華為防火牆命令行

㈠ 華為usg防火牆基本配置命令有哪些

步驟一.登陸預設配置的防火牆並修改防火牆的名稱
防火牆和路由器一樣，有一個Console介面。使用console線纜將console介面和計算機的com口連接在一塊。使用windows操作系統自帶的超級終端軟體，即可連接到防火牆。
防火牆的預設配置中，包括了用戶名和密碼。其中用戶名為admin、密碼Admin@123，所以登錄時需要輸入用戶名和密碼信息，輸入時注意區分大小寫。
修改防火牆的名稱的方法與修改路由器名稱的方法一致。
另外需要注意的是，由於防火牆和路由器同樣使用了VRP平台操作系統，所以在命令級別、命令幫助等，與路由器上相應操作相同。
<SRG>sys
13:47:28 2014/07/04
Enter system view, return user view withCtrl+Z.
[SRG]sysname FW
13:47:32 2014/07/04
步驟二.修改防火牆的時間和時區信息
默認情況下防火牆沒有定義時區，系統保存的時間和實際時間可能不符。使用時應該根據實際的情況定義時間和時區信息。實驗中我們將時區定義到東八區，並定義標准時間。
<FW>clock timezone 1 add 08:00:00
13:50:57 2014/07/04
<FW>dis clock
21:51:15 2014/07/03
2014-07-03 21:51:15
Thursday
Time Zone : 1 add 08:00:00
<FW>clock datetime 13:53:442014/07/04
21:53:29 2014/07/03
<FW>dis clock
13:54:04 2014/07/04
2014-07-04 13:54:04
Friday
Time Zone : 1 add 08:00:00
步驟三。修改防火牆登錄標語信息
默認情況下，在登陸防火牆，登陸成功後有如下的標語信息。
Please Press ENTER.

Login authentication

Username:admin
Password:*********
NOTICE:This is a private communicationsystem.
Unauthorized access or use may lead to prosecution.
防火牆設備以此信息警告非授權的訪問。
實際使用中，管理員可以根據需要修改默認的登陸標語信息。分為登錄前提示信息和登陸成功後提示信息兩種。
[FW]header login information ^
14:01:21 2014/07/04
Info: The banner text supports 220characters max, including the start and the en
d character.If you want to enter more thanthis, use banner file instead.
Input banner text, and quit with thecharacter '^':
Welcome to USG5500^
[FW]header shell information ^
14:02:54 2014/07/04
Info: The banner text supports 220characters max, including the start and the en
d character.If you want to enter more thanthis, use banner file instead.
Input banner text, and quit with thecharacter '^':
Welcome to USG5500
You are logining insystem Please do not delete system config files^
配置完成後，通過推出系統。然後重新登錄，可以查看是否生效。
Please Press ENTER.

Welcome to USG5500

Login authentication

Username:admin
Password:*********
Welcome to USG5500
You are logining insystem Please do not delete system config files
NOTICE:This is a private communicationsystem.
Unauthorized access or use may lead to prosecution.
注意，默認達到NOTICE信息一般都會存在，不會消失或被代替。
步驟四.修改登陸防火牆的用戶名和密碼
防火牆默認使用的用戶名admin。密碼Admin@123。可以根據我們的需求進行修改。試驗中我們新建一個用戶，級別為level3.用戶名為user1.密碼：huawei@123.需要說明的是，默認情況下console介面登陸僅允許admin登陸。所以配置console介面登陸驗證方式為aaa，才能確保新建的用戶生效。在配置中，需要指定該配置的用戶名的使用范圍，本次實驗中選擇termianl，表示使用於通過console口登陸驗證的憑據。
[FW]aaa
14:15:43 2014/07/04
[FW-aaa]local-user user1 pass
[FW-aaa]local-user user1 password cipherhuawei@123
14:16:08 2014/07/04
[FW-aaa]local-user user1 service-typeterminal
14:16:28 2014/07/04
[FW-aaa]local-user user1 level 3
14:16:38 2014/07/04
[FW-aaa]q
14:16:43 2014/07/04
[FW]user-interface console 0
14:16:57 2014/07/04
[FW-ui-console0]authentication-mode aaa
退出系統，測試新用戶名和密碼是否生效。
Please Press ENTER.

