防火墙命令手册

路由器/防火墙命令行手册REV1.0.11910040990声明Copyright © 2021 普联技术有限公司版权所有，保留所有权利未经普联技术有限公司明确书面许可，任何单位或个人不得擅自仿制、复制、誊抄或转译本手册部分或全部内容，且不得以营利为目的进行任何方式（电子、影印、录制等）的传播。

为普联技术有限公司注册商标。

本手册提及的所有商标，由各自所有人拥有。

本手册所提到的产品规格和资讯仅供参考，如有内容更新，恕不另行通知。

除非有特殊约定，本手册仅作为使用指导，所作陈述均不构成任何形式的担保。

目录第1章命令行使用指导 (1)1.1使用命令行 (1)通过Console口进行本地登录 (1)1.2命令行格式约定 (1)基本格式约定 (1)特殊字符 (2)参数格式 (2)第2章用户界面 (3)2.1enable (3)2.2enable password (3)2.3enable secret (4)2.4configure (5)2.5exit (5)2.6show history (6)2.7clear history (6)第3章HTTP和HTTPS配置命令 (7)3.1show ip http configuration (7)3.2show ip http secure-server (7)第4章系统配置命令 (8)4.1reset (8)4.2reboot (8)4.3copy running-config startup-config (9)4.4ping (9)4.5tracert (10)4.6show system-info (10)第5章特征库管理配置命令 (12)5.1update restore sdb-default (12)5.2show version (12)第6章License管理配置命令 (14)6.1license revoke (14)6.2show license (14)6.3show license revoke-ticket (14)第7章业务感知引擎配置命令 (16)7.1sa acceleration (16)7.2no sa acceleration (16)7.3show sa acceleration (17)第1章命令行使用指导1.1 使用命令行用户可以通过Console口进行本地登录路由器或防火墙来使用命令行，本手册命令行以TL-FW6600为例进行说明。

RG-Wall防火墙命令行手册(V1.0)（内部资料，严禁复制）福建星网锐捷网络有限公司版权所有侵权必究锐捷网络产品部测试中心第1页，共197页目录RG-Wall防火墙命令行手册 (1)1.导言 (8)1.1.本书适用对象 (8)1.2.手册章节组织 (8)1.3.登录命令行页面 (9)1.4.命令行概述 (10)1.5.相关参考手册 (13)2.2系统配置 (14)2.1.系统时钟systime (14)2.2.系统启动和运行时间runtime (15)2.3.超时退出时间timeout (15)2.4.时钟服务器timesrv (16)2.5.升级许可sysupdate (17)2.6.系统配置syscfg (18)2.7.报警邮箱mngmailbox (20)2.8.日志服务器logsrv (21)2.9.域名服务器dns (22)3.管理配置 (23)3.1.管理方式mngmode (23)锐捷网络产品部测试中心第2页，共197页3.2.管理主机mnghost (24)3.3.系统主机名dns (24)3.4.管理员帐号mngacct (25)3.5.管理员口令mngpass (27)3.6.管理员证书mngcert (27)3.7.集中管理mngglobal (29)3.8.初始配置向导fastsetup (32)4.网络配置 (34)4.1.网络接口sysif (34)4.2.接口IP地址sysip (37)4.3.策略路由route (38)4.4.ADSL拨号adsl (41)4.5.DHCP配置 (43)4.5.1.DHCP服务器dhcpserver (43)4.5.2.DHCP客户端dhcpclient (47)4.5.3.DHCP中继dhcprelay (47)5.VPN配置 (49)VPN 命令概述 (49)5.1.VPN基本配置 (50)5.1.1.设置基本参数 (50)5.1.2.显示基本参数 (51)5.1.3.设置DHCP over IPSec信息 (51)5.1.4.显示DHCP over IPSec信息 (52)锐捷网络产品部测试中心第3页，共197页5.1.5.VPN模块启动、停止 (52)5.2.VPN客户端分组 (53)5.2.1.添加VPN客户端分组 (53)5.2.2.设置VPN客户端分组 (54)5.2.3.删除VPN分组 (55)5.3.远程VPN配置 (56)5.3.1.添加远程VPN (56)5.3.2.设置远程VPN (63)5.3.3.显示远程VPN网关 (68)5.3.4.删除网关 (69)5.3.5.网关生效 (69)5.3.6.网关失效 (70)5.4.隧道配置 (70)5.4.1.添加隧道 (70)5.4.2.设置隧道 (72)5.4.3.显示隧道 (73)5.4.4.删除隧道 (73)5.4.5.隧道生效 (74)5.4.6.隧道失效 (74)5.5.VPN设备 (75)5.5.1.添加虚设备 (75)5.5.2.编辑虚设备 (75)5.5.3.删除虚设备 (76)5.5.4.显示虚设备 (76)5.6.证书管理 (76)锐捷网络产品部测试中心第4页，共197页5.6.1.显示证书 (77)5.6.2.删除证书 (77)5.7.PPTP/L2TP配置 (78)5.7.1.服务器配置pptpserver (78)5.7.2.拨号用户pptpuser (79)6.对象定义 (82)6.1.地址defaddr (82)6.2.地址组defaddrgrp (83)6.3.服务器地址defsrvaddr (84)6.4.NAT地址池defaddrpool (85)6.5.服务defsvc (87)6.6.服务组defsvcgrp (90)6.7.代理defproxy (92)6.8.邮件过滤defmail (95)6.9.时间deftime (97)6.10.时间组deftimegrp (99)6.11.保护主机hostprotect (100)6.12.保护服务svcprotect (103)6.13.限制主机hostlimit (106)6.14.限制服务svclimit (108)6.15.带宽策略bandwidth (111)6.16.URL列表defurl (112)6.17.病毒过滤 (113)7.安全策略 (115)锐捷网络产品部测试中心第5页，共197页7.1.安全规则policy (115)7.2.地址绑定ipmac (128)7.3.P2P限制 (130)7.4.IDS产品联动ids (134)7.5.抗攻击anti (137)7.6.入侵防护ips (140)8.高可用性 (142)8.1.HA基本配置 (142)8.2.路由模式HA (144)8.2.1.VRRP实例vrrp (144)8.2.2.VRRP关联vrrpbunch (145)8.3.桥模式HA (148)8.3.1.桥配置 (148)9.用户认证 (151)9.1.用户认证服务器authsrv (151)9.2.用户defuser (152)9.3.用户组defusergrp (154)10.系统监控 (159)10.1.网络监控netmonitor (159)10.2.系统信息sysinfo (164)10.3.看日志log (165)10.4.ipsec隧道监控 (166)10.5.在线用户defuser (167)锐捷网络产品部测试中心第6页，共197页10.6.查看ARP表arp (167)10.7.IP探测ping (168)10.8.域名查询dnssearch (168)10.9.路由探测traceroute (168)11.其它 (170)11.1.接收文件rcvfile (170)11.2.显示分页disppage (170)11.3.设置提示符prompt (170)11.4.退出命令行界面quit (171)12.使用技巧 (172)13.命令索引 (173)锐捷网络产品部测试中心第7页，共197页1. 导言1.1. 本书适用对象本手册是RG Wall防火墙管理员手册中的一本，主要介绍如何通过终端的命令行（Command Line Interface，以下简称CLI）方式对RG Wall防火墙进行配置管理。

