1、華為 H3C 防火墻配置命令H3CF100S 配置初始化配置H3Csystem-view開啟防火墻功能H3Cfirewall packet-filter enableH3Cfirewall packet-filter default permit分配端口區域H3C firewall zone untrustH3C-zone-trust add interface GigabitEthernet0/0H3C firewall zone trustH3C-zone-trust add interface GigabitEt

2、hernet0/1工作模式firewall mode transparent 透明傳輸firewall mode route 路由模式http 服務器使能 HTTP 服務器 undo ip http shutdown關閉 HTTP 服務器 ip http shutdown添加 WEB 用戶H3C local-user adminH3C-luser-admin password simple adminH3C-luser-admin service-type telnetH3C-luser-admin level 3開啟防范功能firewall defend all 打開所有防范切換為中文模式

3、language-mode chinese設置防火墻的名稱 sysname sysname配置防火墻系統 IP 地址 firewall system-ip system-ip-address address-mask 設置標準時間 clock datetime time date設置所在的時區 clock timezone time-zone-name add minus time取消時區設置 undo clock timezone配置切換用戶級別的口令 super password level user-level simple cipher password取消配置的口令 undo sup

4、er password level user-level 缺缺省情況下，若不指定級別，則設置的為切換到 3 級的密碼。切換用戶級別 super level 直接重新啟動防火墻 reboot開啟信息中心 info-center enable關閉信息中心 undo info-center enableftp server enable顯示下次啟動時加載的配置文件 display saved-configuration by-linenum 顯示系統本次啟動及下次啟動使用的配置文件 display startup顯示當前視圖的配置 display this顯示防火墻的當前的運行配置display c

5、urrent-configuration interfaceinterface-type interface-number configuration isp zone interzone radius-template system user-interface by-linenum begin include exclude string 保存當前配置 save file-name safely 刪除 Flash 中保存的下次啟動時加載的配置文件 reset saved-configuration配置防火墻工作在透明模式 firewall mode transparentH3C SecPa

6、th 系列安全產品 操作手冊（安全） 第 8 章 透明防火墻8-6操作 命令配置防火墻工作在路由模式 firewall mode route恢復防火墻的工作模式為缺省模式 undo firewall mode缺省情況下，防火墻工作在路由模式（route）下。啟動 ARP 表項自動學習功能 firewall arp-learning enable禁止 ARP 表項自動學習功能 undo firewall arp-learning enable缺省情況下，當防火墻工作在透明模式下時，防火墻啟動 ARP 表項自動學習功能。表 8-9 配置 VLAN ID 透傳操作 命令使能接口的 VLAN ID 透

7、傳功能 bridge vlanid-transparent-transmit enable禁止接口的 VLAN ID 透傳功能 undo bridge vlanid-transparent-transmit enable缺省情況下，禁止接口的 VLAN ID 透傳功能。使能 ARP Flood 攻擊防范功能 firewall defend arp-flood max-raterate-number 關閉 ARP Flood 攻擊防范功能 undo firewall defend arp-flood max-rate 缺省為關閉 ARP Flood 攻擊防范功能。ARP 報文的最大連接速率范圍為

8、 11000000，缺省為 100。SecPath 系列安全產品支持以 HTTP 方式登錄到系統中，并通過 Web 管理界面對系統進行配置和管理。在使用 Web 界面登錄到系統前，必須先使能 HTTP 服務器功能。請在系統視圖下進行下列配置。H3C SecPath 系列安全產品 操作手冊（基礎配置） 第 4 章 系統維護管理4-17表 4-17 使能/關閉 HTTP 服務器操作 命令使能 HTTP 服務器 undo ip http shutdown關閉 HTTP 服務器 ip http shutdown缺省情況下，系統使能 HTTP 服務器。僅當登錄用戶具有 Telnet 的服務類型時（ser

