1、第一步：网络接口与安全区域绑定：安全区域是华为防火墙实现安全策略的基石。所有接口都必须被分配到一个安全区域中。通常，连接外部互联网的接口划入 untrust 区域，连接内部可信网络的接口划入 trust 区域。（1）外网接口配置：在“网络 > 接口”中，编辑连接公网的物理接口。选择“静态IP”，填入运营商分配的IP地址、子网掩码和网关。最关键的一步是在“安全区域”下拉框中选择 untrust。为了后续管理方便，可以酌情在该接口的“访问管理”中启用Ping服务。（2）内网接口配置：编辑连接内部交换机的接口。配置规划好的内网IP地址（例如192.168.1.1/24），并在“安全区域”中选择 trust。同时，务必在此接口的“访问管理”中启用HTTPS，以确保能从内网通过Web界面管理防火墙。2、第二步：配置路由，指明流量方向。防火墙需要知道如何将去往不同目的地的数据包送出去。对于大部分企业，配置一条默认路由即可。（1）在“网络 > 路由 > 静态路由”中，新建一条IPv4静态路由。（2）目的地址/掩码填写为0.0.0.0/0，代表所有未知目的地的流量。（3）下一跳或出接口指向运营商提供的网关地址（即外网接口网关）。这条路由的含义是：所有非本地的网络流量，均通过外网接口发送至运营商网络。3、第三步：放行安全策略，建立访问规则。华为防火墙遵循“一切未被允许的流量即为禁止”的默认原则。因此，必须显式配置安全策略以允许特定流量通过。（1）在“策略 > 安全策略”中，新建一条策略，命名为如“Trust_to_Untrust”。（2）源安全区域选择 trust，目的安全区域选择 untrust。这定义了流量从内网流向外网的方向。（3）动作选择“允许”。（4）为确保可审计性，建议勾选“记录会话”或“记录策略命中日志”选项。至此，内网到外网的流量已被策略允许。4、第四步：配置源NAT，实现地址转换。由于内网使用的是私有IP地址，无法在公网路由，因此必须通过NAT技术将其转换为公网IP。（1）在“策略 > NAT策略 > 源NAT”中，新建一条策略。（2）源安全区域同样选择 trust。（3）目的区域/接口类型选择“出接口”，并指定为你的外网接口。（4）在“地址转换”部分，转换方式选择最常用的“出接口地址”模式。这意味着，所有匹配策略的内网IP，在流出外网接口时，其源地址都会被统一转换为该接口的公网IP地址。