华为防火墙配置使用手册(自己写)华为防火墙配置使用手册一、概述二、防火墙基本概念包过滤防火墙：它只根据数据包的源地址、目的地址、协议类型和端口号等信息进行过滤，不对数据包的内容进行分析。

它的优点是处理速度快，开消小，但是安全性较低，不能阻挠应用层的攻击。

状态检测防火墙：它在包过滤防火墙的基础上，增加了对数据包的连接状态的跟踪和记录，可以识别出非法的连接请求和数据包，并拒绝通过。

它的优点是安全性较高，可以阻挠一些常见的攻击，但是处理速度较慢，开消较大。

应用代理防火墙：它对数据包的内容进行深度分析，可以识别出不同的应用协议和服务，并根据应用层的规则进行过滤。

它的优点是安全性最高，可以阻挠复杂的攻击，但是处理速度最慢，开消最大。

访问控制：它可以根据源地址、目的地址、协议类型、端口号、应用类型等信息对网络流量进行分类和过滤，实现对内外网之间访问权限的控制和管理。

虚拟专网：它可以建立安全隧道，实现不同地域或者组织之间的数据加密传输，保证数据的机密性、完整性和可用性。

内容安全：它可以对网络流量中携带的内容进行检查和过滤，如、网页、文件等，并根据预定义的规则进行拦截或者放行。

用户认证：它可以对网络访问者进行身份验证，如用户名、密码、证书等，并根据不同的用户或者用户组分配不同的访问权限和策略。

流量管理：它可以对网络流量进行统计和监控，如流量量、流量速率、流量方向等，并根据预定义的规则进行限制或者优化。

日志审计：它可以记录并保存网络流量的相关信息，如源地址、目的地址、协议类型、端口号、应用类型、过滤结果等，并提供查询和分析的功能。

三、防火墙配置方法命令行界面：它是一种基于文本的配置方式，用户可以通过控制台或者远程终端访问防火墙，并输入相应的命令进行配置。

它的优点是灵便性高，可以实现细致的配置和管理，但是需要用户熟悉命令的语法和逻辑。

图形用户界面：它是一种基于图形的配置方式，用户可以通过浏览器或者客户端软件访问防火墙，并通过或者拖拽等操作进行配置。

华为防火墙的使用手册（最新版）目录1.防火墙的基本概念和作用2.华为防火墙的配置指南3.华为防火墙的使用案例4.华为防火墙的 PPPoE 配置正文华为防火墙作为一款优秀的网络安全设备，被广泛应用于各种网络环境中。

本文将从防火墙的基本概念和作用、华为防火墙的配置指南、华为防火墙的使用案例以及华为防火墙的 PPPoE 配置等方面进行介绍，帮助读者更好地理解和使用华为防火墙。

一、防火墙的基本概念和作用防火墙是一种用于保护网络安全的设备，可以对网络中的数据包进行过滤和检查，从而防止恶意攻击和网络威胁。

防火墙的主要作用包括：1.保护网络免受攻击：防火墙可以防止黑客攻击、病毒入侵等网络威胁，确保网络的稳定运行。

2.控制网络流量：防火墙可以根据预设的规则对网络流量进行控制，允许合法的流量通过，阻止非法的流量进入网络。

3.提高网络安全性能：防火墙可以缓存经常访问的网站和数据，提高网络访问速度，同时减少网络带宽的浪费。

二、华为防火墙的配置指南华为防火墙的配置指南主要包括以下几个方面：1.基本配置与 IP 编址：首先需要给防火墙配置地址信息，包括管理接口的 IP 地址和子网掩码等。

2.保护范围：根据需要选择主机防火墙或网络防火墙，保护单个主机或多个主机。

3.工作原理：防火墙可以根据数据包的五元组信息（源 IP 地址、目的 IP 地址、源端口、目的端口、协议类型）对流量进行控制。

4.包过滤防火墙：基于 ACL 实现过滤，当策略配置过多时，可能会对防火墙造成压力。

5.代理防火墙：防火墙在网络中起到第三方代理的作用，可以在主机和服务器之间进行通信。

三、华为防火墙的使用案例华为防火墙在实际应用中可以部署在企业网络出口、数据中心内部等场景，保护企业网络安全。

以下是一个简单的使用案例：1.将华为防火墙部署在企业网络出口，连接到互联网。

2.配置防火墙的 ACL 规则，允许内部网络访问外部网络的某些服务，如 Web、邮件等。

3.配置防火墙的 NAT 功能，实现内部网络 IP 地址与外部网络 IP 地址的转换。

华为防火墙配置使用手册(自己写)[USGxxxx] interface GigabitEthernet 0/0/1 [USGxxxx-GigabitEthernet0/0/1] ip address 192.168.1.1 24 [USGxxxx-GigabitEthernet0/0/1] quit[USGxxxx] saveThe current configuration will be written to the device.Are you sure to continue? [Y/N]:YInfo: Please input the filename(*.cfg,*.zip)[vrpcfg.zip]:(To leave the existing filename unchanged, press the enter key):It will take several minutes to save configuration file, please wt......Configuration file had been saved successfullyNote: The configuration file will take effect after being activated网络 > 接口 > 物理接口 > 编辑 > 基本信息 >华为防火墙配置使用手册一、概述二、功能介绍防火墙功能：根据用户定义的安全策略，对进出网络的数据包进行允许或拒绝的动作，实现网络隔离和访问控制。

