H3C防火墙作为企业网络边界安全的核心设备，其配置的合理性和准确性直接决定了网络的防护能力。然而，防火墙功能复杂、命令繁多，新手工程师往往难以快速掌握核心配置技巧。本文精选30条H3C防火墙必学命令，覆盖基础配置、安全策略、NAT、VPN、高可用性等场景，配合详细示例与原理讲解，助你从入门到精通！

一、基础配置篇：网络连通与设备管理

system-view

用途：进入系统视图，开始配置防火墙。

<H3C> system-view [H3C] sysname

用途：修改设备名称，便于管理。

语法：sysname <name>

[H3C] sysname FW-Core [FW-Core] interface GigabitEthernet 1/0/1

用途：进入接口视图，配置物理接口参数。

[FW-Core] interface GigabitEthernet 1/0/1 [FW-Core-GigabitEthernet1/0/1] ip address 192.168.1.1 24 [FW-Core-GigabitEthernet1/0/1] undo shutdown # 启用接口 display interface brief

用途：快速查看所有接口状态与IP地址。

save

用途：保存当前配置到启动文件，避免重启丢失。

二、安全策略篇：精准控制流量

security-zone name

用途：创建安全区域（如Trust、Untrust、DMZ）。

[FW-Core] security-zone name Trust [FW-Core] security-zone name Untrust zone-pair security

用途：定义安全区域间的流量方向（源到目的）。

示例（允许Trust到Untrust的流量）：

[FW-Core] zone-pair security source Trust destination Untrust object-policy

用途：配置对象策略（匹配流量特征并执行动作）。

示例（允许HTTP流量）：

[FW-Core] object-policy ip permit_http [FW-Core-object-policy-ip-permit_http] rule 0 permit tcp destination-port eq 80 [FW-Core-object-policy-ip-permit_http] quit packet-filter

用途：应用ACL进行流量过滤。

示例（禁止特定IP访问）：

[FW-Core] acl number 3000 [FW-Core-acl-adv-3000] rule 0 deny ip source 10.1.1.100 0 [FW-Core-acl-adv-3000] quit [FW-Core] packet-filter 3000 inbound aspf policy

用途：启用ASPF（状态检测）支持多通道协议（如FTP）。

[FW-Core] aspf policy 1 [FW-Core-aspf-policy-1] detect ftp [FW-Core-aspf-policy-1] quit [FW-Core] aspf apply policy 1

三、NAT配置篇：地址转换与端口映射

nat address-group

用途：定义NAT地址池。

[FW-Core] nat address-group 1 [FW-Core-address-group-1] address 202.100.1.10 202.100.1.20 nat outbound

用途：配置源地址转换（动态PAT）。

示例（内网用户通过地址池访问外网）：

[FW-Core] acl number 2000 [FW-Core-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [FW-Core] interface GigabitEthernet 1/0/2 # 外网接口 [FW-Core-GigabitEthernet1/0/2] nat outbound 2000 address-group 1 nat server

用途：配置端口映射（发布内部服务器）。

示例（发布内网Web服务器）：

[FW-Core] interface GigabitEthernet 1/0/2 [FW-Core-GigabitEthernet1/0/2] nat server protocol tcp global 202.100.1.100 80 inside 192.168.1.100 80

四、VPN配置篇：构建加密隧道

ipsec proposal

用途：定义IPSec加密提案（算法组合）。

[FW-Core] ipsec proposal vpn_proposal1 [FW-Core-ipsec-proposal-vpn_proposal1] encapsulation-mode tunnel [FW-Core-ipsec-proposal-vpn_proposal1] esp encryption-algorithm aes 256 [FW-Core-ipsec-proposal-vpn_proposal1] esp authentication-algorithm sha1 ike proposal

用途：配置IKE阶段1协商参数。

[FW-Core] ike proposal 10 [FW-Core-ike-proposal-10] encryption-algorithm aes 256 [FW-Core-ike-proposal-10] dh group14 ike peer

用途：定义对端VPN设备信息。

[FW-Core] ike peer branch_office [FW-Core-ike-peer-branch_office] pre-shared-key abc123 [FW-Core-ike-peer-branch_office] remote-address 203.0.113.5

五、高可用性篇：保障业务连续性

hrp enable

用途：启用双机热备功能（需配合HRP协议）。

hrp standby-device

用途：指定备机设备。

vrrp vrid

用途：配置VRRP虚拟路由器组。

[FW-Core] interface Vlan-interface10 [FW-Core-Vlan-interface10] vrrp vrid 1 virtual-ip 192.168.1.254 [FW-Core-Vlan-interface10] vrrp vrid 1 priority 120 # 主设备优先级

六、日志与监控篇：快速定位问题

info-center enable

用途：启用日志功能。

info-center loghost

用途：配置日志服务器地址。

[FW-Core] info-center loghost 192.168.1.100 display session table

用途：查看当前会话表，分析流量状态。

display firewall statistic system

用途：统计防火墙处理流量信息。

七、进阶配置命令

qos apply policy

用途：应用QoS策略限制带宽。

user-identity enable

用途：启用用户身份认证（如与AD域集成）。

attack-defense policy

用途：配置防攻击策略（如防SYN Flood）。

感谢您的提醒！以下是补充的4条重要命令，确保文章完整覆盖30条核心命令：

ip route-static

用途：配置静态路由，确保流量正确转发。

示例（添加默认路由）：

[FW-Core] ip route-static 0.0.0.0 0.0.0.0 202.100.1.1 firewall packet-filter default deny

用途：设置默认包过滤策略为拒绝，增强安全性。

[FW-Core] firewall packet-filter default deny snmp-agent

用途：启用SNMP协议，便于网络监控工具（如Zabbix、PRTG）采集数据。

[FW-Core] snmp-agent [FW-Core] snmp-agent community read public [FW-Core] snmp-agent sys-info version all display cpu-usage

用途：查看设备CPU利用率，快速定位性能瓶颈。

扩展：结合 display memory-usage 和 display session table

综合分析设备负载。

通过掌握这30条核心命令，你将能够高效完成H3C防火墙的部署与维护，成为企业网络安全的中流砥柱！