(完整版)华为USG防火墙运维命令大全,推荐文档

华为USG3040防火墙：## 配置USG3000的接口（注意升级之后用户名、密码已经更改）Username：adminPassword：Admin@123<USG3000>system-view[USG3000]firewall mode composite (设置防火墙工作模式为透明)此时提示需要重新启动防火墙This operation will restore the startup configuration file of the firewall to the factory-delivered configuration and restart the system. Are you sure[Y/N]?y（此处输入Y）Board rebooting ...## 重新启动登录后设置防火墙VPN连接IP地址[USG3000]firewall system-ip 10.77.208.5 24 //本地VPN网关地址## 给各个接口划分相应的域[USG3000]firewall zone untrust[USG3000-zone-untrust]add interface GigabitEthernet 0/0[USG3000]firewall zone trust[USG3000-zone-untrust]add interface GigabitEthernet 0/1[USG3000-zone-untrust]quit## 配置默认路由[USG3000] ip route-static 0.0.0.0 0.0.0.0 10.77.208.1 //本地路由器内口地址## 配置域间默认包过滤[USG3000] firewall packet-filter default permit interzonetrustuntrust[USG3000] firewall packet-filter default permitinterzonetrustlocal[USG3000] firewall packet-filter default permit interzonelocaluntrust## 设置防火墙登录口令[USG3000] user-interface vty 0 4[USG3000-ui-vty0-4] set authentication password simplebaichengguotuzyj注：此时可以检查VPN网关与省厅联想网御VPN网关的互通情况，确保互相之间可以ping通再进行下一步VPN配置。

华为路由器和防火墙配置命令总结一、access-list 用于创建访问规则。

（1）创建标准访问列表access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]（2）创建扩展访问列表access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）删除访问列表no access-list { normal | special } { all | listnumber [ subitem ] }【参数说明】normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

dest-addr 为目的地址。

dest-mask 为目的地址通配位。

operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

华为路由器和防火墙配置命令总结一、access-list 用于创建访问规则。

（1）创建标准访问列表access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]（2）创建扩展访问列表access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）删除访问列表no access-list { normal | special } { all | listnumber [ subitem ] } normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

dest-addr 为目的地址。

dest-mask 为目的地址通配位。

operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

内网：配置GigabitEthernet 0/0/1 加入Trust 区域[USG5300]firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 外网：配置GigabitEthernet 0/0/2 加入Untrust 区域[USG5300]firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 DMZ：[USG5300] firewall zone dmz[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3 [USG5300-zone-untrust] quit1.4.1 Trust 和Untrust 域间：允许内网用户访问公网policy 1 ：允许源地址为10.10.10.0/24 的网段的报文通过[USG5300] policy interzone trust untrust outbound[USG5300-policy-interzone-trust-untrust-outbound] policy 1[USG5300-policy-interzone-trust-untrust-outbound-1] [USG5300-policy-interzone-trust-untrust-outbound-1] [USG5300-policy-interzone-trust-untrust-outbound-1] 如果是允许所有的内网地址上公网可以用以下命令：policy source 10.10.10.0 0.0.0.255 action permitquit[USG2100]firewall packet-filter default permit interzone trust untrust directionoutbound 须// 必1.4.2 DMZ和Untrust域间：从公网访问内部服务器policy 2 ：允许目的地址为10.10.11.2 ，目的端口为21 的报文通过policy 3 ：允许目的地址为10.10.11.3 ，目的端口为8080 的报文通过[USG5300] policy interzone untrust dmz inbound [USG5300-policy-interzone-dmz-untrust-inbound] policy 2[USG5300-policy-interzone-dmz-untrust-inbound-2] [USG5300-policy-interzone-dmz-untrust-inbound-2] [USG5300-policy-interzone-dmz-untrust-inbound-2] [USG5300-policy-interzone-dmz-untrust-inbound-2] policy destination 10.10.11.3 0 policy service service-set ftp action permitquit[USG5300-policy-interzone-dmz-untrust-inbound] policy 3[USG5300-policy-interzone-dmz-untrust-inbound-3] [USG5300-policy-interzone-dmz-untrust-inbound-3] policy destination 10.10.11.2 0 policy service service-set http[USG5300-policy-interzone-dmz-untrust-inbound-3] action permit[USG5300-policy-interzone-dmz-untrust-inbound-3] quit[USG5300-policy-interzone-dmz-untrust-inbound] quit配置内部服务器：<USG5300>system-view[USG5300] natserver protocol tcp global 220.10.10.16 8080 inside 10.10.11.2 www [USG5300] natserver protocol tcp global 220.10.10.17 ftp inside 10.10.11.3 ftpNAT 2、通过公网接口的方式创建 Trust 区域和 Untrust 区域之间的 NAT 策略，确定进行 NAT 转换的源地址范围 192.168.1.0/24 网段，并且将其与外网接口 GigabitEthernet 0/0/4 进行绑定。

USG系列设备维护以下内容将详细向您介绍设备的维护方法（包括设备韧体的上传(即设备升级)和恢复设备出厂设置）一、设备升级：步骤如下：1、打开web浏览器，输入设备管理IP:https://192.168.1.1，输入用户名:admin,密码:1234。