Welcome to USG5500

Login authentication

Username:user1
Password:**********
Welcome to USG5500
You are logining in system Please do notdelete system config files
NOTICE:This is a private communicationsystem.
Unauthorized access or use may lead to prosecution.
<FW>
步驟五.掌握查看、保存、和刪除配置的方法。
在防火牆上使用命令查看運行的配置和已經保存的配置。其中使用display current-configuration命令查看運行配置，使用displaysaved-configuration命令查看已經保存的配置。
<FW>dis current-configuration
14:27:01 2014/07/04
#
stp region-configuration
region-name f0a7e2157008
active region-configuration
#
interface GigabitEthernet0/0/0
alias GE0/MGMT
ipaddress 192.168.0.1 255.255.255.0
dhcpselect interface
dhcpserver gateway-list 192.168.0.1
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface NULL0
alias NULL0
#
firewall zone local
setpriority 100
#
firewall zone trust
setpriority 85
addinterface GigabitEthernet0/0/0
#
firewall zone untrust
setpriority 5
#
firewall zone dmz
setpriority 50
#
aaa
local-user admin password cipher%$%$s$]c%^XV6(/|BaQ$[T;X"G>5%$%$
local-user admin service-type web terminaltelnet
local-user admin level 15
local-user user1 password cipher%$%$tY4Z:`xG0/G!1^C)2[48"%yp%$%$
local-user user1 service-type terminal
local-user user1 level 3
authentication-scheme default
#
authorization-scheme default
#
accounting-scheme default
#
domain default
#
#
nqa-jitter tag-version 1

#
header shell information "Welcome toUSG5500
You are logining in system Please do notdelete system config files"
header login information "Welcome toUSG5500"
banner enable
#
user-interface con 0
authentication-mode aaa
user-interface vty 0 4
authentication-mode none
protocol inbound all
#
slb
#
right-manager server-group
#
sysname FW
#
l2tpdomain suffix-separator @
#
firewall packet-filter default permitinterzone local trust direction inbound
firewall packet-filter default permitinterzone local trust direction outbound
firewall packet-filter default permitinterzone local untrust direction outbound

firewall packet-filter default permitinterzone local dmz direction outbound
#
ipdf-unreachables enable
#
firewall ipv6 session link-state check
firewall ipv6 statistic system enable
#
dnsresolve
#
firewall statistic system enable
#
pkiocsp response cache refresh interval 0
pkiocsp response cache number 0
#
undodns proxy
#
license-server domain lic.huawei.com
#
web-manager enable
#
return
保存配置，並查看以保存的配置信息。
<FW> sa
14:29:29 2014/07/04
The current configuration will be writtento the device.
Are you sure to continue?[Y/N]y
2014-07-04 14:29:31 FW %%01CFM/4/SAVE(l):When deciding whether to save configura
tion to the device, the user chose Y.
Do you want to synchronically save theconfiguration to the startup saved-configu
ration file on peer device?[Y/N]:y
Now saving the current configuration to thedevice...
Info:The current configuration was saved tothe device successfully.

<FW>dis saved-configuration
14:27:48 2014/07/04
# CLI_VERSION=V300R001

# Last configuration was changed at2014/07/04 13:56:09 from console0
#*****BEGIN****public****#
#
interface GigabitEthernet0/0/0
alias GE0/MGMT
ipaddress 192.168.0.1 255.255.255.0
dhcpselect interface
dhcpserver gateway-list 192.168.0.1
#
interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/2
#
interface GigabitEthernet0/0/3
#
interface GigabitEthernet0/0/4
#
interface GigabitEthernet0/0/5
#
interface GigabitEthernet0/0/6
#
interface GigabitEthernet0/0/7
#
interface GigabitEthernet0/0/8
#
interface NULL0
alias NULL0
#
firewall zone local
setpriority 100
#
firewall zone trust
setpriority 85
addinterface GigabitEthernet0/0/0
#
firewall zone untrust
setpriority 5
#
firewall zone dmz
setpriority 50
#
aaa
local-user admin password cipher%$%$s$]c%^XV6(/|BaQ$[T;X"G>5%$%$
local-user admin service-type web terminaltelnet
local-useradmin level 15
authentication-scheme default
#
authorization-scheme default
#
accounting-scheme default
#
domain default
#
#
nqa-jitter tag-version 1