入侵防御功能：通过内置或外置的入侵防御系统(IPS)，对网络流量进行深度分析，识别并阻断各种已知或未知的攻击行为，如端口扫描、拒绝服务、木马、漏洞利用等。

反病毒功能：通过内置或外置的反病毒引擎，对网络流量中的文件和进行扫描，检测并清除各种病毒、蠕虫、木马等恶意代码。

内容过滤功能：通过内置或外置的内容过滤引擎，对网络流量中的网页、、即时通信等应用层内容进行过滤，阻止不良或违规的信息传输，如色情、暴力、赌博等。

网络卫士防火墙系统命令手册索引分册天融信TOPSEC® 北京市海淀区上地东路1号华控大厦，100085电话：（8610）82776666传真：（8610）8277667服务热线：800 810 5119http: //版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印 © 2009天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录前言 (1)1概述 (3)1.1手册使用指南 (3)1.2人机命令的描述 (3)1.3命令辅助功能 (4)1.4命令模式 (4)2命令索引 (8)2.1 A开头的命令 (8)2.2 B开头的命令 (13)2.3 C开头的命令 (15)2.4 D开头的命令 (19)2.5 E开头的命令 (29)2.6 F开头的命令 (31)2.7 G开头的命令 (32)2.8 H开头的命令 (33)2.9 I开头的命令 (34)2.10 J开头的命令 (48)2.11 K开头的命令 (49)2.12 L开头的命令 (49)2.13 M开头的命令 (53)2.14 N开头的命令 (58)2.15 O开头的命令 (61)2.16 P开头的命令 (62)2.17 Q开头的命令 (64)2.18 R开头的命令 (65)2.19 S开头的命令 (68)2.20 T开头的命令 (92)2.21 U开头的命令 (96)2.22 V开头的命令 (97)2.23 W开头的命令 (100)2.24 X开头的命令 (101)2.25 Z开头的命令 (101)前言手册说明《网络卫士防火墙系统命令手册》共有16个分册，手册和内容分别为：手册名称手册内容《网络卫士防火墙系统命令手册_索引分册》介绍网络卫士防火墙每条命令对应的分册、章节《网络卫士防火墙系统命令手册_IPv6分册》介绍网络卫士防火墙与IPv6相关的命令《网络卫士防火墙系统命令手册_IPv4路由分册一》介绍网络卫士防火墙与RIP、OSPF和IS-IS 路由协议相关的命令《网络卫士防火墙系统命令手册_IPv4路由分册二》介绍网络卫士防火墙与BGP路由协议、路由映射和路由策略相关的命令《网络卫士防火墙系统命令手册_MPLS分册》介绍网络卫士防火墙与MPLS相关的命令《网络卫士防火墙系统命令手册_QoS分册》介绍网络卫士防火墙与QoS相关的命令《网络卫士防火墙系统命令手册_安全分册》介绍网络卫士防火墙与网络安全相关的命令《网络卫士防火墙系统命令手册_防火墙分册》介绍网络卫士防火墙与防火墙相关的命令《网络卫士防火墙系统命令手册_基本配置分册一》介绍网络卫士防火墙与系统管理、文件管理、用户界面、日志统计、FTP/TFTP服务器和IPv4基础协议相关的命令《网络卫士防火墙系统命令手册_基本配置分册二》介绍网络卫士防火墙与接口配置、DHCP和VRRP相关的命令《网络卫士防火墙系统命令手册_基本配置分册三》介绍网络卫士防火墙与NAT、Time Range、堆叠和DEBUG调试相关的命令《网络卫士防火墙系统命令手册_网络管理分册》介绍网络卫士防火墙与网络管理相关的命令《网络卫士防火墙系统命令手册_以太网交换分册》介绍网络卫士防火墙与MAC、VLAN、SuperVLAN、STP、链路聚合、VBAS、MAC PING和UDLD相关的命令《网络卫士防火墙系统命令手册_组播分册》介绍网络卫士防火墙与组播协议相关的命令内容介绍本手册主要介绍了《网络卫士防火墙系统命令手册》的命令索引部分，本手册的章节名及其概要如下：章名概要第1章概述本章介绍命令手册的使用方法、命令的描述、格式约定、辅助功能和模式第2章命令索引本章以表格形式指明了《网络卫士防火墙命令手册》中每条命令所在的分册、章节，其中命令以字母A~Z的顺序进行排列1概述1.1手册使用指南《网络卫士防火墙命令手册》按内容分为16个分册，各分册的内容请参看本手册前言部分。

华为防火墙操作手册摘要：1.华为防火墙概述2.华为防火墙的配置方法3.华为防火墙的应用场景4.华为防火墙的优点与局限性5.总结正文：一、华为防火墙概述华为防火墙是一款高性能、高可靠性的网络安全设备，能够有效保护企业网络免受各种网络攻击的侵害。

华为防火墙具有强大的安全策略控制功能，支持多种安全协议和加密算法，能够满足不同企业的安全需求。

二、华为防火墙的配置方法1.增加一个pppoe 用户在防火墙上配置拨号上网，首先需要增加一个pppoe 用户。

可以通过以下命令来完成：```[usg6000v1]sysname,ppps,[ppps],user-manage,user,test```2.配置客户端客户端的配置主要包括以下几个方面：- 设置客户端的IP 地址、子网掩码和默认网关。

