防火墻，實質上就是一臺偏重于安全策略的交換機，或者說，更像是路由器，之所以如此說，是因為防火墻可以將IP設定等，直接設定在埠上，而不必創建一個vlanif，
配置防火墻，他的基礎就是網路要暢通，其次才能進行安全策略的配置，進行報文篩選，防火墻和路由器的配置極其相像，但是又有別于路由器，交換機，下面，將演示一遍華為防火墻的USG6309E的開局網路配置，

一、登錄防火墻

先拜見以下USG6309E的真容

為了讓大家看清一點，我特意把區域放大截了圖，

首次登錄，可以有兩種方法，根據上圖進行講解，

（一）MGMT網管口登錄

一種是直接通過MGMT網管口登錄，就是上圖中的“帶外管理口”，即MGMT口，這個其實就是功能閹割了的網口，主要拿來網管，在未配置的默認情況下，這個網管口的IP為192.168.0.1，因此，操作流程如下：

1. 找一臺電腦，配置IP在在同一網段下，如，配置網卡的IP為192.168.0.2，掩碼為255.255.255.0，
2. 找一根普通的網線，將兩個設備連接起來，
3. 打開瀏覽器，網址輸入“https://192.168.0.1:8443”，注意，這里是https，
4. 到登錄界面后，初始的用戶名“admin”，密碼為"admin@huawei.com"，
5. 登錄進去以后，看個人習慣，我這兒不介紹頁面配置，介紹下面的CLI（命令列）配置，

（二）Console介面登錄

就是使用上圖中的CON口，用RJ45和九針串口的線連接，一頭連接RJ45連接防火墻，另一頭連接電腦的九針的串口，

1. 找一臺帶有視窗的電腦，或者找一根串口轉USB口的線，
2. 在電腦上找一個串口登錄軟體，比如secureCRT，
3. 用串口線連接防火墻和電腦，
4. 設定波特率為9600，
5. 初始的用戶名“admin”，密碼為"admin@huawei.com"，

二、網路常規基本配置

（一）劃分vlan

有八個LAN口（我未用到WLAN口，因為那個光口，我需要網線連接），下面是我的規劃

按照上述規劃，我將做如下配置
首先是出局的基本配置

[USG]interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0]ip address 192.245.0.1 29
[USG-GigabitEthernet0/0/0]quit

然后是配置vlan的基本配置

<USG>system-view 
[USG]vlan 10
[USG-vlan-10]quit 
[USG]interface Vlanif 10
[USG-Vlanif10]ip address 192.168.1.1 24

//這一句命令至關重要，這一句意思是允許這個vlan進行資料轉發業務（注意，不僅僅是ping，還包括各種UDP報文）
[USG-Vlanif10]service-manage ping permit  
[USG-Vlanif10]quit

最后是連接三層交換機的基本配置

[USG]interface GigabitEthernet 0/0/7
[USG-GigabitEthernet0/0/7]ip address 192.245.1.1 29
[USG-GigabitEthernet0/0/7]gateway 192.245.1.2
[USG-GigabitEthernet0/0/7]quit

（二）路由配置

因為我這里規劃了跟三層交換機的連接，以及路由器的連接，因此，這里預備使用ospf同靜態路由搭配使用，
配置ospf，將連接三層交換機的網段，以及本地網段，加入ospf，
注意，連接路由器一般為靜態路由，不配置為ospf，因為在內網中，路由器一般不啟用ospf，因此，需要將靜態路由匯入ospf中，

[USG]ospf 1
[USG-ospf-1]area 0
[USG-ospf-1-area-0.0.0.0]network 192.245.1.0 0.0.0.7
[USG-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[USG-ospf-1-area-0.0.0.0]quit 