#
banner enable
#
user-interface con 0
authentication-mode none
user-interface vty 0 4
authentication-mode none
protocol inbound all
#
slb
#
right-manager server-group
#
sysname FW
#
l2tpdomain suffix-separator @
#
firewall packet-filter default permitinterzone local trust direction inbound
firewall packet-filter default permitinterzone local trust direction outbound
firewall packet-filter default permitinterzone local untrust direction outbound

firewall packet-filter default permitinterzone local dmz direction outbound
#
ipdf-unreachables enable
#
firewall ipv6 session link-state check
firewall ipv6 statistic system enable
#
dnsresolve
#
firewall statistic system enable
#
pkiocsp response cache refresh interval 0
pkiocsp response cache number 0
#
undodns proxy
#
license-server domain lic.huawei.com
#
web-manager enable
#
return
#-----END----#
使用delete Flash：/vrpcfg.zip命令刪除保存的配置。
步驟六.配置介面地址
配置G0/0/1：10.0.2.1/24;G0/0/0:10.0.1.1/24;G0/0/2:10.0.3.1/24.
[FW] interface g0/0/2
16:12:58 2014/07/04
[FW-GigabitEthernet0/0/2]ip add 10.0.3.1 24
16:13:21 2014/07/04
[FW-GigabitEthernet0/0/2]interface g0/0/0
16:13:32 2014/07/04
[FW-GigabitEthernet0/0/0]undo ip add
16:14:02 2014/07/04
[FW-GigabitEthernet0/0/0]ip add 10.0.1.1 24
16:14:14 2014/07/04
[FW-GigabitEthernet0/0/0]interface g0/0/1
16:14:36 2014/07/04
[FW-GigabitEthernet0/0/1]ip add 10.0.2.1 24
16:14:50 2014/07/04
[FW-GigabitEthernet0/0/1]q
16:14:52 2014/07/04
[FW]
在交換機S1上配置介面G0/0/21屬於vlan1、G0/0/22屬於vlan2、G0/0/23屬於vlan3.vlanif介面配置IP地址10.0.1.2/24、vlanif2介面配置IP地址10.0.2.2/24、vlanif3介面配置IP地址10.0.3.2/24。
[Huawei]sysname S1
[S1]vlan batch 2 3
[S1]interface g0/0/21
[S1-GigabitEthernet0/0/21]port link-typeaccess
[S1-GigabitEthernet0/0/21]port default vlan1
[S1-GigabitEthernet0/0/21]interface g0/0/22
[S1-GigabitEthernet0/0/22]port link-typeaccess
[S1-GigabitEthernet0/0/22]port default vlan2
[S1-GigabitEthernet0/0/22]interface g0/0/23
[S1-GigabitEthernet0/0/23]port link-typeaccess
[S1-GigabitEthernet0/0/23]port default vlan3
[S1-GigabitEthernet0/0/23]interface vlanif1
[S1-Vlanif1]ip add 10.0.1.2 24
[S1-Vlanif1]interface vlanif 2
[S1-Vlanif2]ip add 10.0.2.2 24
[S1-Vlanif2]interface vlanif 3
[S1-Vlanif3]ip add 10.0.3.2 24
將G0/0/0、G0/0/1、G0/0/2添加到trust區。在測試三口的連通性（在添加到trust區以前先確認這些埠不在untrust區）
[FW]firewall zone trust
16:39:40 2014/07/04
[FW-zone-trust]add interface g0/0/2
16:40:05 2014/07/04
[FW-zone-trust]add interface g0/0/3
16:41:59 2014/07/04
[FW-zone-trust]add interface g0/0/1
[FW-zone-trust]q
[S1]ping -c 1 10.0.1.1
PING 10.0.1.1: 56 data bytes,press CTRL_C to break
Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=255 time=50 ms
---10.0.1.1 ping statistics ---
1packet(s) transmitted
1packet(s) received
0.00% packet loss
round-trip min/avg/max = 50/50/50 ms
[S1]ping -c 1 10.0.2.1
PING 10.0.2.1: 56 data bytes,press CTRL_C to break
Reply from 10.0.2.1: bytes=56 Sequence=1 ttl=255 time=50 ms
---10.0.2.1 ping statistics ---
1packet(s) transmitted
1packet(s) received
0.00% packet loss
round-trip min/avg/max = 50/50/50 ms
[S1]ping -c 1 10.0.3.1
PING 10.0.3.1: 56 data bytes,press CTRL_C to break
Reply from 10.0.3.1: bytes=56 Sequence=1 ttl=255 time=60 ms
---10.0.3.1 ping statistics ---
1packet(s) transmitted
1packet(s) received
0.00% packet loss
round-trip min/avg/max = 60/60/60 ms