- 配置DNS 服务器地址。

- 设置客户端的MAC 地址和VLAN ID。

3.配置服务端服务端的配置主要包括以下几个方面：- 配置PPPoe 服务器的IP 地址和端口号。

- 设置PPPoe 服务器的用户名和密码。

- 配置VLAN ID 和PPPoe 协议。

三、华为防火墙的应用场景1.企业内部网络的安全防护华为防火墙可以有效防止外部网络的攻击，如DDoS 攻击、SYN 攻击等，保护企业内部网络的安全。

2.远程办公和分支机构的安全接入通过配置VPN 和PPPoe 等协议，华为防火墙可以实现远程办公和分支机构的安全接入，提高企业的工作效率。

四、华为防火墙的优点与局限性1.优点- 高性能和高可靠性，能够满足企业的高速网络需求。

- 支持多种安全协议和加密算法，能够有效保护企业网络的安全。

- 提供丰富的安全策略控制功能，可以针对不同的网络攻击进行有效的防范。

2.局限性- 配置较为复杂，需要专业的网络工程师进行安装和维护。

- 对网络带宽和存储空间有一定的要求，需要企业具备相应的网络资源。

五、总结华为防火墙是一款功能强大、性能稳定的网络安全设备，能够有效保护企业网络免受各种网络攻击的侵害。

防火墙操作手册防火墙操作手册提供了防火墙的基本配置和管理指南，以帮助用户保护网络安全和防止未经授权的访问。

以下是一些通用的防火墙操作手册步骤：1. 了解防火墙基础知识：防火墙是在计算机网络中起到保护网络安全的关键设备。

在进行防火墙的操作和配置之前，首先需要了解防火墙的基础概念、类型和工作原理。

2. 确定安全策略：为了保护网络安全，需要制定合适的安全策略。

安全策略定义了哪些网络流量是允许的，哪些是被阻止的。

这些策略可以基于端口、IP地址、协议等进行配置，并且应该针对网络中的不同角色（例如内部和外部网络）进行细分。

3. 发现并关闭未使用的端口：未使用的端口是网络攻击的潜在入口，应该通过关闭或屏蔽这些端口来减少风险。

4. 配置访问控制列表（ACL）：ACL是一组定义哪些网络流量被允许或被阻止的规则。

可以根据需要创建ACL，并将其应用到特定的网络接口上。

5. 设置入站和出站规则：入站规则用于控制从外部网络进入内部网络的网络流量，而出站规则用于控制从内部网络进入外部网络的流量。

确保只有经过授权的流量能够通过防火墙。

6. 定期更新防火墙规则：随着网络的变化，防火墙规则也需要进行定期更新和优化。

监控网络流量，并相应地更新防火墙规则，同时也要定期审查并关闭不再需要的规则。

7. 进行日志和监控：启用防火墙的日志和监控功能，可以记录和监控网络流量，以便及时检测和应对潜在的网络攻击和安全事件。

8. 进行实时更新和维护：及时更新防火墙的软件和固件版本，以确保兼容性和安全性。

定期进行安全审核和漏洞扫描，以发现和修复潜在的安全漏洞。

以上是一般的防火墙操作手册步骤，具体的操作细节可能根据不同的防火墙品牌和型号有所不同。

因此，在实际进行防火墙操作之前，还应参考相应的产品手册和文档进行详细了解和指导。

防火墙日常操作1.1 管理器登陆界面（贴图）图（2）登陆界面注：默认登录用户名：superman；口令：talentIP地址:防火墙100.100.100.11.2 系统基本信息状态查看（贴图）选择系统管理> 基本信息，在“基本信息”处可以查看当前设备的型号、软件平台版本、各个功能模块版本、许可证版本、VRC用户最大数值等。

在“安全服务”处查看系统提供的安全服务功能。

在“网络接口信息”处可以查看网络接口的工作模式、接口地址以及是否启用等信息。

如下图所示：图（3）基本信息1.3 运行信息查看运行信息指的是当前系统CPU、内存等系统资源的占用情况以及当前通过防火墙建立的连接信息。

1）选择系统管理> 运行信息，用户可以在“系统状态”页签查看设备的系统日期、设备当前CPU占用情况、内存的使用情况以及当前系统不间断运行的时间。

2）在“当前连接”页签可以查看当前（用户访问此菜单时刻）通过防火墙建立的连接信息。

每一条连接信息包括如下内容：当前连接正在建立还是已经拆除连接、当前连接所使用的协议、连接的源/目的地址和端口号、该连接是否应用源NAT/目的NAT 策略、该连接建立过程中源地址发送的数据报文个数、目的地址发送的数据报文的个数等信息。

