华为usg6000配置完为何内网还是不能上网？

华为USG6000系列防火墙是企业网络安全体系中的关键设备，其功能强大且配置灵活，掌握其核心配置流程，是保障网络边界安全的第一步，本文将系统性地介绍USG6000的基础配置要点，涵盖从初始登录到核心安全策略部署的全过程，旨在为网络管理员提供一份清晰、实用的配置指南。

初始登录与基础配置

首次配置USG6000通常有两种方式：通过Console口进行命令行（CLI）配置，或通过Web网管界面进行图形化操作，对于大多数管理员而言,Web界面更为直观友好。

1. 连接与登录：使用Console线连接电脑的串口与防火墙的Console口，通过终端仿真软件（如SecureCRT）进行连接，默认波特率为9600，启动后，根据提示登录，默认用户名和密码通常为admin/Admin@123（具体请参考设备手册）。
2. Web网管配置：为方便后续管理，需为防火墙的管理接口（如GigabitEthernet 0/0/0）配置一个IP地址，并确保管理电脑与该接口网络可达，在浏览器中输入该IP地址,即可登录Web管理界面。
3. 修改默认密码：出于安全考虑，首次登录后必须立即修改默认的管理员密码，并建议创建具有不同权限的管理员账户,实现权限最小化原则。

网络接口与安全区域

华为防火墙的一个核心概念是“安全区域”，它将物理或逻辑接口划分到不同的逻辑区域，安全策略基于区域间的流量进行控制，而非单纯的接口,这种设计极大地简化了策略管理。

常见的安全区域及其用途如下表所示：

配置时，需将物理接口（如连接内网的接口）加入Trust区域，连接外网的接口加入Untrust区域，放置服务器的接口加入DMZ区域，接口IP地址、子网掩码等基本网络参数也需在此阶段完成配置。

安全策略配置

安全策略是防火墙的灵魂，它定义了不同安全区域之间流量的访问规则，一条基本的安全策略包含五个关键元素：源安全区域、目的安全区域、源地址、目的地址、服务/应用，以及最终的动作（允许或禁止）。

配置示例：允许内网用户访问外网

1. 源区域：Trust
2. 目的区域：Untrust
3. 源地址：内网网段（如192.168.1.0/24）
4. 目的地址：any（任意）
5. 服务：HTTP, HTTPS, DNS等常用服务
6. 动作：允许（Permit）

策略的匹配顺序是自上而下，一旦匹配则立即执行，应将更精确、更严格的策略放在前面，将相对宽泛的策略（如允许所有）放在最后，配置完成后,务必检查策略顺序的正确性。

NAT地址转换

当内网（Trust区域）用户需要访问外网（Untrust区域）时，由于内网使用的是私有IP地址，无法在公网上路由，因此必须进行网络地址转换（NAT），USG6000支持多种NAT方式，其中最常用的是“源NAT”或称为“Easy IP”。

配置源NAT策略时，只需指定源区域为Trust，目的区域为Untrust，并选择将源IP地址转换为出接口的公网IP地址即可，这样，所有从Trust区域发往Untrust区域的流量，其源IP都会被自动替换为防火墙外网口的IP地址,从而实现上网。

高级功能与管理

除基础功能外，USG6000还集成了丰富的安全特性，如VPN（IPSec/SSL VPN）、入侵防御系统（IPS）、防病毒（AV）、URL过滤、用户身份认证等，管理员可以根据实际需求，在Web界面中逐一启用和配置这些模块，构建纵深防御体系，所有配置修改后，必须执行“保存”操作,以防设备重启后配置丢失。

相关问答FAQs

Q1：忘记了USG6000的管理员密码，该如何重置？

A1： 重置密码需要通过Console口进行操作，通过Console线连接设备，重启防火墙，在启动过程中，根据提示按特定键（通常是Ctrl+B或Ctrl+C）进入BootROM菜单，在菜单中选择跳过当前配置启动或恢复出厂设置（具体选项名称因版本而异），设备启动后将恢复默认配置，此时可使用默认用户名和密码登录，然后重新进行所有配置并设置新密码，恢复出厂设置会清空所有现有配置,请谨慎操作。

Q2：为什么已经配置了允许Trust到Untrust的安全策略，内网用户依然无法上网？

A2： 这是一个常见的配置问题，除了安全策略,内网上网还依赖两个关键配置：

1. NAT策略：请检查是否已正确配置源NAT或Easy IP策略，没有NAT,内网私有IP地址的报文无法在公网返回。
2. 路由：请确保防火墙配置了一条指向互联网的默认路由（下一跳为运营商提供的网关地址），没有正确的路由,防火墙不知道将流量发往何处。
3. 策略匹配：再次检查安全策略的源/目的区域、地址和服务是否准确无误，以及策略顺序是否正确，可能存在一条靠前的“拒绝”策略拦截了流量，建议按照“安全策略 -> NAT -> 路由”的顺序进行排查。