㈡ 華為防火牆命令行怎麼輸入問號

哦買噶，查看一下使用說明書或者手機自帶的桌面軟體「使用技巧」，若此兩處無說明，則聯系客服詢問一下

㈢ 誰能給我整理一下華為防火牆的協議和命令

一、access-list 用於創建訪問規則。 （1）創建標准訪問列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
（2）創建擴展訪問列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
（3）刪除訪問列表 no access-list { normal | special } { all | listnumber [ subitem ] }
【參數說明】 normal 指定規則加入普通時間段。 special 指定規則加入特殊時間段。 listnumber1 是 1 到 99 之間的一個數值，表示規則是標准訪問列表規則。 listnumber2 是 100 到 199 之間的一個數值，表示規則是擴展訪問列表規則。 permit 表明允許滿足條件的報文通過。 deny 表明禁止滿足條件的報文通過。 protocol 為協議類型，支持 ICMP、TCP、UDP 等，其它的協議也支持，此時沒有 埠比較的概念；為 IP 時有特殊含義，代表所有的 IP 協議。 source-addr 為源地址。 source-mask 為源地址通配位，在標准訪問列表中是可選項，不輸入則代表通配位 為 0.0.0.0。 dest-addr 為目的地址。 dest-mask 為目的地址通配位。 operator[可選] 埠操作符，在協議類型為 TCP 或 UDP 時支持埠比較，支持的 比較操作有：等於（eq） 、大於（gt） 、小於（lt） 、不等於（neq）或介於（range） ；如果 操作符為 range，則後面需要跟兩個埠。 port1 在協議類型為 TCP 或 UDP 時出現， 可以為關鍵字所設定的預設值 （如 telnet） 或 0~65535 之間的一個數值。 port2 在協議類型為 TCP 或 UDP 且操作類型為 range 時出現； 可以為關鍵字所設定 的預設值（如 telnet）或 0~65535 之間的一個數值。 icmp-type[可選] 在協議為 ICMP 時出現，代表 ICMP 報文類型；可以是關鍵字所設 定的預設值（如 echo-reply）或者是 0~255 之間的一個數值。 icmp-code 在協議為 ICMP 且沒有選擇所設定的預設值時出現；代表 ICMP 碼，是 0~255 之間的一個數值。 log [可選] 表示如果報文符合條件，需要做日誌。
listnumber 為刪除的規則序號，是 1~199 之間的一個數值。 subitem[可選] 指定刪除序號為 listnumber 的訪問列表中規則的序號。
firewall { enable | disable } 【參數說明】 enable 表示啟用防火牆。 disable 表示禁止防火牆。
【預設情況】 系統預設為禁止防火牆。
【命令模式】 全局配置模式
【使用指南】 使用此命令來啟用或禁止防火牆，可以通過 show firewall 命令看到相應結果。如果 採用了時間段包過濾，則在防火牆被關閉時也將被關閉；該命令控制防火牆的總開關。
在使用 firewall disable 命令關閉防火牆時，防火牆本身的統計信息也將被清除。
【舉例】 啟用防火牆。 Quidway(config)#firewall enable
【相關命令】 access-list，ip access-group 四、firewall default 配置防火牆在沒有相應的訪問規則匹配時，預設的過濾方式。 firewall default { permit | deny }
【參數說明】
permit 表示預設過濾屬性設置為「允許」。
deny 表示預設過濾屬性設置為「禁止」。
【預設情況】
在防火牆開啟的情況下，報文被預設允許通過。
【命令模式】
全局配置模式
【使用指南】
當在介面應用的規則沒有一個能夠判斷一個報文是否應該被允許還是禁止時， 預設 的過濾屬性將起作用； 如果預設過濾屬性是「允許」， 則報文可以通過， 否則報文被丟棄。
【舉例】
設置預設過濾屬性為「允許」。
Quidway(config)#firewall default permit 五、 access-group 使用此命令將規則應用到介面上。 ip 使用此命令的 no 形式來刪除相應 的設置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }

㈣ 華為防火牆清空配置命令

華為防火牆清空配置命令。
清除配置文件的內容。用戶可通過命令清除當前載入的配置文件的內容。在以下兩種情況下，需要擦除儲設備中的配置文件：在系統軟體升級之後，軟體和配置文件不匹配。發現配置文件遭到破壞，或載入了錯誤的配置文件。
操作步驟：執行命令resetsaved-configuration，清除當前載入的配置文件的內容。配置文件被清除後，如果不執行命令startupsaved-configuration重新指定含有正確配置信息的配置文件，或者不執行命令save保存配置文件，則設備下次啟動時，將採用預設的配置參數進行初始化。

