华为防火墙作为企业网络安全的核心防线,其配置命令的熟练掌握是网络工程师的必备技能。本文系统梳理华为防火墙(USG系列)50条高频核心配置命令,涵盖基础配置、安全策略、NAT、VPN等关键场景,助你快速提升运维效率。
一、基础配置类(10条)
- 1. system-view
进入系统视图
- 2. sysname FW-01
重命名设备为FW-01
- 3. interface GigabitEthernet 1/0/1
进入指定接口配置视图
- 4. ip address 192.168.1.1 24
为接口配置IP地址
- 5. service-manage enable
开启接口的HTTP/HTTPS管理权限
- 6. display current-configuration
查看当前运行配置
- 7. display version
查看设备版本信息
- 8. save
保存当前配置
- 9. reboot
重启设备
- 10. reset saved-configuration
清空已保存的配置
二、安全区域与策略(12条)
- 11. firewall zone trust
进入信任区域(Trust)配置视图
- 12. add interface GigabitEthernet 1/0/1
将接口加入当前安全区域
- 13. security-policy
进入安全策略视图
- 14. rule name Permit_HTTP
创建名为Permit_HTTP的策略规则
- 15. source-zone trust
配置源区域为Trust
- 16. destination-zone untrust
配置目的区域为Untrust
- 17. source-address 192.168.1.0 24
指定源IP地址段
- 18. destination-address 10.0.0.1 32
指定目的IP地址
- 19. service http
允许HTTP协议
- 20. action permit
设置动作为允许
- 21. rule name Deny_All
创建默认拒绝规则(必须放在策略末尾)
- 22. display security-policy rule all
查看所有安全策略规则
三、NAT地址转换(10条)
- 23. nat-policy
进入NAT策略视图
- 24. rule name NAT_Outbound
创建出站NAT规则
- 25. source-address 192.168.1.0 24
指定需要转换的源地址
- 26. action source-nat
启用源地址转换
- 27. easy-ip GigabitEthernet 1/0/2
使用接口IP作为NAT地址(动态PAT)
- 28. nat server global 202.100.1.1 80 inside 192.168.1.10 80
配置NAT Server(端口映射)
- 29. nat alg ftp enable
启用FTP协议的ALG功能
- 30. display nat session all
查看NAT会话表
- 31. display nat server
查看NAT Server配置
- 32. reset nat session
清除NAT会话表
四、VPN配置(8条)
- 33. ipsec policy my_policy 1 manual
创建IPSec策略(手动模式)
- 34. proposal my_proposal
配置IPSec提议(加密算法)
- 35. esp authentication-algorithm sha2-256
设置ESP认证算法为SHA-256
- 36. ike peer my_peer
配置IKE对等体
- 37. pre-shared-key cipher My@Key123
设置预共享密钥
- 38. ike-proposal 10
配置IKE提议(阶段1参数)
- 39. display ike sa
查看IKE SA状态
- 40. display ipsec sa brief
查看IPSec SA摘要
五、高可用性(HA)与日志(6条)
- 41. hrp enable
启用HRP(华为冗余协议)
- 42. hrp interface GigabitEthernet 1/0/3
指定HRP心跳接口
- 43. hrp standby-device
切换设备为备机状态
- 44. info-center enable
启用日志功能
- 45. info-center loghost 192.168.1.100
配置日志服务器地址
- 46. terminal monitor
开启控制台实时日志显示
六、高级安全防护(4条)
- 47. firewall defend land-attack enable
防御LAND GJ
- 48. firewall defend ip-fragment enable
启用IP分片 GJ 防护
- 49. blacklist enable
启用黑名单功能
- 50. firewall session link-state check enable
开启会话状态检测