2024年5月12日发(作者：正规电脑维修上门)

华为防火墙部署及配置指南

1 防火墙部署及配置指南

1.1 方案描述

防火墙二层模式部署在互联网出口，运行在双机热备的主备模式下。上连出口网关路

由器，下连入侵防御系统，对接沙箱和CIS，按等保三级“安全区域边界”相关控制

点配置策略。

CIS、SecoManager一般部署在“运维管理区”，如果用户网络没有按分域架构部署，CIS、

SecoManager可直接连接核心交换机，保证USG和CIS、SecoManager路由可达即可。

方案描述

1、防火墙设置安全区域，内网为“Trust”，互联网为“Untrust”，

根据客户网络规划各接口安全区域，设置域间访问控制（如通过上连

口访问互联网、通过区域互联接口访问其他网络分区等）。

2、防火墙缺省安全策略动作设置为“拒绝”，默认情况下除允许通

信外受控接口拒绝所有通信。

3、定期应用防火墙“策略冗余分析”功能，或结合SecoManager“静

等保控制点

边界防护

访问控制

30

态策略调优”功能，对访问控制策略进行优化调整。

4、按照网络配置及要求规划安全策略，通过防火墙配置基于五元组

的访问控制策略、实现会话控制。

5、防火墙对接沙箱，配置APT防御功能，对文件中的恶意代码进行

检测。

6、防火墙对接CIS，通过CIS对安全事件进行统一管理。

7、按照相关要求保留互联网出口各安全设备安全事件日志，或对接

日志审计系统。

恶意代码防

范

安全审计

1.2 网络规划

设备

USG

规划项

接口GE1/0/1

接口GE1/0/2

规划说明

USG上行连接出口路由器。

加入Eth-Trunk 1，vlan 2

安全区域：Untrust。

接口GE1/0/3 心跳口。

主防火墙IP地址：10.10.0.1/24

备防火墙IP地址：10.10.0.2/24

安全区域：Heart。

接口GE1/0/4

接口GE1/0/5

USG下行连接入侵防御系统。

加入Eth-Trunk 2，vlan 2。

安全区域：Trust。

接口GE1/0/6 对接沙箱。

主防火墙IP地址：192.168.2.1/24

备防火墙IP地址：192.168.3.1/24

安全区域：Trust。

出口

路由

器/出

口区

核心

交换

机

OSPF

出口区核心交换区创建三层VLANIF接口，与出口

路由器之间运行OSPF。

为保证防火墙运行在主备模式，需要规划OSPF开

销：



主路由器下联口OSPF开销100，备路由器下联

口OSPF开销200，路由器互联口OSPF开销

10。

主交换机上联口OSPF开销100，备交换机上联

口OSPF开销200，交换机互联口OSPF开销

10。



31

设备 规划项

接口IP地址

规划说明

主路由器下联口：10.3.0.2/24

备路由器下联口：10.3.1.2/24

主交换机VLANIF接口：10.3.0.1/24

备交换机VLANIF接口：10.3.1.1/24

对外

提供

服务

的内

部服

务器

IP地址和服务端口 IP地址：192.168.0.100

服务端口：8081

1.3 配置思路

1. 完成防火墙基本网络配置，包括接口和安全区域。

2. 配置防火墙双机。

3. 配置安全策略，放通OSPF协议流量和内部服务器对外提供服务的流量，禁止其

他流量通过。

4. 配置路由器和交换机OSPF。数据规划参考2.2.2 网络规划，配置操作请参考相关

路由器与交换机产品文档。

5. 参考本手册后续章节完成与FireHunter、SecManager、CIS、日志服务器的对接和

业务配置。

1.4 配置详情

1. 完成网络基本配置。

FW_A FW_B

# 将FW上下行业务接口加入相应的Eth-Trunk，并切换成二层接口，且加入同一

VLAN。

[FW_A] vlan batch 2 [FW_B] vlan batch 2

[FW_A] interface eth-trunk 1 [FW_B] interface eth-trunk 1

[FW_A-Eth-Trunk1] portswitch [FW_B-Eth-Trunk1] portswitch

[FW_A-Eth-Trunk1] port link-type access [FW_B-Eth-Trunk1] port link-type access

[FW_A-Eth-Trunk1] port default vlan 2 [FW_B-Eth-Trunk1] port default vlan 2

[FW_A-Eth-Trunk1] trunkport [FW_B-Eth-Trunk1] trunkport

GigabitEthernet 1/0/1 to 1/0/2 GigabitEthernet 1/0/1 to 1/0/2

[FW_A-Eth-Trunk1] quit [FW_B-Eth-Trunk1] quit

[FW_A] interface eth-trunk 2 [FW_B] interface eth-trunk 2

[FW_A-Eth-Trunk1] portswitch [FW_B-Eth-Trunk1] portswitch

[FW_A-Eth-Trunk1] port link-type trunk [FW_B-Eth-Trunk1] port link-type access

[FW_A-Eth-Trunk1] port trunk allow-pass [FW_B-Eth-Trunk1] port trunk allow-pass

vlan 2 vlan 2

[FW_A-Eth-Trunk1] trunkport [FW_B-Eth-Trunk1] trunkport