一、交代背景
做过一段时间的售后实施，发现防火墙设备上架真的很简单，但是对于没有入门的人来说也会有一定的不理解，初次上线我到底该做什么呢？

这个也是我当初开始做的时候的问题，当然了，初始都是利用web界面去操作，但是界面上面那么多的内容，哪些是我该做的呢？

某年某月的有一天，我信心满满的web界面一顿操作，然后客户来了，说我不喜欢web，你给我看配置，这就尴尬了，配置我不会，只知道点点点，怎么杜绝这种现象呢？这还用想吗——肯定是把命令行看懂了啊！

所以，就有了这篇文章，本文对上面三个问题进行解答。

二、解答——初次上线做哪些操作？
记住这一句心法：接口ip-划区域-策略any-NAT配置(路由指向)

解释下

1、接口IP

上线时候通常不会有太过复杂的配置，这时候的工程师一般只是进行简单操作，接入网络就可以。

接口IP不用说，一般使用路由模式，必须接口配置IP，根据分配的IP来就可以。

2、划区域

华为防火墙有四个区域，local（100），trust（85），untrust（5），DMZ（50），每个区域默认值大小不一样，大的比较安全级别高。（设备内部0-100之间）

// 说明：华为防火墙内部默认区域不能被删除，不能被修改。

firewall zone trust
set priority 85

firewall zone untrust
set priority 5

…

3、策略any

这个什么意义？

是这样的，华为防火墙内部有一条默认拒绝的安全策略，表示区域之间的互访被静止，防火墙上线以后，代表已经接入现有网络，所以需要调整下策略，改为permit，允许所有。（这时候不用考虑太多，初始这样配置必然没有问题，后期再进行优化）

上面说了一通，你是不是想怼——群主，你到是告诉怎么做啊？别急，继续看下面。

三、解答——web界面哪些是你该做的

3.1 怎么登陆web界面
华为防火墙提供两个缺省帐号：

• 系统管理员帐号：帐号/密码为admin/Admin@123，首次登录时可以使用该帐号通过Console或Web界面登录设备；并且可以配置使用该帐号进行Telnet/SSH登录。

• 审计管理员帐号：帐号/密码为audit-admin/Admin@123，该帐号是配置审计策略和查看审计日志的专用帐号。

来个拓扑配合：

(1)
第一步：浏览器登录 https://192.168.0.1：8443 （缺省状态下WEB登录地址）

进入防火墙WEB配置界面。

（2）内外网接口配置

（3）策略放行

（4）NAT：一般是源NAT

（5）路由

在网络-接口下面点击配置，此处省略

（6）检测接口

四、解答——命令行怎么装逼

（1）配置IP

system-view //进入管理视图
[USG6000V1]sysname FW1 //修改防火墙的设备名称
[FW1]info-center disable//关闭信息提示
[FW1]interface GigabitEthernet 1/0/1 //进入接口配置(其余接口省略配置)
[FW1-GigabitEthernet1/0/1]ip address 10.1.1.1 24 //配置IP和掩码
[FW1-GigabitEthernet1/0/1]service-manager ping permit //允许ping
[FW1-GigabitEthernet1/0/1]quit //退出接口配置
（2）划分区域
[FW1]firewall zone trust //进入安全域配置
[FW1-zone-trust]add interface GigabitEthernet1/0/1 //接口加入安全域
[FW1-zone-trust]quit //退出安全域配置

[FW1]firewall zone untrust
[FW1-zone-trust]add interface GigabitEthernet1/0/2
[FW1-zone-trust]quit

[FW1]firewall zone DMZ
…

(3)一条策略默认放行
[FW1]security-policy
[FW1-policy-security]default action permit
(4)NAPT
配置NAT地址池，配置时开启允许端口地址转换，实现公网地址复用
[FW1]nat address-group group1
[FW1-address-group-group1]mode pat
[FW1-address-group-group1]section 0 1.1.1.10 1.1.1.20
[FW1-address-group-group1]route enable
配置源NAT策略，实现私网指定网段访问Internet时自动进行源地址转换。
[FW1]nat-policy
[FW1–policy-nat]rule name policy_nat1
[FW1-policy-nat-rule-policy_nat1] source-zone trust
[FW1-policy-nat-rule-policy_nat1] destination-zone untrust
[FW1-policy-nat-rule-policy_nat1] source-address 10.1.1.0 24
[FW1-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[FW1-policy-nat-rule-policy_nat1] quit
[FW1-policy-nat] quit
(5)路由
[FW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.254