华三防火墙固定IP配置实战：从接口设置到内网访问外网全解析

1. 华三防火墙固定IP配置前的准备工作

第一次接触华三防火墙时，我被它丰富的接口类型和复杂的配置选项弄得有点懵。后来才发现，只要理清楚网络拓扑和接口规划，配置过程就会顺利很多。先说说我在实际项目中总结的准备工作经验。

网络拓扑规划是首要任务。我习惯用Visio画出简单的拓扑图，标清楚外网接口、内网接口的物理连接方式。比如外网接口接运营商光猫，内网接口接核心交换机。这里有个小技巧：用不同颜色的网线区分内外网接口，能有效避免后期插错端口的尴尬。

接口选择方面，华三防火墙通常有多个千兆/万兆接口。我建议把第一个千兆口（GigabitEthernet 1/0/1）作为外网口，第二个口（GigabitEthernet 1/0/2）作为内网口。记得提前确认运营商提供的IP信息，包括公网IP、子网掩码、网关和DNS。有次我遇到个坑，运营商给的子网掩码是/30，换算成255.255.255.252，差点配错。

登录方式有两种选择：Web界面和命令行。新手建议先用Web界面，图形化操作更直观。首次登录时，用网线连接防火墙的MGMT口（如果有）或者默认配置了IP的接口（通常是192.168.0.1），浏览器访问https://192.168.0.1。默认账号admin，密码admin，首次登录会强制修改密码。这里提醒下，新密码要包含大小写字母和数字，比如"H3c@2023"这种组合。

2. 外网接口的详细配置过程

外网接口配置是上网的关键。我遇到过不少同事在这个环节出错，导致整个内网无法访问外网。下面分享命令行和Web两种配置方式，建议新手先从Web界面入手。

Web界面配置相对简单：

1. 登录后进入"网络"→"接口"，找到外网接口（比如GE1/0/1）
2. 点击编辑，工作模式选择"路由模式"（三层模式）
3. IP地址类型选"静态IP"，输入运营商提供的公网IP和子网掩码
4. 安全域选择"Untrust"，这是华三防火墙对外网区域的默认命名
5. 高级选项中建议勾选"允许ping"，方便后期排查故障

命令行配置更高效，适合批量操作：

system-view interface GigabitEthernet 1/0/1 description To_Internet # 添加描述是个好习惯 ip address 58.57.155.74 255.255.255.252 # 根据实际IP修改 quit

配置完成后，建议立即测试外网连通性：

ping 58.57.155.73 # 测试网关是否可达 ping 114.114.114.114 # 测试DNS是否可达

如果发现ping不通，先检查物理连接，再确认IP配置是否正确。有个常见错误是把子网掩码配错，比如把/30配成255.255.255.0。可以用display interface brief命令查看接口状态，确认接口物理和协议状态都是up。

3. 内网接口与安全域配置技巧

内网接口配置直接影响内部用户的上网体验。我建议采用"先规划后配置"的方法，避免后期频繁调整。

IP地址规划要考虑未来发展。比如当前有50台终端，可以分配192.168.10.0/24网段（254个可用IP）。如果预计会超过250台设备，建议直接用192.168.0.0/22这样的大网段。我在一个项目中就吃过亏，开始用/24网段，后来设备增加到300多台，不得不重新规划IP。

Web界面配置步骤：

1. 进入"网络"→"接口"，选择内网接口（如GE1/0/2）
2. 工作模式选"路由模式"
3. 输入内网IP，比如192.168.10.1/24
4. 安全域选择"Trust"，这是华三对内网区域的默认命名
5. 可以开启DHCP服务，自动分配IP给内网用户

命令行配置示例：

interface GigabitEthernet 1/0/2 description Internal_Network ip address 192.168.10.1 255.255.255.0 quit

安全域配置是华三防火墙的特色功能。默认有三个安全域：

• Local：防火墙本身
• Trust：内网受信区域
• Untrust：外网非受信区域

把接口加入对应安全域：

security-zone name Trust import interface GigabitEthernet 1/0/2 quit

有个实用技巧：可以用display security-zone命令查看所有安全域及关联接口，确保配置正确。曾经有次我把内网接口误加入Untrust域，导致内网用户无法上网，排查了半天才发现这个问题。

4. NAT转换与路由配置实战

NAT转换是内网访问外网的核心技术。华三防火墙支持多种NAT方式，最常用的是基于接口的出方向NAT。

配置出方向NAT：

interface GigabitEthernet 1/0/1 # 外网接口 nat outbound # 启用NAT quit

这条命令会让内网IP通过外网接口访问外网时自动做地址转换。测试时可以在内网电脑上访问ip138.com，查看显示的IP是否是公网IP。

静态路由配置同样重要。缺省路由是必须的：

ip route-static 0.0.0.0 0 58.57.155.73 # 下一跳是运营商网关

如果是多出口环境，还需要配置策略路由。我遇到过一个案例，客户有电信和联通双线，需要根据目的IP走不同线路，这时就需要配置策略路由。

DNS配置容易被忽视但很重要：

dns server 114.114.114.114 dns server 8.8.8.8

可以用display nat session命令查看NAT会话，确认转换是否成功。常见问题有NAT未生效导致内网无法上网，通常是忘记在外网接口启用nat outbound，或者安全策略没放行。

5. 安全策略与域间访问控制

安全策略是防火墙的核心功能。华三防火墙的域间策略控制不同安全域之间的访问权限。

基础策略配置：

object-policy ip pass # 创建允许策略 rule 0 pass # 允许所有IP流量 quit # 允许Trust到Untrust的访问 zone-pair security source Trust destination Untrust object-policy apply ip pass quit # 允许Local到Trust的访问（管理需要） zone-pair security source Local destination Trust object-policy apply ip pass quit

在实际项目中，我建议采用"最小权限原则"，只开放必要的访问权限。比如只允许内网用户访问外网的80、443端口：

object-policy ip web-only rule 0 permit tcp destination-port eq 80 rule 1 permit tcp destination-port eq 443 quit

高级技巧：

1. 使用display zone-pair security命令查看所有域间策略
2. 配置日志功能，记录被拒绝的访问尝试
3. 定期审查安全策略，删除不再需要的规则

有个客户曾经反映内网访问外网FTP服务器失败，排查发现是安全策略只放了80/443端口，增加FTP的21端口规则后问题解决。这说明精确控制虽然安全，但也需要根据实际业务需求调整。

6. 配置保存与日常维护建议

配置完成后，千万别忘记保存！我有次配完测试正常就下班了，结果设备意外重启，所有配置丢失，不得不从头再来。

保存配置命令：

save

日常维护建议：

1. 定期备份配置（display current-configuration > config.txt）
2. 监控CPU和内存使用率（display cpu-usage / display memory）
3. 查看会话数（display session statistics）
4. 定期检查日志（display logbuffer）

排错技巧：

1. ping测试各段连通性
2. traceroute查看路径
3. 使用display arp检查ARP表
4. 查看接口计数（display interface counters）

最后提醒，华三防火墙的配置变更需要时间生效，重大变更建议在业务低峰期进行。配置完成后，建议用内网电脑实际访问外网网站测试，确保所有功能正常。