当连接数量较多时，可以在“条数”处选择一次查看多少条连接信息：可选30、100或1000。

也可以通过点击“上一页”和“下一页”翻页查看信息。

点击“刷新”按钮可以在界面显示最新的连接信息。

在“源IP”、“源端口”、“目的IP”、“目的端口”和“协议”处可以输入一个或多个查询参数，并点击“查找”按钮，则在下面会显示查询的结果信息。

当输入多个查询参数时，同时满足这些条件的连接信息才会显示在列表中。

也可以点击某条连接信息对应的删除图标删除该条连接信息。

点击“清空连接表”一次性删除所有的连接信息。

点击“端口－>服务名”按钮，可以实现对目的端口的识别功能，对常见知名端口翻译为对应的协议，如监控中看到TCP:80的可自动识别为HTTP协议。

华为防火墙USG2000实验文档要求:通过配置华为防火墙实现本地telnet 服务器能够通过NAT上网.并且,访问电信网络链路时走电信,访问网通链路时走网通.具体配置如下:华为 USG 2000Username:admin[USG2205BSR]sysname[huawei]interface GigabitEthernet[huawei-GigabitEthernet0/0/0]ipaddress 202.100.1.1[huawei-GigabitEthernet0/0/0]undo[huawei]interface GigabitEthernet 0/0/1[huawei-GigabitEthernet0/0/1]description ###conn to yidong link###[huawei-GigabitEthernet0/0/1]ip address 202.200.1.1 255.255.255.0[huawei-GigabitEthernet0/0/1]undo shutdown[huawei-GigabitEthernet0/0/1]quit[huawei]interface Vlanif 1[huawei-Vlanif1]description ###conn to local###[huawei-Vlanif1]ip address 192.168.1.1 255.255.255.0[huawei-Vlanif1]undo shutdown[huawei-Vlanif1]quit[huawei-zone-trust]undo add interface GigabitEthernet 0/0/1[huawei-zone-trust]add interface Vlanif[huawei]firewall zone name[huawei-zone-dianxin]set priority 4[huawei-zone-dianxin]add interface GigabitEthernet 0/0/0[huawei-zone-dianxin]quit[huawei-zone-yidong]set priority 3[huawei-zone-yidong]add interface GigabitEthernet 0/0/1[huawei-zone-yidong]quit[huawei]acl number[huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255[huawei-acl-basic-2000]quit[huawei]firewall interzone trust[huawei-interzone-trust-dianxin]packet-filter 2000 outbound[huawei-interzone-trust-dianxin]nat outbound 2000 interface GigabitEthernet 0/0/0[huawei-interzone-trust-dianxin]quit[huawei-interzone-trust-yidong]nat outbound 2000 interface GigabitEthernet 0/0/1[huawei-interzone-trust-yidong]quit[huawei]user-interface vty 0 4[huawei-ui-vty0-4]authentication-mode password[huawei-ui-vty0-4]quit[huawei]ip route-static 0.0.0.0 0.0.0.0 202.100.1.2[huawei]ip route-static …… …… 202.200.1.2[huawei]ip route-static 222.160.0.0 255.252.0.0 202.200.1.2[huawei] firewall packet-filter default permit interzone local dianxin direction outbound[huawei] firewall packet-filter default permit interzone trust dianxin direction inbound[huawei] firewall packet-filter default permit interzone trust dianxin direction outbound[huawei] firewall packet-filter default permit interzone local yidong direction inbound[huawei] firewall packet-filter default permit interzone local yidong direction outbound[huawei] firewall packet-filter default permit interzone trust yidong direction inbound如图：电信网络、网通网络和telnet服务器配置 略！验证：内网192.168.1.2 分别PING 电信与网通.inside#ping 202.100.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msinside#ping 202.200.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.200.1.2, timeout is 2 seconds:Current total sessions: 3icmp VPN: public -> public192.168.1.2:3[202.100.1.1:23088]-->202.100.1.2:3tcp VPN: public -> public 192.168.1.1:1024-->192.168.1.2:23icmp VPN: public -> public192.168.1.2:4[202.200.1.1:43288]-->202.200.1.2:4验证成功！！！[huawei]display current-configuration 11:54:30 2010/11/06 #acl number 2000rule 10 permit source 192.168.1.0 0.0.0.255 #sysname huawei #super password level 3 cipher ^]S*H+DFHFSQ=^Q`MAF4<1!! #web-manager enable #info-center timestamp debugging date #firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone local vzone direction inbound firewall packet-filter default permit interzone local vzone direction outbound firewall packet-filter default permit interzone local dianxin direction inbound firewall packet-filter default permit interzone local dianxin direction outbound firewall packet-filter default permit interzone local yidong direction inbound firewall packet-filter default permit interzone local yidong direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone trust vzone direction inbound firewall packet-filter default permit interzone trust vzone direction outbound firewall packet-filter default permit interzone trust dianxin direction inbound firewall packet-filter default permit interzone trust dianxin direction outbound firewall packet-filter default permit interzone trust yidong direction inbound firewall packet-filter default permit interzone trust yidong direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound firewall packet-filter default permit interzone untrust vzone direction inbound firewall packet-filter default permit interzone untrust vzone direction outbound firewall packet-filter default permit interzone dmz vzone direction inbound firewall packet-filter default permit interzone dmz vzone direction outbound #dhcp enable#firewall statistic system enable#vlan 1#interface Cellular0/1/0link-protocol ppp#interface Vlanif1description ###conn to local###ip address 192.168.1.1 255.255.255.0 #interface Ethernet1/0/0port link-type access#interface Ethernet1/0/1port link-type access#interface Ethernet1/0/2port link-type access#interface Ethernet1/0/3port link-type access#interface Ethernet1/0/4port link-type access#interface GigabitEthernet0/0/0 description ###conn to dianxin link### ip address 202.100.1.1 255.255.255.0 #interface GigabitEthernet0/0/1 description ###conn to yidong link### ip address 202.200.1.1 255.255.255.0 #interface NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface Vlanif1#firewall zone untrustset priority 5#firewall zone dmzset priority 50#firewall zone vzoneset priority 0#firewall zone name dianxinset priority 4add interface GigabitEthernet0/0/0#firewall zone name yidongset priority 3add interface GigabitEthernet0/0/1#firewall interzone trust dianxinpacket-filter 2000 outboundnat outbound 2000 interface GigabitEthernet0/0/0 #firewall interzone trust yidongpacket-filter 2000 outboundnat outbound 2000 interface GigabitEthernet0/0/1#aaalocal-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!local-user admin service-type web telnetlocal-user admin level 3authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default##right-manager server-group#slb#ip route-static 0.0.0.0 0.0.0.0 202.100.1.2ip route-static 27.8.0.0 255.248.0.0 202.200.1.2ip route-static …… …… 202.200.1.2ip route-static 222.160.0.0 255.252.0.0 202.200.1.2#user-interface con 0user-interface tty 9authentication-mode nonemodem bothuser-interface vty 0 4user privilege level 3N专注高端，技术为王#return[huawei]N。

Juniper SRX防火墙简明配置手册目录一、JUNOS操作系统介绍 (3)1.1 层次化配置结构 (3)1.2 JunOS配置管理 (4)1.3 SRX主要配置内容 (5)二、SRX防火墙配置对照说明 (6)2.1 初始安装 (6)2.1.1 登陆 (6)2.1.2 设置root用户口令 (6)2.1.3 设置远程登陆管理用户 (7)2.1.4 远程管理SRX相关配置 (7)2.2 Policy (8)2.3 NAT (8)2.3.1 Interface based NAT (9)2.3.2 Pool based Source NAT (10)2.3.3 Pool base destination NAT (11)2.3.4 Pool base Static NAT (12)2.4 IPSEC VPN (13)2.5 Application and ALG (15)2.6 JSRP (15)三、SRX防火墙常规操作与维护 (19)3.1 设备关机 (19)3.2设备重启 (20)3.3操作系统升级 (20)3.4密码恢复 (21)3.5常用监控维护命令 (22)Juniper SRX防火墙简明配置手册SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。

目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。

JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。

基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

华为防火墙配置使用手册摘要：一、华为防火墙配置概述二、华为防火墙基本配置1.登录华为防火墙2.配置管理IP地址3.配置接口地址4.配置路由5.配置访问控制列表（ACL）三、高级配置1.配置NAT2.配置DHCP3.配置防火墙策略4.配置安全策略5.配置入侵检测和防御四、故障排除与维护1.常见故障排除2.防火墙性能优化3.安全策略调整4.系统升级与维护五、总结正文：华为防火墙配置使用手册华为防火墙是一款高性能的网络防火墙，能够有效保护企业网络免受各种网络攻击。

本文将详细介绍华为防火墙的配置使用方法。

一、华为防火墙配置概述华为防火墙配置主要包括基本配置和高级配置两部分。

基本配置包括管理IP地址、接口地址、路由等设置；高级配置包括NAT、DHCP、防火墙策略等设置。

二、华为防火墙基本配置1.登录华为防火墙使用Console口或Telnet方式登录华为防火墙。

2.配置管理IP地址进入系统视图，设置管理IP地址。

例如：```[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.1255.255.255.0```3.配置接口地址进入接口视图，设置接口地址。

例如：```[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.2255.255.255.0```4.配置路由设置路由表，使防火墙能够进行路由转发。

例如：```[Huawei-ip route-table]ip route 192.168.1.0 24 192.168.1.2```5.配置访问控制列表（ACL）设置ACL，以限制网络流量。

