实战篇【4】-HUAWEI防火墙开局配置：从零到远程管理的核心步骤

1. 设备初始化与基础网络配置

刚拿到一台全新的HUAWEI防火墙时，就像拆封一部新手机，第一步要做的就是开机初始化。我遇到过不少新手工程师直接插上网线就开始配置，结果发现连基础管理界面都进不去。正确的做法应该是先通过Console口连接设备，这相当于给防火墙接上了"键盘和显示器"。

使用Putty或SecureCRT等终端工具连接Console口时，波特率记得设置为9600。首次登录会提示输入默认账号密码（admin/Admin@123），这个密码就像你家大门的钥匙，一定要在首次登录后立即修改。我通常会执行以下命令：

bash复制system-view
sysname FW-01  # 给设备起个有意义的名称
aaa
 manager-user admin password cipher MyStrongPwd@2023  # 修改默认密码

接下来要给防火墙配置管理IP，这相当于给它分配一个"门牌号"。我建议单独划分一个管理VLAN，与其他业务流量隔离。配置过程就像给电脑设置IP地址：

bash复制vlan 100
 description MGMT_VLAN
interface Vlanif100
 ip address 192.168.100.1 24  # 管理地址
 service-manage all permit  # 开放所有管理方式
interface GigabitEthernet1/0/0
 port link-type access
 port default vlan 100

这里有个容易踩坑的地方：华为防火墙接口默认是路由模式且处于关闭状态。如果需要作为交换口使用，必须先用portswitch命令切换模式，再用undo shutdown激活端口。去年我在某客户现场就因为这个配置漏了，排查了整整两小时。

2. 安全区域与策略配置

防火墙和普通交换机最大的区别就在于安全区域这个概念。你可以把安全区域想象成军事基地的不同警戒区：Untrust区就像外围警戒区，Trust区则是核心区域，不同区域间的通行需要严格检查。

配置安全区域时，我习惯先规划好网络拓扑。假设GE1/0/1连接内网服务器，GE1/0/2连接外网路由器：

bash复制firewall zone trust
 set priority 85  # 优先级越高越可信
 add interface GigabitEthernet1/0/1
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2

安全策略就是区域间的"通行证"。初期建议先配置全通策略方便调试，但生产环境一定要细化：

bash复制security-policy
 rule name Permit_All  # 临时全通规则
  source-zone trust
  destination-zone untrust
  action permit

这里有个实用技巧：华为防火墙默认会丢弃所有未明确允许的流量。如果发现网络不通，可以先临时配置security-policy default action permit，等调试完成再恢复严格策略。

3. 远程管理通道搭建

现在我们已经可以通过Console口管理设备了，但每次都跑到机房实在太麻烦。搭建远程管理就像给防火墙安装"遥控器"，主要有三种方式：

Web管理最直观，适合图形化操作：

bash复制web-manager enable  # 开启HTTP服务
web-manager security enable  # 开启HTTPS
http server enable  # 有些型号需要单独启用

SSH管理更安全，适合批量操作：

bash复制stelnet server enable  # 开启SSH服务
rsa local-key-pair create 2048  # 生成密钥
ssh user admin authentication-type password  # 配置认证方式

SNMP管理适合监控系统对接：

bash复制snmp-agent
snmp-agent sys-info version v2c
snmp-agent community read cipher SNMP_Read

实际项目中我遇到过Web界面无法访问的情况，八成是service-manage配置遗漏。记住要在管理接口下执行：

bash复制service-manage https permit
service-manage ping permit  # 方便网络测试

4. 网络连通性保障

要让防火墙真正发挥作用，还需要配置网络"路标"——路由。就像快递员送件需要知道目的地怎么走：

bash复制ip route-static 0.0.0.0 0 203.0.113.1  # 默认路由
ip route-static 192.168.1.0 24 10.0.0.1  # 静态路由

如果有多条外线，可以配置路由监测：

bash复制ip route-static 0.0.0.0 0 203.0.113.1 track nqa test1
nqa test1  # 配置链路检测

时间同步也很重要，日志分析时时间错乱会很头疼：

bash复制ntp-service unicast-server 210.72.145.44  # 国家授时中心
clock timezone CST-8  # 中国时区

最后别忘了保存配置，就像游戏存档：

bash复制save  # 立即保存
display current-configuration  # 确认配置

记得有次客户反映防火墙配置丢失，排查发现是设备重启前没人执行save命令。现在我都养成了改完配置立即保存的习惯，还会用display saved-configuration对比当前配置是否已保存。