㈤ 華為防火牆怎麼打開固定的某個埠，請說下命令

showaccess-list[all|listnumber|interfaceinterface-name]【參數說明】all表示所有的規則，包括普通時間段內及特殊時間段內的規則。listnumber為顯示當前所使用的規則中序號為listnumber的規則。interface表示要顯示在指定介面上應用的規則序號。interface-name為介面的名稱。【命令模式】特權用戶模式【使用指南】使用此命令來顯示所指定的規則，同時查看規則過濾報文的情況。每個規則都有一個相應的計數器，如果用此規則過濾了一個報文，則計數器加1;通過對計數器的觀察可以看出所配置的規則中，哪些規則是比較有效，而哪些基本無效。可以通過帶interface關鍵字的showaccess-list命令來查看某個介面應用規則的情況。【舉例】例1：顯示當前所使用的序號為100的規則。Quidway#showaccess-list100Usingnormalpacket-filteringaccessrulesnow.100denyicmp10.1.0.00.0.255.255anyhost-redirect(3matches,252bytes--rule1)100permiticmp10.1.0.00.0.255.255anyecho(nomatches--rule2)100denyudpanyanyeqrip(nomatches--rule3)例2：顯示介面Serial0上應用規則的情況。Quidway#showaccess-listinterfaceserial0Serial0:access-listfilteringIn-boundpackets:120access-listfilteringOut-boundpackets:None【相關命令】access-list八、showfirewall顯示防火牆狀態。showfirewall【命令模式】特權用戶模式【使用指南】使用此命令來顯示防火牆的狀態，包括防火牆是否被啟用，啟用防火牆時是否採用了時間段包過濾及防火牆的一些統計信息。【舉例】顯示防火牆狀態。Quidway#showfirewallFirewallisenable,defaultfilteringmethodis'permit'.TimeRangepacket-filteringenable.InBoundpackets:None;OutBoundpackets:0packets,0bytes,0%permitted,0packets,0bytes,0%denied,2packets,104bytes,100%permitteddefaultly,0packets,0bytes,100%denieddefaultly.From00:13:02to06:13:21:0packets,0bytes,permitted.【相關命令】firewall

㈥ 華為某個型號防火牆的基本配置命令

為路由器防火牆配置命令總結

一、access-list 用於創建訪問規則。
（1）創建標准訪問列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）創建 <-- Script Filtered/n/n-->擴展訪問列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

（3）刪除訪問列表

no access-list { normal | special } { all | listnumber [ subitem ] }

【參數說明】

normal 指定規則加入普通時間段。

special 指定規則加入特殊時間段。

listnumber1 是1到99之間的一個數值，表示規則是標准訪問列表規則。

listnumber2 是100到199之間的一個數值，表示規則是擴展訪問列表規則。

permit 表明允許滿足條件的報文通過。

deny 表明禁止滿足條件的報文通過。

protocol 為協議類型，支持ICMP、TCP、UDP等，其它的協議也支持，此時沒有埠比較的概念；為IP時有特殊含義，代表所有的IP協議。

source-addr 為源地址。

source-mask 為源地址通配位，在標准訪問列表中是可選項，不輸入則代表通配位為0.0.0.0。

dest-addr 為目的地址。

dest-mask 為目的地址通配位。

operator[可選] 埠操作符，在協議類型為TCP或UDP時支持埠比較，支持的比較操作有：等於（eq）、大於（gt）、小於（lt）、不等於（neq）或介於（range）；如果操作符為range，則後面需要跟兩個埠。

port1 在協議類型為TCP或UDP時出現，可以為關鍵字所設定的預設值（如telnet）或0~65535之間的一個數值。

port2 在協議類型為TCP或UDP且操作類型為range時出現；可以為關鍵字所設定的預設值（如telnet）或0~65535之間的一個數值。

icmp-type[可選] 在協議為ICMP時出現，代表ICMP報文類型；可以是關鍵字所設定的預設值（如echo-reply）或者是0~255之間的一個數值。

icmp-code在協議為ICMP且沒有選擇所設定的預設值時出現；代表ICMP碼，是0~255之間的一個數值。

log [可選] 表示如果報文符合條件，需要做日誌。

listnumber 為刪除的規則序號，是1~199之間的一個數值。

subitem[可選] 指定刪除序號為listnumber的訪問列表中規則的序號。

【預設情況】

系統預設不配置任何訪問規則。

【命令模式】

全局配置模式
【使用指南】

同一個序號的規則可以看作一類規則；所定義的規則不僅可以用來在介面上過濾報文，也可以被如DDR等用來判斷一個報文是否是感興趣的報文，此時，permit與deny表示是感興趣的還是不感興趣的。