例如：```[Huawei-GigabitEthernet0/0/0]acl number 2000[Huawei-GigabitEthernet0/0/0]acl 2000 rule 0 permit ip source 192.168.1.1 0```三、高级配置1.配置NAT设置NAT地址转换，使内部网络设备能够访问外部网络。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (3)1．串口管理 (3)2．TELNET管理 (4)3．SSH管理 (5)4．WEB管理 (6)5．GUI管理 (6)二、命令行常用配置 (12)1．系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)Version (12)系统版本信息 (12)系统>基本信息 (12)information (12)当前设备状态信息 (12)系统>运行状态 (12)系统>系统时间 (12)config (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)reboot (12)重新启动 (12)系统>系统重启 (12)sshd (12)SSH服务管理命令 (12)系统>系统服务 (12)telnetd (12)TELNET服务管理 (12)系统>系统服务命令 (12)d (12)服务管理命 (12)系统>系统服务令 (12)monitord (12)MONITOR (12)服务管理命令无 (12)2．网络配置命令(NETWORK) (13)3．双机热备命令(HA) (13)4．定义对象命令(DEFINE) (13)5．包过滤命令(PF) (13)6．显示运行配置命令(SHOW_RUNNING) (13)7．保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1．系统管理配置 (14)A) 系统 > 基本信息 (14)B) 系统 > 运行状态 (14)C) 系统 > 配置维护 (15)D) 系统 > 系统服务 (15)E) 系统 > 开放服务 (16)F) 系统 > 系统重启 (16)2．网络接口、路由配置 (16)A) 设置防火墙接口属性 (16)B) 设置路由 (18)3．对象配置 (20)A) 设置主机对象 (20)B) 设置范围对象 (21)C) 设置子网对象 (21)D) 设置地址组 (21)E) 自定义服务 (22)F) 设置区域对象 (22)G) 设置时间对象 (23)4．访问策略配置 (23)5．高可用性配置 (26)四、透明模式配置示例 (28)拓补结构： (28)1．用串口管理方式进入命令行 (28)2．配置接口属性 (28)3．配置VLAN (28)4．配置区域属性 (28)7．配置访问策略 (29)8．配置双机热备 (29)五、路由模式配置示例 (30)拓补结构： (30)1．用串口管理方式进入命令行 (30)2．配置接口属性 (30)3．配置路由 (30)4．配置区域属性 (30)5．配置主机对象 (30)6．配置访问策略 (30)7．配置双机热备 (31)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

Checkpoint防⽕墙命令⾏维护⼿册Checkpoint防⽕墙命令⾏维护⼿册制订模版：NGX-R65版本号：V1.0⽬录⼀、基本配置命令 (1)1.1SYSCONFIG (1)1.2CPCONFIG (2)1.3CPSTOP (3)1.4CPSTART (3)1.5EXPERT (3)1.6IDLE (4)1.7WEBUI (4)1.8脚本添加路由 (4)⼆、查看系统状态 (1)2.1TOP (1)2.2DF –H (2)2.3FREE (2)三、HA相关命令 (1)3.1CPHAPROB STAT (1)3.2CPHAPROB –A IF (1)3.3CPHACONF SET_CCP BROADCAST (1)3.4CPHAPROB LIST (2)3.5CPHASTART/CPHASTOP (3)3.6FW CTL PSTAT (3)四、常⽤维护命令 (1)4.1VER (1)4.2FW VER (1)4.3查看防⽕墙UTM/POWER版本 (1)4.4查看防⽕墙硬件型号 (1)4.5LICENSE查看和添加 (1)4.6IFCONFIG/IFCONFIG –A (1)4.7MII-TOOL (1)4.8ETHTOOL (1)4.9CPSTAT FW (2)4.10会话数查看 (1)五、⽇志查看命令 (1)5.1FW LOG (1)5.2FW LSLOGS (1)5.3FW LSLOGS –E (1)5.4FW LOGSWITCH (1)5.5导出⽇志⽂件 (2)六、防⽕墙的备份和恢复 (1)6.1备份防⽕墙 (1)6.2在IE中备份 (1)6.3在防⽕墙上备份 (2)6.4恢复防⽕墙 (2)⼀、基本配置命令1.1sysconfig可以对系统进⾏配置和修改，⽐如主机名修改，DNS配置修改，以及路由的配置等，另外还可以配置DHCP功能，以及产品的安装等等如上图所⽰，在命令提⽰符输⼊：sysconfig，将会出现下图所列⼀些选项，在Your choice 后⾯输⼊你想配置的选项前的数字，然后按回车可以看到，依次的选项为主机名，域名，域名服务，时间和⽇期，⽹络连接，路由，DHCP服务配置，DHCP中继配置，产品安装，产品配置等例如我们选择5，为防⽕墙新增⼀个接⼝IP地址然后选择2，进⾏连接配置，也就是配置IP地址选择1进⾏IP地址配置更改如上图所⽰按照提⽰配置IP地址和⼦⽹掩码进⾏其他配置也如同上述操作，选择对应的编号然后按照提⽰进⾏配置1.2cpconfig可以对checkpoint防⽕墙进⾏相关的配置，如下图所⽰，也是按照列表的形式列出，分别是license，snmp，PKCS#11令牌，随机池，SIC，禁⽤cluster，禁⽤安全加速，产品⾃动启动常⽤的选项⼀般为SIC的配置，cluster功能模块的启⽤等；选择7是开启cluster功能模块；选择5是设置SIC。

华为H3C防火墙配置命令H3CF100S配置172.18.100.1255.255.255.0255.255.255.0初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1 工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

华为防火墙操作手册
摘要：
1.防火墙概述
2.防火墙的安装与配置
3.防火墙的运行与维护
4.防火墙的安全性能优化
5.总结
正文：
一、防火墙概述
防火墙是网络安全设备的一种，用于在内部网络和外部网络之间建立保护屏障，以保护内部网络免受来自外部网络的攻击。

防火墙可以对网络流量进行监控和控制，从而确保网络数据的安全。

华为防火墙是一款高性能的网络安全设备，能够有效防止各种网络攻击，确保网络安全。

华为防火墙支持多种网络协议，适用于各种网络环境。

二、防火墙的安装与配置
1.安装华为防火墙
安装华为防火墙需要先准备好所需的硬件设备和软件资源。

然后按照安装指南进行操作，完成设备的安装和配置。

2.配置华为防火墙
配置华为防火墙需要对其进行基本的设置，包括设备的名称、IP 地址等。

此外，还需要配置防火墙的访问控制规则，以限制外部网络对内部网络的访
问。

三、防火墙的运行与维护
1.防火墙的运行
华为防火墙在运行过程中，会不断监控网络流量，并对异常流量进行处理。

同时，防火墙还会记录网络事件，以供管理员进行审计。

2.防火墙的维护
为了确保防火墙的正常运行，需要对其进行定期的维护。

主要包括设备巡检、软件升级、配置备份等。

四、防火墙的安全性能优化
为了提高华为防火墙的安全性能，需要对其进行优化。

主要包括访问控制策略的优化、安全特征库的更新、设备的性能优化等。

五、总结
华为防火墙是一款高性能的网络安全设备，能够有效保护网络安全。

安装和配置防火墙需要按照相应的指南进行操作。

防火墙配置手册1．安装防火墙之前需要确定的信息：1）防火墙安装地点，防火墙上连交换机的相关配置（确认与防火墙相连的交换机端口属于哪个Vlan，由此确认防火墙外网口使用的IP地址）2）防火墙内网口IP地址应由作业部来分配（询问对方二级网络的管理者），防火墙内网口地址作为二级服务器的网关。