点击登录进入设备配置界面。

若您想更改设备管理员密码，您需要在如下界面输入您更改的新密码，点击应用，如您不需要更改密码，请点击忽略。

2、进入维护配置界面，打开文件管理＞韧体上传，点击开启档案。

找到对应设备的bin 文件，点击上传。

3、等待设备的升级，这期间设备可能会重启若干次，而设备sys 灯在不断闪烁，可能需要花费五分钟时间，请您耐心等待。

（注意:升级设备时请不要断电）升级完成时，设备sys灯将常亮，重新登陆设备，显示如下界面，再次输入用户名、密码登陆设备。

4、进入设备配置界面后，显示升级后的版本。

如下：二、设备恢复出厂设置：1、登陆维护配置界面，打开文件管理＞配置文件，点击开启档案。

找到设备的conf 文件，点击上传，上传文件后，该文件会现在配置文件中。

默认的出厂文件，也可以是在经过配置后所备份的文件）正在恢复出厂设置。

当设备sys灯稳定常亮，说明设备恢复出厂完毕。

USG系列设备注册及服务更新如果您还没有注册的话，您可以在注册您的ZyWALL，激活试用的服务（如防病毒等）。

下面向您具体介绍如何注册设备并激活服务。

1、打开web浏览器，输入设备管理IP:https://192.168.1.1，登录设备配置界面，依次进入许可证＞注册，在如下界面选择新建帐号。

2、输入：用户名:6到20位的包括数字和字母的字符（包括下划线），不允许使用空格。

点击检查按钮确认该用户名是否有效。

密码:一个6到20位的包括数字和字母的密码（包括下划线），不允许使用空格。

E-Mail地址:输入您的e-mail地址。

最多80位的包括数字和字母的字符（包括句点和下划线），不允许使用空格。

华为usg防火墙基本配置命令有哪些华为usg防火墙基本配置命令登陆缺省配置的防火墙并修改防火墙的名称防火墙和路由器一样，有一个Console接口。

使用console 线缆将console接口和计算机的com口连接在一块。

使用windows 操作系统自带的超级终端软件，即可连接到防火墙。

防火墙的缺省配置中，包括了用户名和密码。

其中用户名为admin、密码Admin@123，所以登录时需要输入用户名和密码信息，输入时注意区分大小写。

修改防火墙的名称的方法与修改路由器名称的方法一致。

另外需要注意的是，由于防火墙和路由器同样使用了VRP 平台操作系统，所以在命令级别、命令帮助等，与路由器上相应操作相同。

sys13:47:28 2014/07/04Enter system view, return user view withCtrl+Z.[SRG]sysname FW13:47:32 2014/07/04修改防火墙的时间和时区信息默认情况下防火墙没有定义时区，系统保存的时间和实际时间可能不符。

使用时应该根据实际的情况定义时间和时区信息。

实验中我们将时区定义到东八区，并定义标准时间。

clock timezone 1 add 08:00:0013:50:57 2014/07/04dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00clock datetime 13:53:442014/07/0421:53:29 2014/07/03dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00修改防火墙登录标语信息默认情况下，在登陆防火墙，登陆成功后有如下的标语信息。

Please Press ENTER.Login authenticationUsername:adminPassword:*********NOTICE:This is a private communicationsystem.Welcome to USG5500You are logining insystem Please do not delete system config filesNOTICE:This is a private communicationsystem.Unauthorized access or use may lead to prosecution.注意，默认达到NOTICE信息一般都会存在，不会消失或被代替。

华为usg防火墙基本配置命令有哪些修改防火墙的时间和时区信息默认情况下防火墙没有定义时区，系统保存的时间和实际时间可能不符。

使用时应该根据实际的情况定义时间和时区信息。

实验中我们将时区定义到东八区，并定义标准时间。

clock timezone 1 add 08:00:0013:50:57 2014/07/04dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00clock datetime 13:53:442014/07/0421:53:29 2014/07/03dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00修改防火墙登录标语信息默认情况下，在登陆防火墙，登陆成功后有如下的标语信息。

Please Press ENTER.Login authenticationUsername:adminPassword:*********NOTICE:This is a private communicationsystem.Unauthorized access or use may lead to prosecution.防火墙设备以此信息警告非授权的访问。

实际使用中，管理员可以根据需要修改默认的登陆标语信息Please Press ENTER.Welcome to USG5500Login authenticationUsername:adminPassword:*********Welcome to USG5500You are logining insystem Please do not delete system config filesNOTICE:This is a private communicationsystem.Unauthorized access or use may lead to prosecution.注意，默认达到NOTICE信息一般都会存在，不会消失或被代替。

usg6600基本命令华为USG6600系列防火墙是一款功能强大的网络安全设备，提供了丰富的命令行接口（CLI）用于管理和配置。

以下是一些基本命令的介绍：1. 登录：用户可以通过串口、Telnet、SSH等方式登录到USG6600的命令行界面。

例如，使用Telnet登录：telnet 192.168.1.1。

然后输入用户名和密码进行登录。

2. 查看系统信息：用户可以使用命令来查看系统的基本信息，如设备型号、系统版本、当前时间等。

例如：display version.display device.display clock.3. 配置接口：用户可以使用命令配置设备的接口信息，包括IP地址、子网掩码、描述等。

例如，配置接口GigabitEthernet0/0/1的IP地址：interface GigabitEthernet 0/0/1。

ip address 192.168.1.1 24。

description This is a LAN interface.4. 配置安全策略：用户可以使用命令配置防火墙的安全策略，包括访问控制列表（ACL）、NAT、VPN等。