使用協議域為IP的擴展訪問列表來表示所有的IP協議。

同一個序號之間的規則按照一定的原則進行排列和選擇，這個順序可以通過 show access-list 命令看到。

【舉例】

允許源地址為10.1.1.0 網路、目的地址為10.1.2.0網路的WWW訪問，但不允許使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www

Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

【相關命令】

ip access-group

二、clear access-list counters 清除訪問列表規則的統計信息。

clear access-list counters [ listnumber ]

【參數說明】

listnumber [可選] 要清除統計信息的規則的序號，如不指定，則清除所有的規則的統計信息。

【預設情況】

任何時候都不清除統計信息。

【命令模式】

特權用戶模式

【使用指南】

使用此命令來清除當前所用規則的統計信息，不指定規則編號則清除所有規則的統計信息。

【舉例】

例1：清除當前所使用的序號為100的規則的統計信息。

Quidway#clear access-list counters 100

例2：清除當前所使用的所有規則的統計信息。

Quidway#clear access-list counters

【相關命令】

access-list

三、firewall 啟用或禁止防火牆。

firewall { enable | disable }

【參數說明】

enable 表示啟用防火牆。

disable 表示禁止防火牆。

【預設情況】

系統預設為禁止防火牆。

【命令模式】

全局配置模式

【使用指南】

使用此命令來啟用或禁止防火牆，可以通過show firewall命令看到相應結果。如果採用了時間段包過濾，則在防火牆被關閉時也將被關閉；該命令控制防火牆的總開關。在使用 firewall disable 命令關閉防火牆時，防火牆本身的統計信息也將被清除。

【舉例】

啟用防火牆。

Quidway(config)#firewall enable

【相關命令】
access-list，ip access-group

四、firewall default 配置防火牆在沒有相應的訪問規則匹配時，預設的過濾方式。

firewall default { permit | deny }

【參數說明】

permit 表示預設過濾屬性設置為「允許」。

deny 表示預設過濾屬性設置為「禁止」。

【預設情況】

在防火牆開啟的情況下，報文被預設允許通過。

【命令模式】

全局配置模式

【使用指南】

當在介面應用的規則沒有一個能夠判斷一個報文是否應該被允許還是禁止時，預設的過濾屬性將起作用；如果預設過濾屬性是「允許」，則報文可以通過，否則報文被丟棄。

【舉例】

設置預設過濾屬性為「允許」。

Quidway(config)#firewall default permit

五、ip access-group 使用此命令將規則應用到介面上。使用此命令的no形式來刪除相應的設置。

ip access-group listnumber { in | out }

[ no ] ip access-group listnumber { in | out }

【參數說明】

listnumber 為規則序號，是1~199之間的一個數值。

in 表示規則用於過濾從介面收上來的報文。

out 表示規則用於過濾從介面轉發的報文。

【預設情況】

沒有規則應用於介面。

【命令模式】

介面配置模式。

【使用指南】

使用此命令來將規則應用到介面上；如果要過濾從介面收上來的報文，則使用 in 關鍵字；如果要過濾從介面轉發的報文，使用out 關鍵字。一個介面的一個方向上最多可以應用20類不同的規則；這些規則之間按照規則序號的大小進行排列，序號大的排在前面，也就是優先順序高。對報文進行過濾時，將採用發現符合的規則即得出過濾結果的方法來加快過濾速度。所以，建議在配置規則時，盡量將對同一個網路配置的規則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規則之間的排列和選擇順序可以用show access-list命令來查看。

【舉例】

將規則101應用於過濾從乙太網口收上來的報文。

Quidway(config-if-Ethernet0)#ip access-group 101 in

【相關命令】

access-list

六、settr 設定或取消特殊時間段。

settr begin-time end-time

no settr

【參數說明】

begin-time 為一個時間段的開始時間。

end-time 為一個時間段的結束時間，應該大於開始時間。

【預設情況】
系統預設沒有設置時間段，即認為全部為普通時間段。

【命令模式】

全局配置模式

【使用指南】

使用此命令來設置時間段；可以最多同時設置6個時間段，通過show timerange 命令可以看到所設置的時間。如果在已經使用了一個時間段的情況下改變時間段，則此修改將在一分鍾左右生效（系統查詢時間段的時間間隔）。設置的時間應該是24小時制。如果要設置類似晚上9點到早上8點的時間段，可以設置成「settr 21:00 23:59 0:00 8:00」，因為所設置的時間段的兩個端點屬於時間段之內，故不會產生時間段內外的切換。另外這個設置也經過了2000問題的測試。