3）防火墙需要添加的策略，策略由二级或三级人员来确认。

策略一般形式：10.88.253.XX（三级服务器地址）----访问----192.168.1.XX(二级服务器地址)----TCP1521（使用协议和端口号）（三级至二级策略需要添加）192.168.1.XX(二级服务器地址)----访问----10.88.253.XX(三级服务器地址)----TCP1521（使用协议和端口号）（一般二级至三级策略不做添加）其中三级服务器地址、二级服务器地址、使用协议和端口号根据实际情况来确定。

4）NAT转换之后的地址，将二级网络服务器的地址转换成为三级网络中的地址，其地址与防火墙外网口地址在同一网段。

安装实例：1）防火墙在指挥中心汇聚层交换机g2/1口（Vlan2 ，10.99.215.0/24）防火墙外网口地址为10.99.215.240（地址可由管理员分配或者防火墙安装人员自己确认后告知管理员）。

2）防火墙内网口地址为192.168.2.2（二级确定）3）添加策略：10.88.253.60访问192.168.2.1----TCP8080（防火墙安装申请人确定） 4）NAT转换192.168.2.1----10.99.215.242（管理员或安装人员确定）2．防火墙加电启动：CISCO SYSTEMSEmbedded BIOS Version 1.0(12)13 08/28/08 15:50:37.45Low Memory: 632 KBHigh Memory: 507 MBPCI Device Table.Bus Dev Func VendID DevID Class Irq00 01 00 1022 2080 Host Bridge00 01 02 1022 2082 Chipset En/Decrypt 1100 0C 00 1148 4320 Ethernet 1100 0D 00 177D 0003 Network En/Decrypt 1000 0F 00 1022 2090 ISA Bridge00 0F 02 1022 2092 IDE Controller00 0F 03 1022 2093 Audio 1000 0F 04 1022 2094 Serial Bus 900 0F 05 1022 2095 Serial Bus 9Evaluating BIOS Options ...Launch BIOS Extension to setup ROMMONCisco Systems ROMMON Version (1.0(12)13) #0: Thu Aug 28 15:55:27 PDT 2008 Platform ASA5505Use BREAK or ESC to interrupt boot.Use SPACE to begin boot immediately.Launching BootLoader...Default configuration file contains 1 entry.Searching / for images to boot.Loading /asa724-k8.bin... Booting...########################################################################### ############################################################################### ############################################################################### ############################################################################### ############################################################################################################################################################## ####################################512MB RAMTotal SSMs found: 0Total NICs found: 1088E6095 rev 2 Gigabit Ethernet @ index 09 MAC: 0000.0003.000288E6095 rev 2 Ethernet @ index 08 MAC: c84c.7570.c1bb88E6095 rev 2 Ethernet @ index 07 MAC: c84c.7570.c1ba88E6095 rev 2 Ethernet @ index 06 MAC: c84c.7570.c1b988E6095 rev 2 Ethernet @ index 05 MAC: c84c.7570.c1b888E6095 rev 2 Ethernet @ index 04 MAC: c84c.7570.c1b788E6095 rev 2 Ethernet @ index 03 MAC: c84c.7570.c1b688E6095 rev 2 Ethernet @ index 02 MAC: c84c.7570.c1b588E6095 rev 2 Ethernet @ index 01 MAC: c84c.7570.c1b4y88acs06 rev16 Gigabit Ethernet @ index 00 MAC: c84c.7570.c1bcLicensed features for this platform:Maximum Physical Interfaces : 8VLANs : 3, DMZ RestrictedInside Hosts : 50Failover : DisabledVPN-DES : EnabledVPN-3DES-AES : DisabledVPN Peers : 10WebVPN Peers : 2Dual ISPs : DisabledVLAN Trunk Ports : 0This platform has a Base license.Encryption hardware device : Cisco ASA-5505 on-board accelerator (revision 0x0) Boot microcode : CNlite-MC-Boot-Cisco-1.2SSL/IKE microcode: CNlite-MC-IPSEC-Admin-3.03 IPSec microcode : CNlite-MC-IPSECm-MAIN-2.05Cisco Adaptive Security Appliance Software Version 7.2(4)****************************** Warning *******************************This product contains cryptographic features and issubject to United States and local country lawsgoverning, import, export, transfer, and use.Delivery of Cisco cryptographic products does notimply third-party authority to import, export,distribute, or use encryption. Importers, exporters,distributors and users are responsible for compliancewith U.S. and local country laws. By using thisproduct you agree to comply with applicable laws andregulations. If you are unable to comply with U.S.and local laws, return the enclosed items immediately.A summary of U.S. laws governing Cisco cryptographicproducts may be found at:/wwl/export/crypto/tool/stqrg.htmlIf you require further assistance please contact us bysending email to export@.******************************* Warning *******************************Copyright (c) 1996-2008 by Cisco Systems, Inc.Restricted Rights LegendUse, duplication, or disclosure by the Government issubject to restrictions as set forth in subparagraph(c) of the Commercial Computer Software - RestrictedRights clause at FAR sec. 52.227-19 and subparagraph(c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013.Cisco Systems, Inc.170 West Tasman DriveSan Jose, California 95134-1706Cryptochecksum (unchanged): a2d81b58 91233e1e c472925c 202e14e6 Type help or '?' for a list of available commands.ciscoasa>ciscoasa>ciscoasa>ciscoasa>3．通过show run命令查看防火墙初始配置，防火墙初始密码为空ciscoasa> enPassword: （直接回车）ciscoasa# sh run (查看初始配置): Saved:ASA Version 7.2(4)hostname ciscoasa (防火墙命名)enable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.2KYOU encryptednames!interface Vlan1 （防火墙内网口所在Vlan，配置时不需改动）nameif insidesecurity-level 100ip address 192.168.1.1 255.255.255.0 （防火墙内网口初始配置，需要改动）!interface Vlan2 （防火墙外网口所在Vlan）nameif outsidesecurity-level 0ip address dhcp setroute （防火墙外网口初始配置，需要改动）!interface Ethernet0/0switchport access vlan 2 （e0/0属于外网口，在配置时不做改动）!interface Ethernet0/1 （初始情况下e0/0-7均为内网口，配置时不做改动）!interface Ethernet0/2!interface Ethernet0/3!interface Ethernet0/4!interface Ethernet0/5!interface Ethernet0/6interface Ethernet0/7!ftp mode passivepager lines 24logging asdm informationalmtu inside 1500mtu outside 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400global (outside) 1 interface（配置时需要删除）nat (inside) 1 0.0.0.0 0.0.0.0 （配置时需要删除）timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolutehttp server enablehttp 192.168.1.0 255.255.255.0 insideno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstarttelnet timeout 5ssh timeout 5console timeout 0dhcpd auto_config outside!dhcpd address 192.168.1.2-192.168.1.129 inside （配置时需要删除）dhcpd enable inside （配置时需要删除）!!prompt hostname contextCryptochecksum:a2d81b5891233e1ec472925c202e14e6: end4．配置防火墙1）首先删除已经标示出的4条语句，并给防火墙命名ciscoasa> enPassword:ciscoasa# conf tciscoasa(config)# host FW-ZHZX-TEST-ASA5505-01 (防火墙命名规则)FW-ZHZX-TEST-ASA5505-01(config)# no dhcpd enable insideFW-ZHZX-TEST-ASA5505-01(config)# no dhcpd address 192.168.1.2-192.168.1.129 in$ （当语句过长时，自动缩进）FW-ZHZX-TEST-ASA5505-01(config)# no global (outside) 1 interfaceFW-ZHZX-TEST-ASA5505-01(config)# no nat (inside) 1 0.0.0.0 0.0.0.0FW-ZHZX-TEST-ASA5505-01(config)#（我们可以直接复制粘贴）2）更改防火墙防火墙外网口和内网口地址FW-ZHZX-TEST-ASA5505-01(config)# int vlan 1 （设置Vlan1地址）FW-ZHZX-TEST-ASA5505-01(config-if)# no ip address 192.168.1.1 255.255.255.0 （删除原先初始地址）FW-ZHZX-TEST-ASA5505-01(config-if)# ip address 192.168.2.2 255.255.255.0 (配置新IP地址和子网掩码)FW-ZHZX-TEST-ASA5505-01(config-if)# int vlan 2FW-ZHZX-TEST-ASA5505-01(config-if)# no ip address dhcp setroute （删除原先配置）FW-ZHZX-TEST-ASA5505-01(config-if)# ip add 10.99.215.240 255.255.255.0 （配置新IP地址和子网掩码）FW-ZHZX-TEST-ASA5505-01(config-if)# exitFW-ZHZX-TEST-ASA5505-01(config)#可以再次使用show run命令来查看防火墙配置（省略）3）配置NAT将二级网络中的服务器地址192.168.1.1转换成为三级网络地址10.99.215.242FW-ZHZX-TEST-ASA5505-01(config)#static (inside,outside) 10.99.215.242 192.168.1.1 (注意转换之后的地址再前，源地址在后，注意空格)FW-ZHZX-TEST-ASA5505-01(config)#4）配置访问控制列表FW-ZHZX-TEST-ASA5505-01(config)# access-list out extended permit tcp host 10.88.253.60 host 10.99.215.242 eq 1521其中access-list是指访问控制列表；out是列表的名称，可以更改；tcp是使用的协议；在单个主机ip地址之前需要添加host；源地址（10.88.253.60）在前，目的地址（10.99.215.242）再后，目的地址必须是转换之后的地址；1521为端口号FW-ZHZX-TEST-ASA5505-01(config)# access-list out extended per icmp any any Icmp全开，用于ping测试FW-LGQ-YLFXZX-ASA5505-01(config)# access-group out in interface outsideaccess-group的命名和access-list的命名必须相同，将此列表应用到outside口的in方向5）配置默认路由FW-LGQ-YLFXZX-ASA5505-01(config)# route outside 0.0.0.0 0.0.0.0 10.99.215.1 防火墙外网口的路由，指向外网口所在网段的网关。

