H3C防火墙命令行配置

配置防火墙网页登录配置防火墙缺省允许报文通过<telecom>system-view[telecom]firewallpacket-filterenable[telecom]firewallpacket-filterdefaultpermit为防火墙的以太网接口（ GigabitEthernet0/0为例）配置 IP地址，并将接口加入到安全域。[telecom]interfaceGigabitEthernet0/0[telecom-GigabitEthernet0/0]ipaddress[telecom-GigabitEthernet0/0]quit[telecom]firewallzonetrust[telecom-zone-trust]addGigabitEthernet0/0添加登录用户（建立一个账户名和密码都为admin的账户类型为telnet）[telecom]local-useradmin[telecom-luser-admin]passwordsimpleadmin[telecom-luser-admin]service-typetelnet3.在GigabitEthernet0/1接口上配置FTP及www内部服务器[telecom]interfaceGigabitEthernet0/1[telecom-GigabitEthernet0/1]ipaddress[telecom-GigabitEthernet0/1]natoutbound2000[telecom-GigabitEthernet0/1]natserverprotocoltcpglobalwww精品文档交流inside[telecom-GigabitEthernet0/1]natserverprotocoltcpglobalftpinside[telecom-GigabitEthernet0/1]quit配置访问控制列表，允许/8网段访问internet[telecom]aclnumber2000[telecom-acl-basic-2000]rule0permitsource55[telecom-acl-basic-2000]rule1denyIPSecVPN配置配置分公司IP：/24到总公司IP：/24的IPSecVPN总公司端 VPN配置步骤如下：第一步：配置ACL3000，禁止总公司 IP：/24访问分公司IP：/24时进行NAT转换，允许总公司 IP：/24访问公网时进行NAT转换。[telecom]aclnumber3000[telecom-acl-adv-3000] rule 0 deny ip source 55destination55[telecom-acl-adv-3000]rulepermitip[telecom-acl-adv-3000]quit第二步：配置ACL3200，允许总公司 IP：/24访问分公司IP：/24[telecom]aclnumber3200精品文档交流[telecom-acl-adv-3200]rule 0permit ip source55destination55[telecom-acl-adv-3200]quit第三步：配置本端设备名称为 routera[telecom]ikelocal-nameroutera第四步：配置对等体 peer[telecom]ikepeerpeer[telecom-ike-peer-peer]exchange-modeaggressive[telecom-ike-peer-peer]pre-shared-key123456[telecom-ike-peer-peer]id-typename[telecom-ike-peer-peer]remote-nametelecom[telecom-ike-peer-peer]nattraversal第五步：配置IPSec安全提议test[telecom]ipsecproposaltest[telecom-ipsec-proposal-test]encapsulation-modetunnel[telecom-ipsec-proposal-test]transformesp[telecom-ipsec-proposal-test]espencryption-algorithm3des[telecom-ipsec-proposal-test]espauthentication-algorithmmd5[telecom-ipsec-proposal-test]quit第六步：创建安全策略test并指定通过IKE协商建立SA[telecom]ipsecpolicytest1isakmp第七步：配置安全策略 test引用IKE对等体peer精品文档交流[telecom-ipsec-policy-isakmp-test-1]ike-peerpeer第八步：配置安全策略 test引用访问控制列表 3200[telecom-ipsec-policy-isakmp-test-1]securityacl3200第九步：配置安全策略 test引用IPSec安全提议test[telecom-ipsec-policy-isakmp-test-1]proposaltest[telecom-ipsec-policy-isakmp-test-1]quit第十步：配置上行接口 IP地址/24，并在接口上应用 IPSec策略[telecom]intGigabitEthernet0/0[telecom-GigabitEthernet0/0]ipaddress24[telecom-GigabitEthernet0/0]natoutbound3000[telecom-GigabitEthernet0/0]ipsecpolicytest第十一步：配置下行接口 IP地址/24[telecom-GigabitEthernet0/1]ipaddress24第十二步：配置到分公司局域网的静态路由[telecom]iproute-static54精品文档交流开启telnet服务并设置密码为 123456命令：[telecom]telnetserverenable[telecom]user-interfacevty0[telecom-ui-vty0]authentication-modepassword[telecom-ui-vty0]setauthenticationpasswordsimple123465（cipher明文/simple密文）[telecom-ui-vty0]userprivilege level3[telecom-ui-vty0]quit操作命令：displayversion显示系统版本信息vrbd显示详细的软件版本信息displayclock显示系统时钟clockdatetime14:56:0023/2/2017修改系统时钟为 2017年2月23日精品文档交流14时56分0秒displayusers[all]显示终端用户reboot重启防火墙save保存当前配置resetsave清空当前配置displayinterfaceGigabitEtherneto/1查看某个端口信息displayinterface查看所有端口信息displaybriefinterfaceGigabitEtherneto/1查看端口简要配置displayport-security查看端口安全配置信息info-centerenable开启信息中心undoinfo-centerenable关闭信息中心displayarp显示arpdisplayloopback-detection用来测试环路测试是否开启displaysaved-configuration显示下次启动时加载的配置文件displaystartup显示系统本次启动使用的配置文件displaysaved-configuration显示起始配置信息displaycurrent-configuration显示当前配置信息displaymemory[limit]显示当前系统内存使用情况displaycpu-usage显示CPU占用率情况displaycpu-usagehistory统计系统cpu占用率历史信息displaydevice[slot-id]显示设备和插卡的信息displayiprouting-table显示当前路由表精品文档交流iproute-static目的地址 掩码下一跳的地址 [端口][管理距离]telnetserverenable开启telnet服务displayhistory-command查看保存的历史命令displayhotkey 查看热键信息hotkey将某快捷键与某一命令行关联（格式为hotkey 快捷键 一段命令）superpasswordlevel3simple123456设置用户密码和级别（0-3级别）sysname 设置防火墙的名称（格式为 sysnamexxx）command-alias enable 开启用户别名功能command-alias mapping [将要被定义的命令] [命名的别名]例如：command-aliasmap