实战演练——基于ENSP的防火墙多区域策略配置与流量管控

1. ENSP防火墙实验环境搭建

第一次接触华为ENSP模拟器时，我被它高度还原真实设备的特性惊艳到了。这个免费的模拟器不仅能完美模拟华为防火墙的操作逻辑，连Web管理界面都和真机一模一样。我们先从最基础的环境搭建说起，我会带你一步步构建包含Trust、Untrust、DMZ三个经典安全区域的实验拓扑。

打开ENSP后，建议先做个小设置：把控制台超时关闭。虽然生产环境不建议这么做，但实验时能避免频繁重连的麻烦。在用户视图下输入：

bash复制user-interface console 0
idle-timeout 0 0

接着拖入这些设备：

• 1台USG6000V防火墙（建议选V500R005C00版本）
• 2台S5700交换机（分别用于Trust和DMZ区域）
• 1台AR2200路由器（模拟外网ISP）
• 2台PC和2台Server

关键配置点：防火墙的G1/0/0接口作为Untrust区域出口，配置为路由模式，IP设为100.1.1.1/24；G1/0/1接口作为Trust区域出口，同样用路由模式，IP设为10.1.255.2/24。特别注意安全区域的划分，Web界面里每个接口都要归属到对应区域。

2. 多区域网络基础配置

2.1 Untrust区域联通实战

给ISP路由器配置互联IP 100.1.1.2/24后，我发现个新手常踩的坑：明明接口状态显示up，但就是ping不通。这是因为防火墙默认禁止所有流量，需要在接口高级设置里启用ping管理功能。具体路径：网络→接口→点击G1/0/0→高级选项→勾选"Ping"。

更完整的Untrust区域配置还包括：

1. 在防火墙上添加默认路由指向ISP：

bash复制ip route-static 0.0.0.0 0 100.1.1.2

2. 给外网Server配置200.1.1.2/24的IP，并在路由器上做好NAT转换

2.2 Trust区域内部互通

这里有个易错点：很多同学只配了防火墙接口IP，却忘了在内网交换机上配置回程路由。以SW1为例，必须添加：

bash复制ip route-static 0.0.0.0 0 10.1.255.2

同时要确保PC的网关指向交换机VLAN接口（如10.1.3.1），而不是直接指向防火墙。我建议用这个网段规划：

• 办公VLAN：10.1.3.0/24
• 服务器VLAN：10.1.10.0/24
• 管理VLAN：10.1.255.0/24

2.3 DMZ区域特殊处理

DMZ区域的亮点是链路聚合配置。在防火墙上创建Eth-Trunk时要注意：

1. 成员接口G1/0/2和G1/0/3必须改为交换模式
2. 类型选择Trunk时，要明确允许通过的VLAN范围（如10-11）
3. 安全区域务必选择DMZ

交换机侧的配置要严格匹配：

bash复制interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 10 to 11

3. 安全策略深度配置

3.1 策略工作原理解析

防火墙策略就像海关检查，每个数据包都要过五关斩六将。根据我的实测，华为防火墙的处理流程是这样的：

1. 首包到达时检查会话表
2. 匹配安全策略（源/目的区域、地址、服务等）
3. 进行UTM检测（如有配置）
4. 创建会话条目
5. 后续包直接匹配会话表

重要技巧：在Web界面的"监控→会话表"里，能看到所有活跃连接的详细信息，这对排错非常有用。

3.2 Trust到Untrust策略

配置这条策略时，建议采用地址组管理。比如创建"Internal_Net"地址组包含10.1.3.0/24，然后配置：

• 源区域：Trust
• 目的区域：Untrust
• 源地址：Internal_Net
• 服务：根据需要选择HTTP/HTTPS等
• 动作：允许

我遇到过策略不生效的情况，后来发现是地址组里网段写错了。切记要在"对象→地址组"里仔细检查IP范围。

3.3 跨区域访问控制

对于DMZ区域的服务器，推荐采用最小权限原则。比如只允许Untrust访问特定的Web服务器（10.1.10.2），配置时要精确到具体IP：

bash复制rule name untrust-to-dmz
 source-zone untrust
 destination-zone dmz
 destination-address 10.1.10.2 32
 service http
 action permit

4. 高级功能实战技巧

4.1 接口对模式应用

当需要穿透防火墙做二层透传时，接口对模式比传统VLAN更高效。有次客户需要直连两台跨防火墙的存储设备，我就是用这个方案解决的。配置要点：

1. 将两个接口模式改为"接口对"
2. 在"网络→接口对"中绑定这两个接口
3. 注意这种模式下不检查任何安全策略

4.2 带宽管理实践

在接口配置里有个容易被忽视的功能——带宽限制。曾经有个分公司频繁出现网络卡顿，后来发现是视频会议流量挤占了带宽。解决方案是在出方向做了限速：

1. 进入接口配置页面
2. 在QoS标签页设置出方向带宽为50Mbps
3. 针对视频会议VLAN设置保证带宽20Mbps

4.3 会话表监控

通过命令行可以查看更详细的会话信息：

bash复制display firewall session table verbose

这个命令能显示每个会话的持续时间、字节数、甚至应用类型。有次排查病毒攻击，就是通过发现异常会话锁定了一台中毒的PC。

5. 典型故障排查指南

遇到策略不生效时，我通常按照这个顺序检查：

1. 确认物理接口状态（display interface brief）
2. 检查路由表（display ip routing-table）
3. 验证地址组内容（display firewall address-group）
4. 查看策略命中计数（在Web界面策略列表右侧）

有个经典案例：客户反映外网无法访问DMZ服务器，最后发现是ISP路由器的NAT没配置。所以在排查时，一定要有全局视角，不能只盯着防火墙。

配置过程中如果遇到保存失败，可以尝试：

1. 清理浏览器缓存
2. 使用private模式访问Web界面
3. 通过命令行保存：

bash复制save
y