例如，配置一个允许内网主机访问外网的安全策略：acl number 2001。

rule 5 permit source 192.168.1.0 0.0.0.255。

nat address-group 1 1。

interface GigabitEthernet 0/0/1。

zone trust.5. 保存配置：用户在配置完成后，需要使用命令将配置保存到设备中，以防止重启后配置丢失。

例如：save.以上是一些USG6600防火墙的基本命令介绍，当然，USG6600还有更多功能和命令，用户可以根据具体需求学习和使用。

希望以上信息能够对你有所帮助。

华为路由器和防火墙配置命令总结一、用于创建访问规则.（）创建标准访问列表[ ] { } [ ]（）创建扩展访问列表[ ] { } [ [ ] ] [ [ ] [ ] ] [ ]（）删除访问列表{ } { [ ] }【参数说明】指定规则加入普通时间段.指定规则加入特殊时间段.是到之间地一个数值，表示规则是标准访问列表规则.是到之间地一个数值，表示规则是扩展访问列表规则.表明允许满足条件地报文通过.表明禁止满足条件地报文通过.为协议类型，支持、、等，其它地协议也支持，此时没有端口比较地概念；为时有特殊含义，代表所有地协议.为源地址.为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为.为目地地址.为目地地址通配位.[可选] 端口操作符，在协议类型为或时支持端口比较，支持地比较操作有：等于（）、大于（）、小于（）、不等于（）或介于（）；如果操作符为，则后面需要跟两个端口.在协议类型为或时出现，可以为关键字所设定地预设值（如）或之间地一个数值.在协议类型为或且操作类型为时出现；可以为关键字所设定地预设值（如）或之间地一个数值.[可选] 在协议为时出现，代表报文类型；可以是关键字所设定地预设值（如）或者是之间地一个数值.在协议为且没有选择所设定地预设值时出现；代表码，是之间地一个数值.[可选] 表示如果报文符合条件，需要做日志.为删除地规则序号，是之间地一个数值.[可选] 指定删除序号为地访问列表中规则地序号.【缺省情况】系统缺省不配置任何访问规则.【命令模式】全局配置模式【使用指南】同一个序号地规则可以看作一类规则；所定义地规则不仅可以用来在接口上过滤报文，也可以被如等用来判断一个报文是否是感兴趣地报文，此时，与表示是感兴趣地还是不感兴趣地.使用协议域为地扩展访问列表来表示所有地协议.同一个序号之间地规则按照一定地原则进行排列和选择，这个顺序可以通过命令看到.【举例】允许源地址为网络、目地地址为网络地访问，但不允许使用.()()【相关命令】二、清除访问列表规则地统计信息.[ ]【参数说明】[可选] 要清除统计信息地规则地序号，如不指定，则清除所有地规则地统计信息.【缺省情况】任何时候都不清除统计信息.【命令模式】特权用户模式【使用指南】使用此命令来清除当前所用规则地统计信息，不指定规则编号则清除所有规则地统计信息.【举例】例：清除当前所使用地序号为地规则地统计信息.例：清除当前所使用地所有规则地统计信息.【相关命令】三、启用或禁止防火墙.{ }【参数说明】表示启用防火墙.表示禁止防火墙.【缺省情况】系统缺省为禁止防火墙.【命令模式】全局配置模式【使用指南】使用此命令来启用或禁止防火墙，可以通过命令看到相应结果.如果采用了时间段包过滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙地总开关.在使用命令关闭防火墙时，防火墙本身地统计信息也将被清除.【举例】启用防火墙.()【相关命令】，四、配置防火墙在没有相应地访问规则匹配时，缺省地过滤方式.{ }【参数说明】表示缺省过滤属性设置为“允许”.表示缺省过滤属性设置为“禁止”.【缺省情况】在防火墙开启地情况下，报文被缺省允许通过.【命令模式】全局配置模式【使用指南】当在接口应用地规则没有一个能够判断一个报文是否应该被允许还是禁止时，缺省地过滤属性将起作用；如果缺省过滤属性是“允许”，则报文可以通过，否则报文被丢弃.【举例】设置缺省过滤属性为“允许”.()五、使用此命令将规则应用到接口上.使用此命令地形式来删除相应地设置.{ }[ ] { }【参数说明】为规则序号，是之间地一个数值.表示规则用于过滤从接口收上来地报文.表示规则用于过滤从接口转发地报文.【缺省情况】没有规则应用于接口.【命令模式】接口配置模式.【使用指南】使用此命令来将规则应用到接口上；如果要过滤从接口收上来地报文，则使用关键字；如果要过滤从接口转发地报文，使用关键字.一个接口地一个方向上最多可以应用类不同地规则；这些规则之间按照规则序号地大小进行排列，序号大地排在前面，也就是优先级高.对报文进行过滤时，将采用发现符合地规则即得出过滤结果地方法来加快过滤速度.所以，建议在配置规则时，尽量将对同一个网络配置地规则放在同一个序号地访问列表中；在同一个序号地访问列表中，规则之间地排列和选择顺序可以用命令来查看.【举例】将规则应用于过滤从以太网口收上来地报文.()【相关命令】六、设定或取消特殊时间段.【参数说明】为一个时间段地开始时间.为一个时间段地结束时间，应该大于开始时间.【缺省情况】系统缺省没有设置时间段，即认为全部为普通时间段. 【命令模式】全局配置模式【使用指南】使用此命令来设置时间段；可以最多同时设置个时间段，通过命令可以看到所设置地时间.如果在已经使用了一个时间段地情况下改变时间段，则此修改将在一分钟左右生效（系统查询时间段地时间间隔）.设置地时间应该是小时制.如果要设置类似晚上点到早上点地时间段，可以设置成“ ”，因为所设置地时间段地两个端点属于时间段之内，故不会产生时间段内外地切换.另外这个设置也经过了问题地测试.【举例】例：设置时间段为，.()例：设置时间段为晚上点到早上点.()【相关命令】，七、显示包过滤规则及在接口上地应用.[ ]【参数说明】表示所有地规则，包括普通时间段内及特殊时间段内地规则.为显示当前所使用地规则中序号为地规则.表示要显示在指定接口上应用地规则序号.为接口地名称.【命令模式】特权用户模式【使用指南】使用此命令来显示所指定地规则，同时查看规则过滤报文地情况.每个规则都有一个相应地计数器，如果用此规则过滤了一个报文，则计数器加；通过对计数器地观察可以看出所配置地规则中，哪些规则是比较有效，而哪些基本无效.可以通过带关键字地命令来查看某个接口应用规则地情况.【举例】例：显示当前所使用地序号为地规则.( ) ( ) ( )例：显示接口上应用规则地情况.: :【相关命令】八、显示防火墙状态.【命令模式】特权用户模式【使用指南】使用此命令来显示防火墙地状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙地一些统计信息.【举例】显示防火墙状态., '' : : , , , , , , , , : , , .【相关命令】九、显示当前时间是否在时间段之内.【命令模式】特权用户模式【使用指南】使用此命令来显示当前时间是否在时间段之内.【举例】显示当前时间是否在时间段之内..【相关命令】，十、显示时间段包过滤地信息.【命令模式】特权用户模式【使用指南】使用此命令来显示当前是否允许时间段包过滤及所设置地时间段.【举例】显示时间段包过滤地信息..【相关命令】，十一、启用或禁止时间段包过滤功能.{ }【参数说明】表示启用时间段包过滤.表示禁止采用时间段包过滤.【缺省情况】系统缺省为禁止时间段包过滤功能.【命令模式】全局配置模式个人收集整理-ZQ【使用指南】使用此命令来启用或禁止时间段包过滤功能，可以通过命令看到，也可以通过命令看到配置结果.在时间段包过滤功能被启用后，系统将根据当前地时间和设置地时间段来确定使用时间段内（特殊）地规则还是时间段外（普通）地规则.系统查询时间段地精确度为分钟.所设置地时间段地两个端点属于时间段之内.【举例】启用时间段包过滤功能.()【相关命令】，b5E2R。

