华为eNSP防火墙透明模式Web配置实战指南

1. eNSP防火墙透明模式Web配置实战

作为一名网络工程师，我经常需要在实验室环境中模拟各种防火墙部署场景。华为eNSP模拟器中的防火墙透明模式配置是个非常实用的技能点，今天我就来详细分享一下通过Web方式配置防火墙透明模式的全过程。透明模式最大的特点是防火墙对网络设备完全透明，不改变原有网络拓扑结构，特别适合需要快速部署且对网络改动敏感的场景。

2. 实验环境准备

2.1 设备选型与拓扑搭建

首先打开eNSP模拟器，我们需要准备以下设备：

• 2台PC（PC1和PC2）
• 1台USG6000V防火墙（建议使用V500R005C00SPC100版本）
• 1个Cloud云设备（用于Web管理连接）

拓扑连接方式如下：

code复制PC1 <---> [防火墙GE1/0/1]---[防火墙GE1/0/2] <---> PC2
Cloud <---> 防火墙管理口

注意：在实际操作中，防火墙的接口模式需要设置为二层模式才能支持透明模式。华为防火墙默认是三层模式，这是新手常踩的坑。

2.2 IP地址规划

为实验环境规划以下IP地址：

• PC1: 192.168.1.10/24
• PC2: 192.168.1.20/24
• Cloud: 192.168.0.100/24（用于连接防火墙管理口）

这里有个关键点：透明模式下防火墙两端的PC需要处于同一网段，因为防火墙此时相当于一个透明网桥，不会进行路由转发。

3. 基础网络配置

3.1 PC端配置

在eNSP中分别配置两台PC的IP地址：

PC1配置：

• IP地址：192.168.1.10
• 子网掩码：255.255.255.0
• 默认网关：可不设（因为同网段通信）

PC2配置：

• IP地址：192.168.1.20
• 子网掩码：255.255.255.0
• 默认网关：可不设

3.2 Cloud云设备配置

Cloud设备需要配置两个关键参数：

1. 绑定网卡：选择你物理机的实际网卡
2. IP地址：192.168.0.100/24

配置完成后，在Cloud的"端口绑定设置"中：

• 勾选"UDP"选项
• 设置端口号为对应值（默认即可）

4. 防火墙透明模式配置

4.1 初始化防火墙设置

启动防火墙后，首先需要通过命令行进行基础配置：

bash复制system-view
sysname FW-Transparent
interface GigabitEthernet 1/0/1
 portswitch  # 将接口切换为二层模式
 quit
interface GigabitEthernet 1/0/2  
 portswitch
 quit

4.2 配置Web管理访问

bash复制interface GigabitEthernet 0/0/0  # 管理口
 ip address 192.168.0.1 24
 service-manage https permit
 service-manage ping permit
quit

https server enable
aaa
 local-user admin password cipher Admin@123
 local-user admin service-type https
 local-user admin privilege level 15
quit

实操心得：华为防火墙默认https服务是关闭的，必须手动开启。密码复杂度要求较高，建议使用大小写字母+数字+特殊字符的组合。

5. Web界面详细配置

5.1 登录Web管理界面

在浏览器输入：

code复制https://192.168.0.1:8443

首次登录会提示安全证书风险，选择继续访问即可。使用刚才创建的用户名admin和密码Admin@123登录。

5.2 配置透明模式

1. 进入"网络" > "接口"
2. 选择GE1/0/1和GE1/0/2接口
3. 将工作模式改为"二层模式"
4. 创建桥组（Bridge Group）：
   • 名称：Bridge1
   • 添加成员接口：GE1/0/1和GE1/0/2

5.3 安全策略配置

进入"策略" > "安全策略" > "新建"：

• 名称：Transparent_Policy
• 源区域：any
• 目的区域：any
• 服务：any
• 动作：允许

注意事项：透明模式下防火墙默认会阻断所有流量，必须配置允许策略才能通信。生产环境中应根据实际需求细化策略，不要简单允许any-to-any。

6. 连通性测试与排错

6.1 基础连通性测试

在PC1上ping PC2：

code复制ping 192.168.1.20

预期结果应该是通的。如果不通，检查以下方面：

1. 防火墙接口是否都加入了桥组
2. 安全策略是否配置正确
3. PC防火墙是否关闭（Windows Defender等）

6.2 常见问题排查

问题1：ping不通

• 检查项：
  • 使用display bridge-group查看桥组状态
  • 使用display interface brief查看接口状态
  • 使用display firewall session table查看是否有会话建立

问题2：Web无法访问

• 检查项：
  • 管理口IP是否正确配置
  • https服务是否开启
  • 物理机防火墙是否放行了8443端口

7. 高级配置与优化

7.1 VLAN透明传输

如果需要支持VLAN穿透，需要配置VLAN Trunk：

bash复制interface GigabitEthernet 1/0/1
 port link-type trunk
 port trunk allow-pass vlan all
quit

7.2 流量监控配置

在Web界面：

1. 进入"监控" > "会话监控"
2. 可以查看经过防火墙的所有流量会话
3. 可配置流量统计和日志功能

7.3 配置备份与恢复

建议定期备份配置：

1. Web界面进入"系统" > "维护" > "配置文件"
2. 点击"备份"保存当前配置
3. 需要恢复时选择"恢复"并上传配置文件

8. 实际应用场景分析

透明模式防火墙在以下场景特别适用：

1. 现有网络改造：不想改变现有IP规划时
2. 高可用性要求：可以部署为双机热备
3. 流量监控：作为网络中的"探针"监控流量

我在某次数据中心迁移项目中就使用了这种模式，在不影响业务的情况下实现了安全防护的快速部署。当时遇到的一个坑是忘记配置STP，导致出现了网络环路。后来通过以下命令解决：

bash复制stp enable
stp mode rstp

这个经验告诉我，透明模式下一定要重视二层网络的防环设计。