以下是华为防火墙实现信任区隔离与单向访问控制的完整配置方案,结合安全区域划分、策略配置逻辑及命令解析,适用于办公网(Trust)访问摄像头(DMZ)放行、摄像头访问办公网隔离的场景。
一、配置逻辑顺序
华为防火墙配置需遵循层级化逻辑:
接口配置 → 安全区域绑定 → 安全策略 → NAT(可选) → 默认拒绝策略 → 验证保存
(依据:华为官方配置指南推荐的“接口→区域→策略→NAT→高可用”顺序)
二、具体配置命令及解析
1. 接口配置与安全区域绑定
system-view
[FW] interface GigabitEthernet 1/0/0 # 连接办公网的接口
[FW-GigabitEthernet1/0/0] ip address 192.168.1.254 24
[FW-GigabitEthernet1/0/0] quit
[FW] interface GigabitEthernet 1/0/1 # 连接摄像头的接口
[FW-GigabitEthernet1/0/1] ip address 192.168.2.254 24
[FW-GigabitEthernet1/0/1] quit
[FW] firewall zone trust # 进入Trust区域(办公网)
[FW-zone-trust] add interface GigabitEthernet 1/0/0 # 绑定办公网接口
[FW-zone-trust] quit
[FW] firewall zone dmz # 进入DMZ区域(摄像头)
[FW-zone-dmz] add interface GigabitEthernet 1/0/1 # 绑定摄像头接口
[FW-zone-dmz] quit
解析:
Trust区域(优先级85)绑定办公网接口,DMZ区域(优先级50)绑定摄像头接口,形成逻辑隔离。
优先级差异(85 > 50)决定流量方向:DMZ→Trust为Inbound(严格管控),Trust→DMZ为Outbound(相对宽松)。
2. 单向访问控制策略
[FW] security-policy# 放行办公网(Trust)→ 摄像头(DMZ)
[FW-policy-security] rule name Trust_to_DMZ
[FW-policy-security-rule-Trust_to_DMZ] source-zone trust # 源区域:办公网
[FW-policy-security-rule-Trust_to_DMZ] destination-zone dmz # 目的区域:摄像头
[FW-policy-security-rule-Trust_to_DMZ] action permit # 允许通行
[FW-policy-security-rule-Trust_to_DMZ] quit
# 拒绝摄像头(DMZ)→ 办公网(Trust)
[FW-policy-security] rule name Block_DMZ_to_Trust
[FW-policy-security-rule-Block_DMZ_to_Trust] source-zone dmz # 源区域:摄像头
[FW-policy-security-rule-Block_DMZ_to_Trust] destination-zone trust # 目的区域:办公网
[FW-policy-security-rule-Block_DMZ_to_Trust] action deny # 显式拒绝
[FW-policy-security-rule-Block_DMZ_to_Trust] quit
# 默认拒绝所有未匹配流量(兜底规则)
[FW-policy-security] rule name Default_Deny
[FW-policy-security-rule-Default_Deny] action deny
[FW-policy-security-rule-Default_Deny] quit
[FW-policy-security] quit
解析:
规则顺序关键:策略按从上到下匹配,Default_Deny必须置于末尾
双向控制逻辑:
Trust_to_DMZ:允许办公网主动访问摄像头(如HTTP/RTSP视频流)。
Block_DMZ_to_Trust:禁止摄像头发起任何连接至办公网,防止横向渗透
最小化放行:若需限制办公网访问摄像头的协议(如仅放行HTTPS管理端口),可添加 service https参数。
3. 高级控制(可选细化)
若需限制摄像头协议或办公网IP范围:
[FW] security-policy
[FW-policy-security] rule name Trust_to_DMZ_HTTPS # 仅允许HTTPS管理
[FW-policy-security-rule-…] source-zone trust
[FW-policy-security-rule-…] destination-zone dmz
[FW-policy-security-rule-…] source-address 192.168.1.0 24 # 限制办公网IP段
[FW-policy-security-rule-…] service https # 仅放行HTTPS
[FW-policy-security-rule-…] action permit
解析:
source-address:限制仅特定办公网IP可访问摄像头。
service https:仅允许加密管理流量,避免明文协议风险
三、配置验证与测试
# 查看策略配置
[FW] display security-policy rule name Trust_to_DMZ # 预期输出:action=permit, 状态=active
# 测试连通性
[FW] ping -a 192.168.1.100 192.168.2.10 # 办公网IP Ping摄像头 → 应通
[FW] ping -a 192.168.2.10 192.168.1.100 # 摄像头Ping办公网IP → 应不通
# 查看策略命中计数
[FW] display security-policy statistics rule name Block_DMZ_to_Trust
验证逻辑:
正向测试(Trust→DMZ)成功 → 策略放行生效。
反向测试(DMZ→Trust)失败 → 隔离策略生效
通过 display security-policy statistics可确认拒绝规则的拦截次数
四、安全加固建议
1.禁用默认策略:
[FW] undo security-policy default # 删除出厂默认全通策略[10](@ref)
2.限制管理接口:
[FW] interface GigabitEthernet 1/0/0
[FW-GigabitEthernet1/0/0] service-manage ping permit # 仅开放必要管理协议
[FW-GigabitEthernet1/0/0] service-manage ssh permit
3.启用攻击防护:
[FW] firewall defend syn-flood enable # 防御SYN洪水攻击
五、配置效果对比
|
流量方向 |
策略名称 |
动作 |
业务影响 |
|
办公网 → 摄像头 |
Trust_to_DMZ |
允许 |
可访问摄像头视频流/管理界面 |
|
摄像头 → 办公网 |
Block_DMZ_to_Trust |
拒绝 |
摄像头无法主动连接办公网任何服务 |
|
未匹配任何策略流量 |
Default_Deny |
拒绝 |
所有未明确允许的流量被拦截 |
遵循零信任原则:
仅开放业务必需路径(Trust→DMZ),拒绝反向流量(DMZ→Trust)。.
默认拒绝策略(Default_Deny)确保未定义流量全部拦截,消除“隐式放行”风险。
配置保存:执行 save防止重启丢失策略。
暂无评论内容