H3C防火墙作为企业网络边界安全的核心设备，其配置的合理性和准确性直接决定了网络的防护能力。然而，防火墙功能复杂、命令繁多，新手工程师往往难以快速掌握核心配置技巧。本文精选H3C防火墙必学命令，覆盖基础配置、安全策略、NAT、VPN、高可用性等场景，配合详细示例与原理讲解

一、基础配置篇：网络连通与设备管理

system-view

用途：进入系统视图，开始配置防火墙。

<H3C> system-view  
[H3C]

 sysname

用途：修改设备名称，便于管理。

语法：sysname <name>

[H3C] sysname FW-Core  
[FW-Core]

interface GigabitEthernet 1/0/1

用途：进入接口视图，配置物理接口参数。

[FW-Core] interface GigabitEthernet 1/0/1  
[FW-Core-GigabitEthernet1/0/1] ip address 192.168.1.1 24  
[FW-Core-GigabitEthernet1/0/1] undo shutdown  # 启用接口

display interface brief

用途：快速查看所有接口状态与IP地址。

save

用途：保存当前配置到启动文件，避免重启丢失。

二、安全策略篇：精准控制流量

security-zone name

用途：创建安全区域（如Trust、Untrust、DMZ）。

[FW-Core] security-zone name Trust  
[FW-Core] security-zone name Untrust

zone-pair security

用途：定义安全区域间的流量方向（源到目的）。

示例（允许Trust到Untrust的流量）：

[FW-Core] zone-pair security source Trust destination Untrust

object-policy

用途：配置对象策略（匹配流量特征并执行动作）。

示例（允许HTTP流量）：

[FW-Core] object-policy ip permit_http  
[FW-Core-object-policy-ip-permit_http] rule 0 permit tcp destination-port eq 80  
[FW-Core-object-policy-ip-permit_http] quit

packet-filter

用途：应用ACL进行流量过滤。

示例（禁止特定IP访问）：

[FW-Core] acl number 3000  
[FW-Core-acl-adv-3000] rule 0 deny ip source 10.1.1.100 0  
[FW-Core-acl-adv-3000] quit  
[FW-Core] packet-filter 3000 inbound

aspf policy

用途：启用ASPF（状态检测）支持多通道协议（如FTP）。

[FW-Core] aspf policy 1  
[FW-Core-aspf-policy-1] detect ftp  
[FW-Core-aspf-policy-1] quit  
[FW-Core] aspf apply policy 1

三、NAT配置篇：地址转换与端口映射

nat address-group

用途：定义NAT地址池。

[FW-Core] nat address-group 1  
[FW-Core-address-group-1] address 202.100.1.10 202.100.1.20

nat outbound

用途：配置源地址转换（动态PAT）。

示例（内网用户通过地址池访问外网）：

[FW-Core] acl number 2000  
[FW-Core-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255  
[FW-Core] interface GigabitEthernet 1/0/2  # 外网接口  
[FW-Core-GigabitEthernet1/0/2] nat outbound 2000 address-group 1

nat server

用途：配置端口映射（发布内部服务器）。

示例（发布内网Web服务器）：

[FW-Core] interface GigabitEthernet 1/0/2  
[FW-Core-GigabitEthernet1/0/2] nat server protocol tcp global 202.100.1.100 80 inside 192.168.1.100 80

四、VPN配置篇：构建加密隧道

ipsec proposal

用途：定义IPSec加密提案（算法组合）。

[FW-Core] ipsec proposal vpn_proposal1  
[FW-Core-ipsec-proposal-vpn_proposal1] encapsulation-mode tunnel  
[FW-Core-ipsec-proposal-vpn_proposal1] esp encryption-algorithm aes 256  
[FW-Core-ipsec-proposal-vpn_proposal1] esp authentication-algorithm sha1

ike proposal

用途：配置IKE阶段1协商参数。

[FW-Core] ike proposal 10  
[FW-Core-ike-proposal-10] encryption-algorithm aes 256  
[FW-Core-ike-proposal-10] dh group14

ike peer

用途：定义对端VPN设备信息。

[FW-Core] ike peer branch_office  
[FW-Core-ike-peer-branch_office] pre-shared-key abc123  
[FW-Core-ike-peer-branch_office] remote-address 203.0.113.5

五、高可用性篇：保障业务连续性

hrp enable

用途：启用双机热备功能（需配合HRP协议）。

hrp standby-device

用途：指定备机设备。

vrrp vrid

用途：配置VRRP虚拟路由器组。

[FW-Core] interface Vlan-interface10  
[FW-Core-Vlan-interface10] vrrp vrid 1 virtual-ip 192.168.1.254  
[FW-Core-Vlan-interface10] vrrp vrid 1 priority 120  # 主设备优先级

六、日志与监控篇：快速定位问题

info-center enable

用途：启用日志功能。

info-center loghost

用途：配置日志服务器地址。

[FW-Core] info-center loghost 192.168.1.100

display session table

用途：查看当前会话表，分析流量状态。

display firewall statistic system

用途：统计防火墙处理流量信息。

七、进阶配置命令

qos apply policy

用途：应用QoS策略限制带宽。

user-identity enable

用途：启用用户身份认证（如与AD域集成）。

attack-defense policy

用途：配置防攻击策略（如防SYN Flood）。

ip route-static

用途：配置静态路由，确保流量正确转发。

示例（添加默认路由）：

[FW-Core] ip route-static 0.0.0.0 0.0.0.0 202.100.1.1

firewall packet-filter default deny

用途：设置默认包过滤策略为拒绝，增强安全性。

[FW-Core] firewall packet-filter default deny

snmp-agent

用途：启用SNMP协议，便于网络监控工具（如Zabbix、PRTG）采集数据。

[FW-Core] snmp-agent  
[FW-Core] snmp-agent community read public  
[FW-Core] snmp-agent sys-info version all

display cpu-usage

用途：查看设备CPU利用率，快速定位性能瓶颈。

扩展：结合 display memory-usage 和 display session table 综合分析设备负载。

通过掌握这30条核心命令，能够高效完成H3C防火墙的部署与维护，成为企业网络安全的中流砥柱！