配置华为防火墙，这50条命令要100%记住！

华为防火墙作为企业网络安全的核心防线，其配置命令的熟练掌握是网络工程师的必备技能。本文系统梳理华为防火墙（USG系列）50条高频核心配置命令，涵盖基础配置、安全策略、NAT、VPN等关键场景，助你快速提升运维效率。

一、基础配置类（10条）

1. system-view

进入系统视图

2. sysname FW-01

重命名设备为FW-01

3. interface GigabitEthernet 1/0/1

进入指定接口配置视图

4. ip address 192.168.1.1 24

为接口配置IP地址

5. service-manage enable

开启接口的HTTP/HTTPS管理权限

6. display current-configuration

查看当前运行配置

7. display version

查看设备版本信息

8. save

保存当前配置

9. reboot

重启设备

10. reset saved-configuration

清空已保存的配置

二、安全区域与策略（12条）

11. firewall zone trust

进入信任区域（Trust）配置视图

12. add interface GigabitEthernet 1/0/1

将接口加入当前安全区域

13. security-policy

进入安全策略视图

14. rule name Permit_HTTP

创建名为Permit_HTTP的策略规则

15. source-zone trust

配置源区域为Trust

16. destination-zone untrust

配置目的区域为Untrust

17. source-address 192.168.1.0 24

指定源IP地址段

18. destination-address 10.0.0.1 32

指定目的IP地址

19. service http

允许HTTP协议

20. action permit

设置动作为允许

21. rule name Deny_All

创建默认拒绝规则（必须放在策略末尾）

22. display security-policy rule all

查看所有安全策略规则

三、NAT地址转换（10条）

23. nat-policy

进入NAT策略视图

24. rule name NAT_Outbound

创建出站NAT规则

25. source-address 192.168.1.0 24

指定需要转换的源地址

26. action source-nat

启用源地址转换

27. easy-ip GigabitEthernet 1/0/2

使用接口IP作为NAT地址（动态PAT）

28. nat server global 202.100.1.1 80 inside 192.168.1.10 80

配置NAT Server（端口映射）

29. nat alg ftp enable

启用FTP协议的ALG功能

30. display nat session all

查看NAT会话表

31. display nat server

查看NAT Server配置

32. reset nat session

清除NAT会话表

四、VPN配置（8条）

33. ipsec policy my_policy 1 manual

创建IPSec策略（手动模式）

34. proposal my_proposal

配置IPSec提议（加密算法）

35. esp authentication-algorithm sha2-256

设置ESP认证算法为SHA-256

36. ike peer my_peer

配置IKE对等体

37. pre-shared-key cipher My@Key123

设置预共享密钥

38. ike-proposal 10

配置IKE提议（阶段1参数）

39. display ike sa

查看IKE SA状态

40. display ipsec sa brief

查看IPSec SA摘要

五、高可用性（HA）与日志（6条）

41. hrp enable

启用HRP（华为冗余协议）

42. hrp interface GigabitEthernet 1/0/3

指定HRP心跳接口

43. hrp standby-device

切换设备为备机状态

44. info-center enable

启用日志功能

45. info-center loghost 192.168.1.100

配置日志服务器地址

46. terminal monitor

开启控制台实时日志显示

六、高级安全防护（4条）

47. firewall defend land-attack enable

防御LAND攻击

48. firewall defend ip-fragment enable

启用IP分片攻击防护

49. blacklist enable

启用黑名单功能

50. firewall session link-state check enable

开启会话状态检测

掌握以上50条命令，可覆盖华为防火墙80%的日常运维场景。建议结合**模拟器（eNSP）**实操演练，并关注以下原则：

1. 安全策略最小化：默认拒绝所有（Deny_All）

2. NAT优先级：精确规则在前，泛洪规则在后

3. 版本兼容性：部分命令随VRP版本迭代可能调整