Checkpoint防火墙命令行维护手册制订模版：NGX-R65版本号：V1.0目录一、基本配置命令 (1)1.1SYSCONFIG (1)1.2CPCONFIG (2)1.3CPSTOP (3)1.4CPSTART (3)1.5EXPERT (3)1.6IDLE (4)1.7WEBUI (4)1.8脚本添加路由 (4)二、查看系统状态 (1)2.1TOP (1)2.2DF –H (1)2.3FREE (1)三、HA相关命令 (1)3.1CPHAPROB STAT (1)3.2CPHAPROB –A IF (1)3.3CPHACONF SET_CCP BROADCAST (1)3.4CPHAPROB LIST (1)3.5CPHASTART/CPHASTOP (2)3.6FW CTL PSTAT (2)四、常用维护命令 (1)4.1VER (1)4.2FW VER (1)4.3查看防火墙UTM/POWER版本 (1)4.4查看防火墙硬件型号 (1)4.5LICENSE查看和添加 (1)4.6IFCONFIG/IFCONFIG –A (1)4.7MII-TOOL (1)4.8ETHTOOL (1)4.9CPSTAT FW (2)4.10会话数查看 (1)五、日志查看命令 (1)5.1FW LOG (1)5.2FW LSLOGS (1)5.3FW LSLOGS –E (1)5.4FW LOGSWITCH (1)5.5导出日志文件 (1)六、防火墙的备份和恢复 (1)6.1备份防火墙 (1)6.2在IE中备份 (1)6.3在防火墙上备份 (2)6.4恢复防火墙 (2)一、基本配置命令1.1sysconfig可以对系统进行配置和修改，比如主机名修改，DNS配置修改，以及路由的配置等，另外还可以配置DHCP功能，以及产品的安装等等如上图所示，在命令提示符输入：sysconfig，将会出现下图所列一些选项，在Your choice 后面输入你想配置的选项前的数字，然后按回车可以看到，依次的选项为主机名，域名，域名服务，时间和日期，网络连接，路由，DHCP 服务配置，DHCP中继配置，产品安装，产品配置等例如我们选择5，为防火墙新增一个接口IP地址然后选择2，进行连接配置，也就是配置IP地址选择1进行IP地址配置更改如上图所示按照提示配置IP地址和子网掩码进行其他配置也如同上述操作，选择对应的编号然后按照提示进行配置1.2cpconfig可以对checkpoint防火墙进行相关的配置，如下图所示，也是按照列表的形式列出，分别是license，snmp，PKCS#11令牌，随机池，SIC，禁用cluster，禁用安全加速，产品自动启动常用的选项一般为SIC的配置，cluster功能模块的启用等；选择7是开启cluster功能模块；选择5是设置SIC。