//這一句是將靜態路由加入ospf
[USG-ospf-1]import-route static 

//這一句是將直連的路由加入ospf
[USG-ospf-1]import-route direct
[USG-ospf-1]quit 

下面是配置靜態路由，假設將允許內網訪問外部的18.18.X.X網段的資料，需要做如下的靜態路由，

[USG]ip route-static 18.18.0.0 16 192.245.0.2

三、防火墻特殊配置

上述內容為交換機常規配置，但是配置完了上述的內容后，網路并不能通，畢竟這是防火墻，有嚴格的安全控制，在本防火墻中，有三點區別，需要關注，

（一）在路由埠中加入gateway

這個不見得每個版本的防火墻都需要，但是在USG6309E中，需要有此配置，

[USG]interface GigabitEthernet 0/0/0
[USG-GigabitEthernet0/0/0]gateway 192.245.0.2
[USG-GigabitEthernet0/0/0]quit

[USG]interface GigabitEthernet 0/0/7
[USG-GigabitEthernet0/0/7]gateway 192.245.1.2
[USG-GigabitEthernet0/0/7]quit

（二）在vlanif下允許網路流量資料通過

[USG]interface Vlanif 10

//這一句命令至關重要，這一句意思是允許這個vlan進行資料轉發業務（注意，不僅僅是ping，還包括各種UDP報文）
[USG-Vlanif10]service-manage ping permit  
[USG-Vlanif10]quit

（三）將埠（及vlanif）加入指定區域中

這個區域，主要指trust和untrust的區域，這個也是導致防火墻策略起作用的一個關鍵點，防火墻策略將在下一篇文章中講述，故名思意，trust就是可以信任的，untrust就是不可信任的，
局外的當然是不可信任的，所以將局外埠歸類為untrust，局內的當然認為是可信任的，將局內埠歸類為trust，
首先是將G 0/0/0歸入untrust，

[USG]firewall zone untrust
[USG-zone-untrust]add interface GigabitEthernet 0/0/0 
[USG-zone-untrust]quit

其次是將G 0/0/1至G 0/0/6劃入trust

[USG]firewall zone trust
[USG-zone-trust]add interface GigabitEthernet 0/0/1 
[USG-zone-trust]add interface GigabitEthernet 0/0/2
[USG-zone-trust]add interface GigabitEthernet 0/0/3 
[USG-zone-trust]add interface GigabitEthernet 0/0/4 
[USG-zone-trust]add interface GigabitEthernet 0/0/5 
[USG-zone-trust]add interface GigabitEthernet 0/0/6 
[USG-zone-trust]quit

另外，要 特別注意 的是，特別特別注意，要將vlanif，也劃入trust區域中，

[USG]firewall zone trust
[USG-zone-trust]add interface Vlanif 10
[USG-zone-trust]quit

四、整理一些問題

1. 現在的命令是ping permit，那除了IGMP的協議，別的協議，比如UDP之類的組播報文能正常通過嗎？
   答：能通過，
2. 防火墻了不同的區域，untrust和trust之類的，防火墻是只有在跨區域，比如從untrus t到trust之間傳輸資料的時候，才會對資料報文進行過濾嗎？在trust之間，會過濾嗎？
   答：同區域默認放行，如果需要控制，需要將default策略中的命中同域流量開關關閉，
3. 防火墻安全策略里，有一條default策略，默認一切通過，我配置了自己的策略以后，這條策略是不是就默認失效了？
   答：策略從上到下依次匹配，上面的條件沒匹配上會依次向下查詢直到最后一條的default，
4. loopback埠，他不能劃到某個安全區域嗎？
   答：loopback不能劃磁區域，默認local區域，
5. 防火墻的埠怎么設定qos pq和trust dscp？
   答：防火墻現在基本沒有qos的說法，都是做的帶寬策略，dscp重標記也在帶寬策略中做，
6. 交換模式的vlan下面，埠下面不能配置IGMP-snooping的嘛？
   答：防火墻沒有igmp snooping，

五、結語

以上配置僅供參考，在不同型號的防火墻中，配置有差異，但核心思想類似，最重要的是防火墻中與交換機、路由器所不同的部分，當然，其實在較新的交換機中，也可以有類似的防火墻配置，不過各有側重，
另外，根據個人習慣，在網路配置中，也可以通過https登錄網頁進行配置，