H3C防火墙作为企业网络边界安全的核心设备,其配置的合理性和准确性直接决定了网络的防护能力。不过,防火墙功能复杂、命令繁多,新手工程师往往难以快速掌握核心配置技巧。本文精选30条H3C防火墙必学命令,覆盖基础配置、安全策略、NAT、VPN、高可用性等场景,配合详细示例与原理讲解,助你从入门到精通!
一、基础配置篇:网络连通与设备管理
- system-view
用途:进入系统视图,开始配置防火墙。
<H3C> system-view
[H3C]
- sysname
用途:修改设备名称,便于管理。
语法:sysname <name>
[H3C] sysname FW-Core
[FW-Core]
- interface GigabitEthernet 1/0/1
用途:进入接口视图,配置物理接口参数。
[FW-Core] interface GigabitEthernet 1/0/1
[FW-Core-GigabitEthernet1/0/1] ip address 192.168.1.1 24
[FW-Core-GigabitEthernet1/0/1] undo shutdown # 启用接口
- display interface brief
用途:快速查看所有接口状态与IP地址。
- save
用途:保存当前配置到启动文件,避免重启丢失。
二、安全策略篇:精准控制流量
- security-zone name
用途:创建安全区域(如Trust、Untrust、DMZ)。
[FW-Core] security-zone name Trust
[FW-Core] security-zone name Untrust
- zone-pair security
用途:定义安全区域间的流量方向(源到目的)。
示例(允许Trust到Untrust的流量):
[FW-Core] zone-pair security source Trust destination Untrust
- object-policy
用途:配置对象策略(匹配流量特征并执行动作)。
示例(允许HTTP流量):
[FW-Core] object-policy ip permit_http
[FW-Core-object-policy-ip-permit_http] rule 0 permit tcp destination-port eq 80
[FW-Core-object-policy-ip-permit_http] quit
- packet-filter
用途:应用ACL进行流量过滤。
示例(禁止特定IP访问):
[FW-Core] acl number 3000
[FW-Core-acl-adv-3000] rule 0 deny ip source 10.1.1.100 0
[FW-Core-acl-adv-3000] quit
[FW-Core] packet-filter 3000 inbound
- aspf policy
用途:启用ASPF(状态检测)支持多通道协议(如FTP)。
[FW-Core] aspf policy 1
[FW-Core-aspf-policy-1] detect ftp
[FW-Core-aspf-policy-1] quit
[FW-Core] aspf apply policy 1
三、NAT配置篇:地址转换与端口映射
- nat address-group
用途:定义NAT地址池。
[FW-Core] nat address-group 1
[FW-Core-address-group-1] address 202.100.1.10 202.100.1.20
- nat outbound
用途:配置源地址转换(动态PAT)。
示例(内网用户通过地址池访问外网):
[FW-Core] acl number 2000
[FW-Core-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[FW-Core] interface GigabitEthernet 1/0/2 # 外网接口
[FW-Core-GigabitEthernet1/0/2] nat outbound 2000 address-group 1
- nat server
用途:配置端口映射(发布内部服务器)。
示例(发布内网Web服务器):
[FW-Core] interface GigabitEthernet 1/0/2
[FW-Core-GigabitEthernet1/0/2] nat server protocol tcp global 202.100.1.100 80 inside 192.168.1.100 80
四、VPN配置篇:构建加密隧道
- ipsec proposal
用途:定义IPSec加密提案(算法组合)。
[FW-Core] ipsec proposal vpn_proposal1
[FW-Core-ipsec-proposal-vpn_proposal1] encapsulation-mode tunnel
[FW-Core-ipsec-proposal-vpn_proposal1] esp encryption-algorithm aes 256
[FW-Core-ipsec-proposal-vpn_proposal1] esp authentication-algorithm sha1
- ike proposal
用途:配置IKE阶段1协商参数。
[FW-Core] ike proposal 10
[FW-Core-ike-proposal-10] encryption-algorithm aes 256
[FW-Core-ike-proposal-10] dh group14
- ike peer
用途:定义对端VPN设备信息。
[FW-Core] ike peer branch_office
[FW-Core-ike-peer-branch_office] pre-shared-key abc123
[FW-Core-ike-peer-branch_office] remote-address 203.0.113.5
五、高可用性篇:保障业务连续性
- hrp enable
用途:启用双机热备功能(需配合HRP协议)。
- hrp standby-device
用途:指定备机设备。
- vrrp vrid
用途:配置VRRP虚拟路由器组。
[FW-Core] interface Vlan-interface10
[FW-Core-Vlan-interface10] vrrp vrid 1 virtual-ip 192.168.1.254
[FW-Core-Vlan-interface10] vrrp vrid 1 priority 120 # 主设备优先级
六、日志与监控篇:快速定位问题
- info-center enable
用途:启用日志功能。
- info-center loghost
用途:配置日志服务器地址。
[FW-Core] info-center loghost 192.168.1.100
- display session table
用途:查看当前会话表,分析流量状态。
- display firewall statistic system
用途:统计防火墙处理流量信息。
七、进阶配置命令
- qos apply policy
用途:应用QoS策略限制带宽。
- user-identity enable
用途:启用用户身份认证(如与AD域集成)。
- attack-defense policy
用途:配置防攻击策略(如防SYN Flood)。
感谢您的提醒!以下是补充的4条重大命令,确保文章完整覆盖30条核心命令:
- ip route-static
用途:配置静态路由,确保流量正确转发。
示例(添加默认路由):
[FW-Core] ip route-static 0.0.0.0 0.0.0.0 202.100.1.1
- firewall packet-filter default deny
用途:设置默认包过滤策略为拒绝,增强安全性。
[FW-Core] firewall packet-filter default deny
- snmp-agent
用途:启用SNMP协议,便于网络监控工具(如Zabbix、PRTG)采集数据。
[FW-Core] snmp-agent
[FW-Core] snmp-agent community read public
[FW-Core] snmp-agent sys-info version all
- display cpu-usage
用途:查看设备CPU利用率,快速定位性能瓶颈。
扩展:结合 display memory-usage 和 display session table 综合分析设备负载。
通过掌握这30条核心命令,你将能够高效完成H3C防火墙的部署与维护,成为企业网络安全的中流砥柱!
- 最新
- 最热
只看作者