第三篇：华为USG防⽕墙配置命令1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27system-view //进⼊管理员视图，类似思科的config terminal sysname //修改设备名，类似思科的hostnamequit //退出当前级，类似思科的exitsave //保存，类似思科的writeundo //取消，类似思科的nointerface//进⼊接⼝display //显⽰状态，类似思科的showdisplay this//显⽰当前接⼝状态display ip interface brief //显⽰所有接⼝ip状态ip address x.x.x.x x //添加IP地址display zone //显⽰所有安全区域状态firewall zone name xx //添加安全区域set priority xx //设置安全级别add interface xxx //添加接⼝display firewall session table //显⽰会话列表display firewall session table verbose //显⽰会话详细信息firewall session aging-time //调整⽼化时间Interface GigabitEthernet x/x/x.x //进⼊⼦接⼝Vlan-type dot1q 10 //⼦接⼝标签Portswitch //将接⼝从三层模式切换到⼆层模式Port link-type //设置接⼝类型（access 或trunk）Port trunk allow-pass vlan //允许vlan流量通过Policy interzone //配置区域间策略（USG5500）Security-policy //配置全局策略（USG6000V）Policy //配置策略命令（USG5500）Rule name xx //配置策略名称（USG6000V）Source-zone //源区域（USG6000V）Destination-zone //⽬标区域（USG6000V）Source-address //源地址（USG6000V）Destination-address //⽬标地址（USG6000V）Action //激活策略命令Display policy //显⽰策略命令（后⾯跟all参数可以显⽰所有策略）Firewall packet-filter //修改缺省包过滤Rip X //进⼊RIP动态路由配置Network x.x.x.x //配置动态路由Policy service //配置服务或协议（USG5500）Service //配置服务或协议（USG6000V）Policy move //移动策略顺序system-view //进⼊管理员视图，类似思科的config terminal sysname //修改设备名，类似思科的hostnamequit //退出当前级，类似思科的exitsave //保存，类似思科的writeundo //取消，类似思科的nointerface//进⼊接⼝display //显⽰状态，类似思科的showdisplay this//显⽰当前接⼝状态display ip interface brief //显⽰所有接⼝ip状态ip address x.x.x.x x //添加IP地址display zone //显⽰所有安全区域状态firewall zone name xx //添加安全区域set priority xx //设置安全级别add interface xxx //添加接⼝display firewall session table //显⽰会话列表display firewall session table verbose //显⽰会话详细信息firewall session aging-time //调整⽼化时间Interface GigabitEthernet x/x/x.x //进⼊⼦接⼝Vlan-type dot1q 10 //⼦接⼝标签Portswitch //将接⼝从三层模式切换到⼆层模式Port link-type //设置接⼝类型（access 或trunk）Port trunk allow-pass vlan //允许vlan流量通过Policy interzone //配置区域间策略（USG5500）Security-policy //配置全局策略（USG6000V）Policy //配置策略命令（USG5500）Rule name xx //配置策略名称（USG6000V）Source-zone //源区域（USG6000V）28 29 30 31 32 33 34 35 36 37 38Destination-zone //⽬标区域（USG6000V）Source-address //源地址（USG6000V）Destination-address //⽬标地址（USG6000V）Action //激活策略命令Display policy //显⽰策略命令（后⾯跟all参数可以显⽰所有策略）Firewall packet-filter //修改缺省包过滤Rip X //进⼊RIP动态路由配置Network x.x.x.x //配置动态路由Policy service //配置服务或协议（USG5500）Service //配置服务或协议（USG6000V）Policy move //移动策略顺序。

