本文详细讲解华为防火墙安全策略配置方法，涵盖策略三要素（源/目的区域、动作）与核心特性。通过市场部访问互联网的典型场景演示基础策略配置，并深入解析基于服务、时间段的高级控制技巧及日志记录功能。提供策略命名规范、排序优化等实用建议，配套常用排错命令和完整配置模板，助力实现企业级网络流量精准管控。一、安全策略核心概念策略三要素：源区域（source-zone）：流量从哪个区域来目的区域（destination-zone）：流量去往哪个区域动作（action）：允许（permit）或拒绝（deny）华为防火墙策略特点：策略匹配遵循从上到下的顺序默认存在隐式拒绝所有（华为USG默认拒绝跨区域通信）策略是单向的（需分别配置往返策略）二、实战配置：允许市场部访问互联网场景描述：市场部（192.168.10.0/24）属于Trust区域互联网属于Untrust区域需要允许市场部访问所有互联网服务[FW] security-policy [FW-policy-security] rule name MARKET_to_INTERNET [FW-policy-security-rule-MARKET_to_INTERNET] source-zone trust [FW-policy-security-rule-MARKET_to_INTERNET] destination-zone untrust [FW-policy-security-rule-MARKET_to_INTERNET] source-address 192.168.10.0 24 [FW-policy-security-rule-MARKET_to_INTERNET] action permit [FW-policy-security-rule-MARKET_to_INTERNET] quit [FW-policy-security] quit三、高级策略配置技巧1. 基于服务的精细控制只允许访问特定服务（如HTTP/HTTPS）：rule name MARKET_WEB_ONLY source-zone trust destination-zone untrust source-address 192.168.10.0 24 service http https # 同时放行两个服务 action permit2. 时间段控制配合工作时间限制访问：time-range WORKTIME 08:00 to 18:00 working-day rule name MARKET_WORKTIME source-zone trust destination-zone untrust source-address 192.168.10.0 24 time-range WORKTIME # 引用时间段 action permit3. 日志记录配置对重要策略开启日志：rule name FINANCE_ACCESS source-zone trust destination-zone dmz source-address 192.168.20.0 24 service ssh action permit logging enable # 开启日志记录四、策略管理最佳实践1.命名规范：采用源区域_目的区域_用途的命名方式（如TRUST_UNTRUST_WEB）2.策略排序：把匹配频率高的策略放在前面3.注释说明：使用description添加备注rule name VPN_ACCESS description "允许分支站点通过VPN访问总部服务器" ...4.定期审计：使用display security-policy all查看所有策略五、排错命令大全命令功能display security-policy all查看所有安全策略display session table查看当前会话reset security-policy statistics重置策略计数器display firewall log查看防火墙日志六、完整配置模板# 允许内网访问DNS服务器 rule name TRUST_UNTRUST_DNS source-zone trust destination-zone untrust service dns action permit # 禁止研发部访问社交媒体 rule name BLOCK_SOCIAL_MEDIA source-address 192.168.30.0 24 destination-address 203.0.113.0 24 # 假设的社交媒体IP段 action deny logging enable # 允许IT部门管理防火墙 rule name IT_MANAGEMENT source-address 192.168.100.100 32 destination-zone local service ssh https action permit重点提醒生产环境切忌使用security-policy disable变更策略前建议先test security-policy测试策略修改后记得save保存配置