哈尔滨泽誉教育
华为防火墙的配置指令
安全 1次浏览
2025-07-30 09:43

配置华为防火墙命令

一、系统基础配置

  1. 进入系统视图
    system-view

  2. 设置设备名称
    sysname [name]

  3. 查看当前配置
    display current-configuration

  4. 保存配置
    save

  5. 查看设备版本信息
    display version

  6. 查看接口状态
    display interface brief

  7. 配置时钟时区
    clock timezone [时区名称] add/minus [小时数]

  8. 配置SSH登录
    ssh user [username] authentication-type password
    ssh client enable

  9. 配置Telnet登录
    telnet server enable
    user-interface vty 0 4
    authentication-mode password

  10. 配置管理口IP
    interface GigabitEthernet 0/0/0
    ip address [IP地址] [子网掩码]

  1. 接口与安全区域

  1. 将接口加入安全区域
    firewall zone [trust/untrust/dmz]
    add interface [接口名称]

  1. 配置接口IP地址
    interface [接口名称]
    ip address [IP地址] [子网掩码]

  1. 开启/关闭接口
    shutdown(关闭)
    undo shutdown(开启)

  1. 配置接口描述
    description [描述信息]

  1. 查看安全区域绑定
    display zone [zone名称]

  1. 安全策略

  1. 创建安全策略规则
    security-policy
    rule name [规则名称]
    source-zone [源区域]
    destination-zone [目标区域]
    source-address [IP地址] [掩码]
    destination-address [IP地址] [掩码]
    action permit/deny

  1. 启用默认拒绝所有流量
    security-policy
    default action deny

  1. 查看安全策略列表
    display security-policy all

  1. 配置基于服务的策略
    service [服务名称]
    protocol tcp/udp
    source-port [端口]
    destination-port [端口]

  1. 配置策略生效时间
    time-range [时间段名称]
    periodic [时间范围]
    rule中引用:time-range [时间段名称]

四、NAT配置

  1. 配置源NAT(动态PAT)
    nat-policy
    rule name [规则名称]
    source-zone [源区域]
    destination-zone [目标区域]
    action source-nat easy-ip(使用接口IP)

  2. 配置静态NAT(一对一映射)
    nat static global [公网IP] inside [内网IP]

  3. 配置端口映射(NAT Server)
    nat server [协议] global [公网IP] [端口] inside [内网IP] [端口]

  4. 查看NAT会话表
    display nat session all

  5. NAT地址池配置
    nat address-group [地址池名称]
    section [起始IP] [结束IP]

五、VPN配置

  1. 创建IPSec VPN隧道
    ipsec policy [策略名称]
    proposal [提议名称]
    ike-peer [对端名称]
    tunnel local [本端IP]
    tunnel remote [对端IP]

  2. 配置IKE提议
    ike proposal [提议名称]
    encryption-algorithm aes-256
    dh group14
    authentication-algorithm sha2-256

  3. 配置预共享密钥
    ike peer [对端名称]
    pre-shared-key [密钥]

  4. 查看IPSec状态
    display ipsec session all

  5. 配置L2TP VPN
    interface Virtual-Template 1
    ppp authentication-mode chap
    l2tp enable

六、路由与网关

  1. 配置静态路由
    ip route-static [目标网段] [掩码] [下一跳IP]

  2. 查看路由表
    display ip routing-table

  3. 配置默认网关
    ip route-static 0.0.0.0 0.0.0.0 [下一跳IP]

  4. 配置策略路由(PBR)
    policy-based-route [策略名称] permit node 10
    apply ip-address next-hop [下一跳IP]


七、高可用性(HA)

  1. 配置VRRP虚拟IP
    interface [接口名称]
    vrrp vrid [ID] virtual-ip [虚拟IP]
    vrrp vrid [ID] priority [优先级]

  2. 启用双机热备(主备模式)
    hrp enable
    hrp interface [接口名称] remote [对端IP]

  3. 查看HRP状态
    display hrp state

  1. 日志与监控

  1. 配置日志主机
    info-center enable
    info-center loghost [IP地址] facility local6

  1. 查看实时日志
    terminal monitor
    terminal logging

  1. 查看会话表
    display firewall session table

  1. 清除会话表
    reset firewall session table


九、对象与服务定义

  1. 定义地址对象
    address-set [对象名称] type object
    address [IP地址] [掩码]

  2. 定义服务对象
    service-set [服务名称]
    service [协议] source-port [端口] destination-port [端口]

  3. 定义时间段对象
    time-range [名称] [起始时间] to [结束时间] daily

十、其他实用命令

  1. Ping测试连通性
    ping [IP地址]

  2. Tracert路径追踪
    tracert [IP地址]

  3. 重启防火墙
    reboot

  4. 恢复出厂设置
    reset saved-configuration
    reboot

  5. 查看CPU/内存利用率
    display cpu-usage
    display memory-usage

  6. 配置DHCP服务
    dhcp enable
    dhcp select interface

注意事项

  1. 命令上下文:大部分配置需在system-view下执行。

  2. 版本差异:不同版本的防火墙OS可能略有差异,建议参考官方文档。

  3. 备份配置:修改前使用save保存配置,重大变更前建议备份。



更多知识推荐 全部
华为ICT大赛-升腾赛道2024-2025复习题
待解锁
考取了华为HCIP\HCIE认证的应届毕业生应该怎么写简历
免费阅读
应届毕业生求职面试---宝典
待解锁
毕业生面试技巧大全.docx

哈尔滨泽誉教育

共创智能世界的无限精彩
咨询电话:
18704659806
点击拨打
校区地址:
哈尔滨经开区哈平路集中区大连北路镜泊路角严格集团b2座
共2所校区

版权所有:哈尔滨泽誉教育

技术支持:

知效 JoySift