配置华为防火墙，这50条命令要100%记住！（运维必收藏）

华为防火墙作为企业网络安全的核心防线，其配置命令的熟练掌握是网络工程师的必备技能。本文系统梳理华为防火墙（USG系列）50条高频核心配置命令，涵盖基础配置、安全策略、NAT、VPN等关键场景，助你快速提升运维效率。

一、基础配置类（10条）

1. 1. system-view
   进入系统视图

2. 2. sysname FW-01
   重命名设备为FW-01

3. 3. interface GigabitEthernet 1/0/1
   进入指定接口配置视图

4. 4. ip address 192.168.1.1 24
   为接口配置IP地址

5. 5. service-manage enable
   开启接口的HTTP/HTTPS管理权限

6. 6. display current-configuration
   查看当前运行配置

7. 7. display version
   查看设备版本信息

8. 8. save
   保存当前配置

9. 9. reboot
   重启设备

10. 10. reset saved-configuration
    清空已保存的配置

二、安全区域与策略（12条）

1. 11. firewall zone trust
   进入信任区域（Trust）配置视图

2. 12. add interface GigabitEthernet 1/0/1
   将接口加入当前安全区域

3. 13. security-policy
   进入安全策略视图

4. 14. rule name Permit_HTTP
   创建名为Permit_HTTP的策略规则

5. 15. source-zone trust
   配置源区域为Trust

6. 16. destination-zone untrust
   配置目的区域为Untrust

7. 17. source-address 192.168.1.0 24
   指定源IP地址段

8. 18. destination-address 10.0.0.1 32
   指定目的IP地址

9. 19. service http
   允许HTTP协议

10. 20. action permit
    设置动作为允许

11. 21. rule name Deny_All
    创建默认拒绝规则（必须放在策略末尾）

12. 22. display security-policy rule all
    查看所有安全策略规则

三、NAT地址转换（10条）

1. 23. nat-policy
   进入NAT策略视图

2. 24. rule name NAT_Outbound
   创建出站NAT规则

3. 25. source-address 192.168.1.0 24
   指定需要转换的源地址

4. 26. action source-nat
   启用源地址转换

5. 27. easy-ip GigabitEthernet 1/0/2
   使用接口IP作为NAT地址（动态PAT）

6. 28. nat server global 202.100.1.1 80 inside 192.168.1.10 80
   配置NAT Server（端口映射）

7. 29. nat alg ftp enable
   启用FTP协议的ALG功能

8. 30. display nat session all
   查看NAT会话表

9. 31. display nat server
   查看NAT Server配置

10. 32. reset nat session
    清除NAT会话表

四、VPN配置（8条）

1. 33. ipsec policy my_policy 1 manual
   创建IPSec策略（手动模式）

2. 34. proposal my_proposal
   配置IPSec提议（加密算法）

3. 35. esp authentication-algorithm sha2-256
   设置ESP认证算法为SHA-256

4. 36. ike peer my_peer
   配置IKE对等体

5. 37. pre-shared-key cipher My@Key123
   设置预共享密钥

6. 38. ike-proposal 10
   配置IKE提议（阶段1参数）

7. 39. display ike sa
   查看IKE SA状态

8. 40. display ipsec sa brief
   查看IPSec SA摘要

五、高可用性（HA）与日志（6条）

1. 41. hrp enable
   启用HRP（华为冗余协议）

2. 42. hrp interface GigabitEthernet 1/0/3
   指定HRP心跳接口

3. 43. hrp standby-device
   切换设备为备机状态

4. 44. info-center enable
   启用日志功能

5. 45. info-center loghost 192.168.1.100
   配置日志服务器地址

6. 46. terminal monitor
   开启控制台实时日志显示

六、高级安全防护（4条）

1. 47. firewall defend land-attack enable
   防御LAND攻击

2. 48. firewall defend ip-fragment enable
   启用IP分片攻击防护

3. 49. blacklist enable
   启用黑名单功能

4. 50. firewall session link-state check enable
   开启会话状态检测