【舉例】

例1：設置時間段為8:30 ~ 12:00，14:00 ~ 17:00。

Quidway(config)#settr 8:30 12:00 14:00 17:00

例2： 設置時間段為晚上9點到早上8點。

Quidway(config)#settr 21:00 23:59 0:00 8:0

【相關命令】

timerange，show timerange

七、show access-list 顯示包過濾規則及在介面上的應用。

show access-list [ all | listnumber | interface interface-name]
【參數說明】

all 表示所有的規則，包括普通時間段內及特殊時間段內的規則。

listnumber 為顯示當前所使用的規則中序號為listnumber的規則。

interface 表示要顯示在指定介面上應用的規則序號。

interface-name 為介面的名稱。

【命令模式】

特權用戶模式

【使用指南】

使用此命令來顯示所指定的規則，同時查看規則過濾報文的情況。每個規則都有一個相應的計數器，如果用此規則過濾了一個報文，則計數器加1；通過對計數器的觀察可以看出所配置的規則中，哪些規則是比較有效，而哪些基本無效。可以通過帶interface關鍵字的show access-list命令來查看某個介面應用規則的情況。

【舉例】

例1：顯示當前所使用的序號為100的規則。

Quidway#show access-list 100

Using normal packet-filtering access rules now.

100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)

100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)

100 deny udp any any eq rip (no matches -- rule 3)

例2： 顯示介面Serial0上應用規則的情況。

Quidway#show access-list interface serial 0

Serial0:

access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None

【相關命令】

access-list

八、show firewall 顯示防火牆狀態。

show firewall

【命令模式】

特權用戶模式

【使用指南】

使用此命令來顯示防火牆的狀態，包括防火牆是否被啟用，啟用防火牆時是否採用了時間段包過濾及防火牆的一些統計信息。
【舉例】

顯示防火牆狀態。

Quidway#show firewall

Firewall is enable, default filtering method is 'permit'.

TimeRange packet-filtering enable.

InBound packets: None;

OutBound packets: 0 packets, 0 bytes, 0% permitted,

0 packets, 0 bytes, 0% denied,

2 packets, 104 bytes, 100% permitted defaultly,

0 packets, 0 bytes, 100% denied defaultly.

From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.

【相關命令】

firewall

九、show isintr 顯示當前時間是否在時間段之內。

show isintr

【命令模式】

特權用戶模式

【使用指南】

使用此命令來顯示當前時間是否在時間段之內。

【舉例】

顯示當前時間是否在時間段之內。

Quidway#show isintr

It is NOT in time ranges now.

【相關命令】

timerange，settr

十、show timerange 顯示時間段包過濾的信息。

show timerange

【命令模式】

特權用戶模式

【使用指南】

使用此命令來顯示當前是否允許時間段包過濾及所設置的時間段。

【舉例】

顯示時間段包過濾的信息。

Quidway#show timerange

TimeRange packet-filtering enable.

beginning of time range:

01:00 - 02:00

03:00 - 04:00

end of time range.

【相關命令】

timerange，settr

十一、timerange 啟用或禁止時間段包過濾功能。

timerange { enable | disable }

【參數說明】

enable 表示啟用時間段包過濾。

disable 表示禁止採用時間段包過濾。
【預設情況】

系統預設為禁止時間段包過濾功能。

【命令模式】

全局配置模式

【使用指南】

使用此命令來啟用或禁止時間段包過濾功能，可以通過show firewall命令看到，也可以通過show timerange命令看到配置結果。在時間段包過濾功能被啟用後，系統將根據當前的時間和設置的時間段來確定使用時間段內（特殊）的規則還是時間段外（普通）的規則。系統查詢時間段的精確度為1分鍾。所設置的時間段的兩個端點屬於時間段之內。

【舉例】

啟用時間段包過濾功能。

Quidway(config)#timerange enable

【相關命令】

settr，show timerange

㈦ 華為100F防火牆啟動WEB管理命令

show access-list [ all | listnumber | interface interface-name]

【參數說明】

all 表示所有的規則，包括普通時間段內及特殊時間段內的規則。

listnumber 為顯示當前所使用的規則中序號為listnumber的規則。

interface 表示要顯示在指定介面上應用的規則序號。

interface-name 為介面的名稱。

【命令模式】

特權用戶模式

【使用指南】

使用此命令來顯示所指定的規則，同時查看規則過濾報文的情況。每個規則都有一個相應的計數器，如果用此規則過濾了一個報文，則計數器加1;通過對計數器的觀察可以看出所配置的規則中，哪些規則是比較有效，而哪些基本無效。可以通過帶interface關鍵字的show access-list命令來查看某個介面應用規則的情況。

