0
点赞
收藏
分享

微信扫一扫

配置华为防火墙,这50条命令要100%记住!

左小米z 04-26 12:00 阅读 10

华为防火墙作为企业网络安全的核心防线,其配置命令的熟练掌握是网络工程师的必备技能。本文系统梳理华为防火墙(USG系列)50条高频核心配置命令,涵盖基础配置、安全策略、NAT、VPN等关键场景,助你快速提升运维效率。

一、基础配置类(10条)

  1. 1. system-view
    进入系统视图
  2. 2. sysname FW-01
    重命名设备为FW-01
  3. 3. interface GigabitEthernet 1/0/1
    进入指定接口配置视图
  4. 4. ip address 192.168.1.1 24
    为接口配置IP地址
  5. 5. service-manage enable
    开启接口的HTTP/HTTPS管理权限
  6. 6. display current-configuration
    查看当前运行配置
  7. 7. display version
    查看设备版本信息
  8. 8. save
    保存当前配置
  9. 9. reboot
    重启设备
  10. 10. reset saved-configuration
    清空已保存的配置

二、安全区域与策略(12条)

  1. 11. firewall zone trust
    进入信任区域(Trust)配置视图
  2. 12. add interface GigabitEthernet 1/0/1
    将接口加入当前安全区域
  3. 13. security-policy
    进入安全策略视图
  4. 14. rule name Permit_HTTP
    创建名为Permit_HTTP的策略规则
  5. 15. source-zone trust
    配置源区域为Trust
  6. 16. destination-zone untrust
    配置目的区域为Untrust
  7. 17. source-address 192.168.1.0 24
    指定源IP地址段
  8. 18. destination-address 10.0.0.1 32
    指定目的IP地址
  9. 19. service http
    允许HTTP协议
  10. 20. action permit
    设置动作为允许
  11. 21. rule name Deny_All
    创建默认拒绝规则(必须放在策略末尾)
  12. 22. display security-policy rule all
    查看所有安全策略规则

三、NAT地址转换(10条)

  1. 23. nat-policy
    进入NAT策略视图
  2. 24. rule name NAT_Outbound
    创建出站NAT规则
  3. 25. source-address 192.168.1.0 24
    指定需要转换的源地址
  4. 26. action source-nat
    启用源地址转换
  5. 27. easy-ip GigabitEthernet 1/0/2
    使用接口IP作为NAT地址(动态PAT)
  6. 28. nat server global 202.100.1.1 80 inside 192.168.1.10 80
    配置NAT Server(端口映射)
  7. 29. nat alg ftp enable
    启用FTP协议的ALG功能
  8. 30. display nat session all
    查看NAT会话表
  9. 31. display nat server
    查看NAT Server配置
  10. 32. reset nat session
    清除NAT会话表

四、VPN配置(8条)

  1. 33. ipsec policy my_policy 1 manual
    创建IPSec策略(手动模式)
  2. 34. proposal my_proposal
    配置IPSec提议(加密算法)
  3. 35. esp authentication-algorithm sha2-256
    设置ESP认证算法为SHA-256
  4. 36. ike peer my_peer
    配置IKE对等体
  5. 37. pre-shared-key cipher My@Key123
    设置预共享密钥
  6. 38. ike-proposal 10
    配置IKE提议(阶段1参数)
  7. 39. display ike sa
    查看IKE SA状态
  8. 40. display ipsec sa brief
    查看IPSec SA摘要

五、高可用性(HA)与日志(6条)

  1. 41. hrp enable
    启用HRP(华为冗余协议)
  2. 42. hrp interface GigabitEthernet 1/0/3
    指定HRP心跳接口
  3. 43. hrp standby-device
    切换设备为备机状态
  4. 44. info-center enable
    启用日志功能
  5. 45. info-center loghost 192.168.1.100
    配置日志服务器地址
  6. 46. terminal monitor
    开启控制台实时日志显示

六、高级安全防护(4条)

  1. 47. firewall defend land-attack enable
    防御LAND GJ
  2. 48. firewall defend ip-fragment enable
    启用IP分片 GJ 防护
  3. 49. blacklist enable
    启用黑名单功能
  4. 50. firewall session link-state check enable
    开启会话状态检测


举报

相关推荐

0 条评论