华为防⽕墙配置命令⼤全，带案例，相当详细的！关于阿龙⼀个专注于计算机⽹络的⾮著名砖家，2016年拥有HCIE认证（数通⽅向），全球唯⼀编号：3558，分享计算机⽹络知识，让枯燥的技术知识变得更有趣，让⽂字动起来，让⽹络变得更简单。

信息爆炸的年代，过多⽆⽤的信息充斥着我们，学⽹络技术，关注⼀个号就够了，⼀起交流，共同进步。

防⽕墙（Firewall）也称防护墙，是由Check Point创⽴者Gil Shwed于1993年发明并引⼊国际互联⽹（US5606668（A）1993-12-15）防⽕墙是位于内部⽹和外部⽹之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。

防⽕墙是系统的第⼀道防线，其作⽤是防⽌⾮法⽤户的进⼊。

初始化防⽕墙初始化防⽕墙: 默认⽤户名为admin,默认的密码Admin@123,这⾥修改密码为along@163.Username:adminPassword:*****The password needs to be changed. Change now? [Y/N]: yPlease enter old password: Admin@123Please enter new password: Along@163Please confirm new password: Along@163<FW1> system-view // 进⼊系统视图[FW1] sysname FW1 // 给防⽕墙命名[FW1] undo info-center enable // 关闭⽇志弹出功能[FW1] quit<FW1> language-mode Chinese // 将提⽰修改为中⽂Change language mode, confirm? [Y/N] y提⽰：改变语⾔模式成功.开启Web管理界⾯: 默认防⽕墙console接⼝IP地址是192.168.0.1.<FW1> system-view[FW1] web-manager enable // 开启图形管理界⾯[FW1] interface GigabitEthernet 0/0/0[FW1-GigabitEthernet0/0/0] ip address 192.168.0.1 24 // 给接⼝配置IP地址[FW1-GigabitEthernet0/0/0] service-manage all permit // 放⾏该端⼝的请求[FW1-GigabitEthernet0/0/0] display this配置Console⼝登陆:<FW1> system-view // 进⼊系统视图[FW1] user-interface console 0 // 进⼊console0的⽤户配置接⼝[FW1-ui-console0] authentication-mode password // 使⽤密码验证模式[FW1-ui-console0] set authentication password cipher Admin1234 // 设置密码为Admin1234[FW1-ui-console0] quit // 退出⽤户配置接⼝配置telnet密码认证: 配置密码认证模式,此处配置密码为Admin@123.FW1> system-view[FW1] telnet server enable // 开启Telnet⽀持[FW1] interface GigabitEthernet 0/0/0 // 选择配置接⼝[FW1-GigabitEthernet0/0/0] service-manage telnet permit // 允许telnet[FW1-GigabitEthernet0/0/0] quit[FW1] user-interface vty 0 4 // 开启虚拟终端[FW1-ui-vty0-4] protocol inbound telnet // 允许telnet[FW1-ui-vty0-4] authentication-mode password // 设置为密码认证模式[FW1-ui-vty0-4] set authentication password cipher Admin@123 // 设置⽤户密码[USG6000V1] firewall zone trust // 选择安全区域[USG6000V1-zone-trust] add interface GE0/0/0 // 添加到安全区域配置telnet⽤户名密码认证:<FW1> system-view // 进⼊系统视图[FW1] interface GigabitEthernet 0/0/0 // 进⼊接⼝配置[FW1-GigabitEthernet0/0/0] ip address 192.168.0.1 24 // 配置接⼝IP[FW1-GigabitEthernet0/0/0] service-manage telnet permit // 允许telnet[FW1-GigabitEthernet0/0/0] service-manage ping permit // 允许ping[FW1-GigabitEthernet0/0/0] quit //退出[FW1] firewall zone trust // 进⼊trust安全域配置[FW1-zone-trust] add interface GigabitEthernet 0/0/0 // 把GE0/0/0加⼊到trust安全域[FW1-zone-trust] quit[FW1] telnet server enable // 启⽤telnet服务[FW1] user-interface vty 0 4 // 进⼊vty0-4的⽤户配置接⼝[FW1-ui-vty0-4] authentication-mode aaa // 使⽤AAA验证模式[FW1-ui-vty0-4] user privilege level 3 // 配置⽤户访问的命令级别为3[FW1-ui-vty0-4] protocol inbound telnet // 配置telnet[FW1-ui-vty0-4] quit // 退出⽤户配置接⼝[FW1] aaa // 进⼊AAA配置视图[FW1-aaa] manager-user lyshark // 创建⽤户vtyadmin[FW1-aaa-manager-user-lyshark] password cipher admin@123 // 配置⽤户密码[FW1-aaa-manager-user-lyshark] service-type telnet // 配置服务类型[FW1-aaa-manager-user-lyshark] quit // 退出[FW1-aaa] bind manager-user lyshark role system-admin // 绑定管理员⾓⾊[FW1-aaa] quit // 退出AAA视图常⽤查询命令: 查询防⽕墙的其他配置,常⽤的⼏个命令如下.[FW1] display ip interface brief // 查默认接⼝信息[FW1] display ip routing-table // 显⽰路由表[FW1] display zone // 显⽰防⽕墙区域[FW1] display firewall session table // 显⽰当前会话[FW1] display security-policy rule all // 显⽰安全策略配置到这⾥,我们就可以在浏览器中访问了,其访问地址是http://192.168.0.1防⽕墙基本配置初始化防⽕墙: 初始化配置,并设置好防⽕墙密码,此处⽤户名admin密码是along@123. Username:adminPassword:*****The password needs to be changed. Change now? [Y/N]: yPlease enter old password: Admin@123Please enter new password: Along@163Please confirm new password: Along@163<USG6000V1> system-view // 进⼊系统视图[USG6000V1] sysname FW1 // 给防⽕墙命名[FW1] undo info-center enable // 关闭⽇志弹出功能[FW1] quit<FW1> language-mode Chinese // 将提⽰修改为中⽂[FW1] web-manager enable // 开启图形管理界⾯[FW1] interface GigabitEthernet 0/0/0[FW1-GigabitEthernet0/0/0] service-manage all permit // 