【舉例】

例1：顯示當前所使用的序號為100的規則。

Quidway#show access-list 100Using normal packet-filtering access rules now.100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)100 deny udp any any eq rip (no matches -- rule 3)

例2： 顯示介面Serial0上應用規則的情況。

Quidway#show access-list interface serial 0Serial0:access-list filtering In-bound packets : 120access-list filtering Out-bound packets: None

【相關命令】

access-list

八、show firewall 顯示防火牆狀態。

show firewall

【命令模式】

特權用戶模式

【使用指南】

使用此命令來顯示防火牆的狀態，包括防火牆是否被啟用，啟用防火牆時是否採用了時間段包過濾及防火牆的一些統計信息。

【舉例】

顯示防火牆狀態。

Quidway#show firewallFirewall is enable, default filtering method is 'permit'.TimeRange packet-filtering enable.InBound packets: None;OutBound packets: 0 packets, 0 bytes, 0% permitted,0 packets, 0 bytes, 0% denied,2 packets, 104 bytes, 100% permitted defaultly,0 packets, 0 bytes, 100% denied defaultly.From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.

【相關命令】

firewall

㈧ 華為防火牆IPsecVPN配置命令是什麼急啊。。。

你可以去H3C官方網站的服務支持-文檔中心-查找路由器的文檔。
這種命令行配置的路由器建立ipsec
vpn
關鍵點很多。沒有這塊基礎的普通用戶很難自己搞定。
建議找代理商解決。
另外從網上找了點資料，你看看有沒有用。
給你個ipsec
over
gre
的腳本，自己研究下
ike
peer
center
/配置到中心的ike
peer/
exchange-mode
aggressive
/設置IPSec為野蠻方式/
pre-shared-key
abc
/預共享密鑰為abc/
id-type
name
/選擇名字作為ike協商過程中使用的ID/
remote-name
center
/對端的名字為center/
remote-address
10.0.0.1
/對端的地址為10.0.0.1（中心的tunnel地址）/
#
ipsec
proposal
1
/定義ipsec
proposal/
#
ipsec
policy
branch1
10
isakmp
/配置到中心的ipsec
policy/
security
acl
3001
/指定安全策略所引用的訪問控制列表號/
ike-peer
center
/引用ike
peer/
proposal
1
/引用ipsec
proposal/
#
acl
number
3001
/定義從分部1到中心的內網數據流/
rule
0
permit
ip
source
192.168.2.0
0.0.0.255
destination
192.168.1.0
0.0.0.255
#
interface
Serial2/0
link-protocol
ppp
ip
address
202.101.2.2
255.255.255.252
#
interface
Tunnel0
/配置分部1和中心之間的GRE
tunnel/
ip
address
10.0.0.2
255.255.255.252
source
202.101.2.2
destination
202.101.1.2
ipsec
policy
branch1
/在tunnel
0上應用IPSec
policy
branch1/
#

㈨ 華為防火牆配置命令gateway-lsit是什麼意思呢

gateway-list 意思是：指定網關。

華為防火牆配置命令：

建立DHCP地址池0[Quidway] dhcp server ip-pool 0；

配置DHCP網段 [Quidway-dhcp0] network 192.168.8.0 mask 255.255.255.0 ；

配置DNS序列 [Quidway-dhcp0] dns-list ip-address1 [ ip-address2 ... ip-address8 ]；

配置默認網關序列 [Quidway-dhcp0] gateway-list ip-address1 [ ip-address2 ... ip-address8 ]；

設置DHCP租用時間為1天2小時3分鍾[Quidway-dhcp0] expired 1 2 3。

(9)華為防火牆命令行擴展閱讀：

華為防火牆的雙機熱備包含以下兩種模式：

熱備模式：同一時間只有一台防火牆轉發數據，其他防火牆不轉發，但是會同步會話表及server-map表，當目前工作的防火牆宕機以後，備份防火牆接替轉發數據的工作。

負載均衡模式：同一時間內，多台防火牆同時轉發數據，並且互為備份，每個防火牆既是主設備，也是備用設備。防火牆之間同步會話表及server-map表。

㈩ 查看華為防火牆上的用戶命令是什麼

如果是看都配置了什麼用戶
使用dis
cu
命令查看，找到local-user
xxxxx
的命令就是用戶了。xxxxx是用戶名
如果是查看當前哪個用戶使用web或telnet登錄了使用
dis
users
查看