网管跑了，网络也瘫痪了——华为防火墙重置密码并重新配置

临近年底，网管年终奖都没拿，直接跑了，网络也给整瘫痪了，这是有多大仇啊。

华为USG5000统一安全网关：Secoway USG5120BSR，这玩意是当年华为和赛门铁克联合出品的，能够为用户提供防火墙、防入侵、反病毒、反垃圾邮件、URL过滤等多项安全功能，提供全方位的网络安全防护，保障网络高效运行。

当年用得起这家伙的，也算是舍得花钱的主，不过，外部的危险防住了，到头来却被内鬼破坏了，看来内部管理也得加强啊。

如今这年代，没网差不多就是半停工状态，想必客户已经期待已久，废话不多说，直接上手吧，连接Console线，找支笔顶住Reset键，大概30秒后，灯全灭，然后又亮，伴随着“直升机起飞”的声音，笔记本电脑屏幕上显示设备正在启动。

出现“Press

Ctrl+B to Enter Main Menu...”的时候，快速按下Ctrl+B，然后出现“Password：”，莫慌，这不是管理员密码，此时需输入BootROM密码：O&m15213，随后就进入BootROM菜单了。

此时输入数字6，即选<6> Reset Factory Configuration，恢复出厂设置，需要注意的是，客户要求我们全部重新配置，所以选择此项，如果只是需要重置管理员密码，那么此时应该按下Ctrl+Z进入隐藏菜单，输入“Recover Console Password”对应的数字序号即可。

系统提示：此操作将丢失当前配置，选择“Yes”就继续，此时输入数字1。

这里没什么好说的，输入数字1，启动系统。

根据以往经验，重新进入系统后，必须马上修改密码，否则登录超时或重启后又得重来一遍!

笔记本电脑网卡配置IP地址：192.168.0.2，子网掩255.255.255.0，然后网线连接到防火墙的G0/0/0口，打开浏览器，输入https：192.168.1.1:8443

看看吧， 还是熟悉的味道、熟悉的配方。

配置内网接口：设定G0/0/1为内网口，IP地址为192.168.10.1；

配置外网接口：设定G0/0/3为外网口，IP地址为运营商提供的固定IP；

注意把接口放到相应的安全区域，望文知义：内网口当然是Trust区域，外网口当然就是Untrust区域了

新建安全策略：Trust2Untrust，源安全区域Trust，目的安全区域Untrust，动作为permit，意思很明显，内网到外网的通信是被允许的；注意，Untrust2Trust的安全策略，应该设置为deny，禁止外网无限制地访问内网。

配置NAT，实现内网用户访问互联网，源安全区域：Trust，目的安全区域：Untrust，源地址：192.168.10.0/24，动作：NAT转换，将源地址转换为：出接口IP地址

当然，不能忘记配置默认路由，否则还是上不了外网，这里的下一跳地址就是运营商给的网关地址；

此时，外网恢复，笔记本电脑改回自动获取IP地址，接入核心交换机：华为S5700-28P，还算好，配置应该没丢，正常获取到IP，并且能够访问互联网。

先通知客户，网络已恢复，我们接着干活：发布内网服务器，下面以发布Windows Server的远程桌面为例说明。

新建虚拟服务器，外部地址直接选择外网接口即可，内部地址填写服务器的IP地址，勾选“端口转换”，协议选择“TCP”，以安全起见，外部端口强烈建议使用自定义端口，不要使用服务默认的端口，内部端口填写实际上使用的端口，这里是远程桌面，所以填写为3389。

新建一条与之匹配的安全策略，否则外网是无法访问这台服务器的，因为我们前面把Untrust2Trust改为deny了。

做完以后，保证这条策略在deny策略的上面，否则就是无效策略了。

至于其他服务器的其他端口需要映射到外网，那就以此类推了，只是安全策略必须一一对应匹配。

全部配置完毕后，注意点“保存”，否则设备一旦重启，所有配置全部丢失

我的常规操作是，保存配置后，再导出配置文件到电脑，哪天真有问题，直接导入配置就行了，省了很多麻烦。每次变更配置，也可以导出一份，相信我，越多的配置文件，使你能更轻松地应对各种问题。