9、vice-type telnet），才允許登錄 HTTP服務器，且不同等級的用戶在 Web 界面中的可配置項也會不同。配置 HTTP 服務器的訪問限制可以配置 HTTP 服務器，使僅具有特定 IP 地址的用戶才可以登錄 HTTP 服務器，對設備進行配置和管理。請在系統視圖下進行下列配置。表 4-18 配置 HTTP 服務器的訪問限制操作 命令配置 HTTP 服務器的訪問限制 ip http acl acl-number取消對 HTTP 服務器的訪問限制 undo ip http acl缺省情況下，未配置 HTTP 服務器的訪問限制。僅 ACL 中允許的 IP 地址才可以訪問 HTTP 服務器。

10、表 3-10 顯示系統狀態信息操作 命令顯示系統版本信息 display version顯示詳細的軟件版本信息 vrbd顯示系統時鐘 display clock顯示終端用戶 display users all 顯示起始配置信息 display saved-configuration顯示當前配置信息 display current-configuration顯示調試開關狀態 display debugging interface interface-typeinterface-number module-name 顯示當前視圖的運行配置 display this顯示技術支持信息 display

11、diagnostic-information顯示剪貼板的內容 display clipboardH3C SecPath 系列安全產品 操作手冊（基礎配置） 第 3 章 Comware 的基本配置3-5操作 命令顯示當前系統內存使用情況 display memory limit 顯示 CPU 占用率的統計信息 display cpu-usage configuration number offset verbose from-device 設置 CPU 占用率統計的周期 cpu-usage cycle 5sec 1min 5min 72min 以圖形方式顯示 CPU 占用率統計歷史信息 disp

12、lay cpu-usage history task task-id 對插槽中的插卡進行拔出預處理 remove slot slot-id取消拔出預處理操作 undo remove slot slot-id顯示設備和插卡的信息（任意視圖） display device slot-id 配置防火墻網頁登陸1. 配置防火墻缺省允許報文通過。 system-viewH3C firewall packet-filter default permit2. 為防火墻的以太網接口（以 GigabitEthernet0/0 為例）配置 IP 地址，并將接口加入到安全區域。H3C interface Gigab

13、itEthernet0/0H3C-GigabitEthernet0/0 ip address H3C-GigabitEthernet0/0 quitH3C firewall zone trustH3C-zone-trust add interface GigabitEthernet0/03. 為 PC 配置 IP 地址。假設 PC 的 IP 地址為 。4. 使用 Ping 命令驗證網絡連接性。 ping Ping 命令成功！后5.添加登錄用戶為使用戶可以通過 Web 登錄，并且有權限對防火墻進行管理，

14、必須為用戶添加登錄帳戶并且賦予其權限。例如：建立一個帳戶名和密碼都為 admin，帳戶類型為 telnet，權限等級為 3的管理員用戶。H3C local-user adminH3C-luser-admin password simple adminH3C-luser-admin service-type telnetH3C-luser-admin level 3在 PC 上啟動瀏覽器 ， （建議使用 IE5.0 及以上版本） 在地址欄中輸入 IP 地址“”后回車，即可進入防火墻 Web 登錄頁面，使用之前創建的 admin 帳戶登錄防火墻，單擊按鈕即可登錄。用戶可以通過

15、“Language”下拉框選擇界面語言內部主機通過域名區分并訪問對應的內部服務器組網應用1配置 easy ip（不用配地址池，直接通過接口地址做轉換）nat outbound acl-number2DNS MAPnat dns-map domain-name global-addrglobal-port tcp udp 實例： 在 Ethernet0/0/0 接口上配置 FTP 及 WWW 內部服務器。H3C interface ethernet0/0/0H3C-Ethernet0/0/0 ip address H3C-Ethernet0/0/0 nat ou

16、tbound 2000H3C-Ethernet0/0/0 nat server protocol tcp global www inside wwwH3C-Ethernet0/0/0 nat server protocol tcp global ftp inside ftpH3C-Ethernet0/0/0 quit 配置訪問控制列表，允許 /8 網段訪問Internet。H3C acl number 2000H3C-acl-basic-2000 rule 0 permit source 55H3C-acl-basic-