放⾏该端⼝的请求配置内⽹接⼝: 配置内⽹的接⼝信息,这⾥包括个GE 1/0/0 and GE 1/0/1这两个内⽹地址. <FW1> system-view[FW1] interface GigabitEthernet 1/0/0[FW1-GigabitEthernet1/0/0] ip address 192.168.1.1 255.255.255.0[FW1-GigabitEthernet1/0/0] undo shutdown[FW1-GigabitEthernet1/0/0] quit[FW1] interface GigabitEthernet 1/0/1[FW1-GigabitEthernet1/0/1] ip address 192.168.2.1 255.255.255.0[FW1-GigabitEthernet1/0/1] undo shutdown[FW1-GigabitEthernet1/0/1] quit# -------------------------------------------------------[FW1] firewall zone trust // 将前两个接⼝加⼊trust区域[FW1-zone-trust] add interface GigabitEthernet 1/0/0[FW1-zone-trust] add interface GigabitEthernet 1/0/1配置外⽹接⼝: 配置外⽹接⼝GE 1/0/2接⼝的IP地址,并将其加⼊到untrust区域中.[FW1] interface GigabitEthernet 1/0/2 // 选择外⽹接⼝[FW1-GigabitEthernet1/0/2] undo shutdown // 开启外⽹接⼝[FW1-GigabitEthernet1/0/2] ip address 10.10.10.10 255.255.255.0 // 配置IP地址[FW1-GigabitEthernet1/0/2] gateway 10.10.10.20 // 配置⽹关[FW1-GigabitEthernet1/0/2] undo service-manage enable[FW1-GigabitEthernet1/0/2] quit# -------------------------------------------------------[FW1] firewall zone untrust // 选择外⽹区域[FW1-zone-untrust] add interface GigabitEthernet 1/0/2 // 将接⼝加⼊到此区域配置安全策略: 配置防⽕墙安全策略,放⾏trust(内⽹)-->untrust(外⽹)的数据包.[FW1] security-policy // 配置安全策略[FW1-policy-security] rule name lyshark // 规则名称[FW1-policy-security-rule-lyshark] source-zone trust // 原安全区域(内部)[FW1-policy-security-rule-lyshark] destination-zone untrust // ⽬标安全区域(外部)[FW1-policy-security-rule-lyshark] source-address any // 原地址区域[FW1-policy-security-rule-lyshark] destination-address any // ⽬标地址区域[FW1-policy-security-rule-lyshark] service any // 放⾏所有服务[FW1-policy-security-rule-lyshark] action permit // 放⾏配置[FW1-policy-security-rule-lyshark] quit配置源NAT:配置原NAT地址转换,仅配置源地址访问内⽹ --> 公⽹的转换.[FW1] nat-policy // 配置NAT地址转换[FW1-policy-nat] rule name lyshark // 指定策略名称[FW1-policy-nat-rule-lyshark] egress-interface GigabitEthernet 1/0/2 // 外⽹接⼝IP[FW1-policy-nat-rule-lyshark] action source-nat easy-ip // 源地址转换[FW1-policy-nat-rule-lyshark] display this配置⽬标NAT: 外⽹访问10.10.10.10⾃动映射到内⽹的192.168.2.1这台主机上.[FW1] firewall zone untrust // 选择外⽹区域[FW1-zone-untrust] add interface GigabitEthernet 1/0/2 // 将接⼝加⼊到此区域# ----NAT规则---------------------------------------------------# 外⽹主机访问10.10.10.10主机⾃动映射到内部的192.168.2.2[FW1] firewall detect ftp[FW1] nat server lyshark global 10.10.10.10 inside 192.168.2.2 no-reverse# ----放⾏规则---------------------------------------------------[FW1] security-policy // 配置安全策略[FW1-policy-security] rule name untrs-trs // 规则名称[FW1-policy-security-rule-lyshark] source-zone untrust // 原安全区域(外部)[FW1-policy-security-rule-lyshark] destination-zone trust // ⽬标安全区域(内部)[FW1-policy-security-rule-lyshark] action permit // 放⾏配置[FW1-policy-security-rule-lyshark] quitNAT 地址转换配置内⽹区域: 分别配置防⽕墙内⽹接⼝GE1/0/0 and GE1/0/1设置IP地址,并加⼊指定区域内. <FW1>system-view[FW1]undo info-center enable# ----配置IP地址-----------------------------------------------[FW1] interface GigabitEthernet 1/0/0[FW1-GigabitEthernet1/0/0] ip address 192.168.1.1 24[FW1-GigabitEthernet1/0/0] quit[FW1] interface GigabitEthernet 1/0/1[FW1-GigabitEthernet1/0/1] ip address 192.168.2.1 24[FW1-GigabitEthernet1/0/1] quit# ----加⼊到指定区域--------------------------------------------[FW1] firewall zone trust[FW1-zone-trust] add interface GigabitEthernet 1/0/0[FW1] firewall zone dmz[FW1-zone-dmz] add interface GigabitEthernet 1/0/1配置外⽹区域: 然后配置外⽹地址,将Gig 1/0/2加⼊到untrust区域内.[FW1] interface GigabitEthernet 1/0/2[FW1-GigabitEthernet1/0/2] ip address 10.10.10.10 8[FW1] firewall zone untrust[FW1] firewall zone untrust[FW1-zone-dmz] add interface GigabitEthernet 1/0/2配置源NAT: 配置原NAT地址转换,仅配置源地址访问内⽹ --> 公⽹的转换.