只能访问特定服务器,市场部(10.10.20.0/24)可以全网访问
- 时间段控制:上班时间禁止视频流量,午休时段放开
- 应用层过滤:拦截特定URL或文件类型
高级配置示例:
# 基于时间的策略 time-range worktime 08:00 to 18:00 working-day policy interzone trust untrust outbound policy 10 time-range worktime policy source 10.10.10.0 0.0.0.255 policy service http action deny最后说个血泪教训:配置备份一定要做!有次设备重启后配置丢失,差点造成事故。现在我都用这个命令定期备份:
save config.cfg # 保存配置到文件 ftp 192.168.1.100 put config.cfg # 上传到FTP服务器