华为 防火墙直连互通配置：实现双防火墙 Ping 通

一、前言在网络工程中两台防火墙直连互通是最基础的组网场景之一也是防火墙策略配置的入门必练项目。很多同学刚接触防火墙时会遇到 “接口配了 IP 却 Ping 不通” 的问题核心原因就是安全策略、区域划分、服务管理这几个关键点没配置到位。今天就以华为 USG6000 系列防火墙为例手把手带你完成两台防火墙直连互通的完整配置拆解每一条命令的作用彻底搞懂防火墙策略的核心逻辑。二、组网拓扑本次实验采用两台防火墙直连的极简组网拓扑如下FW1GE1/0/0 接口IP 地址192.168.1.2/24FW2GE1/0/1 接口IP 地址192.168.1.5/24两台防火墙通过网线直连接口属于同网段最终实现 FW1 与 FW2 互相 Ping 通。三、核心配置思路必看在配置前先明确 3 个核心原则这是防火墙互通的关键直连接口必须同网段两台防火墙直连的接口 IP必须在同一个子网内否则二层无法通信。安全策略双向放行Ping 是双向流量请求 响应必须配置去程 回程两条策略缺一不可。接口需加入安全区域防火墙接口默认不属于任何区域必须将接口加入信任区域trust才能通过策略放行流量。开启接口 Ping 服务防火墙默认禁止接口被 Ping需手动开启service-manage ping permit。四、完整配置步骤1. FW1 完整配置命令运行# 进入GE1/0/0接口开启接口 interface GigabitEthernet1/0/0 undo shutdown # 配置接口IP地址 ip address 192.168.1.2 255.255.255.0 # 允许接口被Ping关键默认禁止 service-manage ping permit # # 将接口加入trust安全区域 firewall zone trust add interface GigabitEthernet1/0/0 # # 配置安全策略放行ICMPPing流量 security-policy # 策略1FW1本地→FW2去程Ping请求 rule name aa source-zone local destination-zone trust service icmp action permit # 策略2FW2→FW1本地回程Ping响应 rule name bb source-zone trust destination-zone local service icmp action permit #2. FW2 完整配置命令运行# 进入GE1/0/1接口开启接口 interface GigabitEthernet1/0/1 undo shutdown # 配置接口IP地址与FW1同网段 ip address 192.168.1.5 255.255.255.0 # 允许接口被Ping service-manage ping permit # # 将接口加入trust安全区域 firewall zone trust add interface GigabitEthernet1/0/1 # # 配置安全策略放行ICMPPing流量 security-policy # 策略1FW2本地→FW1去程Ping请求 rule name aa source-zone local destination-zone trust service icmp action permit # 策略2FW1→FW2本地回程Ping响应 rule name bb source-zone trust destination-zone local service icmp action permit #五、命令逐行详解小白必看1. 接口配置命令表格命令作用undo shutdown开启接口防火墙接口默认关闭必须手动开启ip address 192.168.1.2 255.255.255.0给接口配置 IP 地址两台接口必须同网段service-manage ping permit允许该接口被 Ping防火墙默认禁止接口响应 Ping 请求2. 区域配置命令表格命令作用firewall zone trust进入 trust信任安全区域用于放行内部 / 直连的可信流量add interface GigabitEthernet1/0/0将接口加入 trust 区域只有加入区域的接口才能通过安全策略管控3. 安全策略命令核心防火墙的安全策略是 **“五元组 动作”的逻辑核心是源区域、目的区域、服务、动作 **rule name aa给策略命名方便后续管理source-zone local源区域为local代表防火墙自身destination-zone trust目的区域为trust代表直连的接口区域service icmp放行 ICMP 协议Ping 的底层协议就是 ICMPaction permit动作是允许放行该流量为什么要配两条策略Ping 是双向流量FW1 Ping FW2源是 FW1 本地local目的是 FW2trust 区域FW2 回包给 FW1源是 FW2trust 区域目的是 FW1 本地local两条策略分别放行去程和回程流量才能实现 Ping 通。六、验证结果配置完成后在 FW1 上 Ping FW2 的 IP 地址192.168.1.5结果如下运行[USG6000V1]ping 192.168.1.5 PING 192.168.1.5: 56 data bytes, press CTRL_C to break Reply from 192.168.1.5: bytes56 Sequence1 ttl255 time1 ms Reply from 192.168.1.5: bytes56 Sequence2 ttl255 time1 ms Reply from 192.168.1.5: bytes56 Sequence3 ttl255 time1 ms Reply from 192.168.1.5: bytes56 Sequence4 ttl255 time1 ms Reply from 192.168.1.5: bytes56 Sequence5 ttl255 time1 ms --- 192.168.1.5 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max 1/1/1 ms可以看到5 个数据包全部收发成功丢包率 0%两台防火墙成功互通七、常见问题排查1. Ping 不通大概率是这几个问题接口 IP 不在同网段检查两台接口的 IP 和子网掩码确保在同一个子网接口未开启忘记配置undo shutdown接口处于 down 状态未开启 Ping 服务忘记配置service-manage ping permit防火墙不响应 Ping安全策略缺失只配了去程策略没配回程策略回包被防火墙拦截接口未加入区域接口没加入 trust 区域流量无法通过策略管控八、总结通过本次实验我们掌握了华为防火墙直连互通的完整配置核心就是✅ 接口同网段 开启 允许 Ping✅ 接口加入安全区域✅ 双向安全策略放行 ICMP 流量这是防火墙最基础的配置也是后续复杂组网如 NAT、VPN、多区域互联的基础建议大家亲手在 eNSP 模拟器中实操一遍彻底吃透防火墙策略的逻辑。