# ----配置源NAT转换---------------------------------------------[FW1] nat-policy // 配置NAT地址转换[FW1-policy-nat] rule name lyshark // 指定策略名称[FW1-policy-nat-rule-lyshark] egress-interface GigabitEthernet 1/0/2 // 外⽹接⼝IP[FW1-policy-nat-rule-lyshark] action source-nat easy-ip // 源地址转换[FW1-policy-nat-rule-lyshark] display this# ----放⾏相关安全策略------------------------------------------[FW1] security-policy[FW1-policy-security] rule name trust_untrust[FW1-policy-security-rule] source-zone trust[FW1-policy-security-rule] destination-zone untrust[FW1-policy-security-rule] action permit配置⽬标NAT: 外⽹访问10.10.10.10⾃动映射到内⽹的192.168.2.2这台主机上. # ----NAT规则---------------------------------------------------# 外⽹主机访问10.10.10.10主机⾃动映射到内部的192.168.2.2[FW1] firewall detect ftp[FW1]nat server lyshark global 10.10.10.10 inside 192.168.2.2 no-reverse# ----放⾏规则---------------------------------------------------[FW1] security-policy // 配置安全策略[FW1-policy-security] rule name untrs-DMZ // 规则名称[FW1-policy-security-rule-untrs-DMZ] source-zone untrust // 原安全区域(外部)[FW1-policy-security-rule-untrs-DMZ] destination-zone trust // ⽬标安全区域(内部)[FW1-policy-security-rule-untrs-DMZ] destination-address 192.168.2.2 24[FW1-policy-security-rule-untrs-DMZ] service any[FW1-policy-security-rule-untrs-DMZ] action permit // 放⾏配置[FW1-policy-security-rule-untrs-DMZ] quit配成交换机（透明模式）配置两台交换机: 分别配置两台交换机,并划分到相应的VLAN区域内.# ----配置LSW1交换机--------------------------------------------<Huawei> system-view[LSW1] vlan 10 // 创建VLAN10[LSW1] quit[LSW1] interface Ethernet 0/0/1 // 将该接⼝配置为trunk[LSW1-Ethernet0/0/1] port link-type trunk[LSW1-Ethernet0/0/1] port link-type trunk[LSW1-Ethernet0/0/1] port trunk allow-pass vlan 10 // 加⼊到vlan 10[LSW1-Ethernet0/0/1] quit[LSW1] port-group group-member Eth0/0/2 to Eth0/0/3[LSW1-port-group] port link-type access[LSW1-port-group] port default vlan 10[LSW1-port-group] quit# ----配置LSW2交换机--------------------------------------------<Huawei> system-view[LSW2] vlan 20[LSW1] quit[LSW2] interface Ethernet 0/0/1[LSW2-Ethernet0/0/1] port link-type trunk[LSW2-Ethernet0/0/1] port trunk allow-pass vlan 20[LSW2-Ethernet0/0/1] quit[LSW2] port-group group-member Eth0/0/2 to Eth0/0/3[LSW2-port-group] port link-type access[LSW2-port-group] port default vlan 20[LSW2-port-group] quit配置防⽕墙: 配置Gig1/0/0和Gig1/0/1接⼝为trunk模式,并分别配置好⽹关地址. [FW1] vlan 10[FW1-vlan10] quit[FW1] vlan 20[FW1-vlan20] quit# ----配置防⽕墙接⼝地址-----------------------------------------[FW1] interface GigabitEthernet 1/0/0[FW1-GigabitEthernet1/0/0] portswitch[FW1-GigabitEthernet1/0/0] port link-type trunk[FW1-GigabitEthernet1/0/0] port trunk allow-pass vlan 10[FW1] interface GigabitEthernet 1/0/1[FW1-GigabitEthernet1/0/1] portswitch[FW1-GigabitEthernet1/0/1] port link-type trunk[FW1-GigabitEthernet1/0/1] port trunk allow-pass vlan 20# ----分别给VLAN配置IP地址---------------------------------------[FW1]interface Vlanif 10[FW1-Vlanif10][FW1-Vlanif10]ip address 192.168.10.1 255.255.255.0[FW1-Vlanif10]alias vlan 10[FW1-Vlanif10]service-manage ping permit[FW1] interface Vlanif 20[FW1-Vlanif20][FW1-Vlanif20] ip address 192.168.20.1 255.255.255.0[FW1-Vlanif20] alias vlan 20[FW1-Vlanif20] service-manage ping permit添加防⽕墙区域: 将vlan10和vlan20添加到trust区域内.[FW1]firewall zone trust[FW1-zone-trust] add interface Vlanif 10[FW1-zone-trust] add interface Vlanif 20主备双机热备放⾏所有数据包(两台墙): 为了演⽰实验,需要⼿动放⾏数据包# ------------------------------------------------------------# 将默认防⽕墙规则,设置为允许所有[FW1] security-policy[FW1-policy-security] rule name anyall // 指定规则名称[FW1-policy-security-rule-anyall] source-zone any // 源地址允许所有[FW1-policy-security-rule-anyall] destination-zone any // ⽬标地址允许所有[FW1-policy-security-rule-anyall] action permit // 放⾏[FW1-policy-security-rule-anyall] quit[FW1-policy-security] quit# ------------------------------------------------------------# 将指定的接⼝加⼊到指定的区域内[FW1] firewall zone trust // 选择trust区域[FW1-zone-trust] add interface GigabitEthernet 1/0/0 // 添加内部的端⼝[FW1-zone-trust] quit[FW1] firewall zone untrust // 添加untru区域[FW1-zone-untrust] add interface GigabitEthernet 1/0/1 // 添加外部接⼝[FW1-zone-trust] quit配置IP地址(两台) ：给防⽕墙的两个接⼝配置好IP地址.# ------------------------------------------------------------# 配置防⽕墙FW1[FW1] interface GigabitEthernet 1/0/0 // 选择内部接⼝[FW1-GigabitEthernet1/0/0] ip address 192.168.1.253 24 // 配置防⽕墙IP[FW1-GigabitEthernet1/0/0] service-manage ping permit // 开启接⼝ping[FW1-GigabitEthernet1/0/0] quit[FW1] interface GigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1] ip address 10.10.10.20 8[FW1-GigabitEthernet1/0/1] service-manage ping permit[FW1-GigabitEthernet1/0/1] quit# ------------------------------------------------------------# 配置防⽕墙FW2[FW2] interface GigabitEthernet 1/0/0 // 选择内部接⼝[FW2-GigabitEthernet1/0/0] ip address 192.168.1.254 24 // 配置防⽕墙IP[FW2-GigabitEthernet1/0/0] service-manage ping permit // 开启接⼝ping[FW2-GigabitEthernet1/0/0] quit[FW2-GigabitEthernet1/0/0] quit[FW2] interface GigabitEthernet1/0/1[FW2-GigabitEthernet1/0/1] ip address 10.10.10.30 8[FW2-GigabitEthernet1/0/1] service-manage ping permit[FW2-GigabitEthernet1/0/1] quit开启源NAT地址:将内⽹数据映射到外⽹.# ------------------------------------------------------------# 配置防⽕墙FW1[FW1] nat-policy // 配置NAT地址转换[FW1-policy-nat] rule name tru_untr // 指定策略名称[FW1-policy-nat-rule-tru_untr] egress-interface GigabitEthernet 1/0/1 // 外⽹接⼝IP [FW1-policy-nat-rule-tru_untr] action source-nat easy-ip // 源地址转换[FW1-policy-nat-rule-tru_untr] display this# ------------------------------------------------------------# 配置防⽕墙FW2[FW2] nat-policy // 配置NAT地址转换[FW2-policy-nat] rule name tru_untr // 指定策略名称[FW2-policy-nat-rule-tru_untr] egress-interface GigabitEthernet 1/0/1 // 外⽹接⼝IP [FW2-policy-nat-rule-tru_untr] action source-nat easy-ip // 源地址转换[FW2-policy-nat-rule-tru_untr] display this开启VRRP⽀持(两台)# ------------------------------------------------------------# 配置防⽕墙FW1[FW1] interface GigabitEthernet 1/0/0 // 选择内部接⼝[FW1-GigabitEthernet1/0/0] vrrp vrid 1 virtual-ip 192.168.1.1 active // 配置虚拟接⼝为主[FW1-GigabitEthernet1/0/0] quit[FW1] interface GigabitEthernet 1/0/1 // 选择外部接⼝[FW1-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 10.10.10.10 active[FW1-GigabitEthernet1/0/1] quit# ------------------------------------------------------------# 配置防⽕墙FW12[FW2] interface GigabitEthernet 1/0/0 // 选择内部接⼝[FW2-GigabitEthernet1/0/0] vrrp vrid 1 virtual-ip 192.168.1.1 standby // 配置虚拟接⼝为备[FW2-GigabitEthernet1/0/0] quit[FW2] interface GigabitEthernet 1/0/1[FW2-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 10.10.10.10 standby[FW2-GigabitEthernet1/0/1] quitHRP配置(两台):# ------------------------------------------------------------# 配置防⽕墙FW1[FW1] hrp enableHRP_S[FW1] hrp interface GigabitEthernet 0/0/0 remote 172.16.1.2 // 指定接⼝和对端IP HRP_M[FW1] interface GigabitEthernet 0/0/0 // 选择虚拟接⼝HRP_M[FW1-GigabitEthernet0/0/0] ip address 172.16.1.1 24 // 配置本端IP地址# ------------------------------------------------------------# 配置防⽕墙FW2[FW2] hrp enableHRP_S[FW2] hrp standby-deviceHRP_S[FW2] hrp interface GigabitEthernet 0/0/0 remote 172.16.1.1HRP_S[FW2] interface GigabitEthernet 0/0/0HRP_S[FW2-GigabitEthernet0/0/0] ip address 172.16.1.2 24检查配置：注意1：默认处于 standby 状态的设备不允许配置安全策略，只允许在主设备配置安全策略，且安全策略会⾃动同步到备设备上⾯。

华为U S G防火墙运维命令大全This model paper was revised by LINDA on December 15, 2012.华为USG防火墙运维命令大全1查会话使用场合针对可以建会话的报文，可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。

命令介绍（命令类）display firewall session table [ verbose ] { source { inside | global } | destination { inside | global } } [ source-vpn-inst { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ]使用方法（工具类）首先确定该五元组是否建会话，对于TCP/UDP/ICMP（ICMP只有echo request和echo reply建会话）/GRE/ESP/AH的报文防火墙会建会话，其它比SCTP/OSPF/VRRP等报文防火墙不建会话。

如果会话已经建立，并且一直有后续报文命中刷新，基本可以排除防火墙的问题，除非碰到来回路径不一致况，需要关闭状态检测。

如果没有对应的五元组会话或者对于不建会话的报文，继续后续排查方法。

Global：表示在做NAT时转换后的IP。

Inside：表示在做NAT时转换前的IP。