H3C+防火墙配置命令

合集下载

H3C防火墙配置详解

H3C SecPath F100-A-G2 防火墙的透明模式和访问控制。

注意：安全域要在安全策略中执行。

URL 和其他访问控制的策略都需要在安全策略中去执行。

安全策略逐条检索，匹配执行，不匹配执行下一条，直到匹配到最后，还没有的则丢弃。

配置的步骤如下：一、首先连接防火墙开启WEB 命令为： yssecurity-zone name Trustimport interface GigabitEthernet1/0/0 import interface GigabitEthernet1/0/1 interface GigabitEthernet1/0/0 port link-mode routeip address 100.0.0.1 255.255.255.0 acl advanced 3333 rule 0 permit ipzone-pair security source Trust destination local packet-filter 3333zone-pair security source local destination Trust packet-filter 3333local-user admin class manage password hash adminservice-type telnet terminal http https authorization-attribute user-role level-3authorization-attribute user-role network-admin ip http enable ip https enable详情：将接口划入到域中，例如将G1/0/2、G1/0/3 口变成二层口，并加入到="$=域中□mt1巨加 1出1*T1部世上田口 D 目的电北同声 IES1应用 1 SrfliS 1时向率1卡志^slwsjz I 氏为1倜由=ArvMy 0日n 乎any sn/any- 开启音 - □ Tmsi rnjtf ［心•伊内部址 any 目的 a ❿ 孙-开启 e - 4 a□ Trust Tiufl 1 AfF芷有勘F访问1翻5 anyiW开启 E -□ Irusit Unlruat-any耐 any 3N 呻开启舌-□ urenjKFruM0 ftHF any;3叮a 值a*-开售 3 -二、进入WEB ，将接口改为二层模式，在将二层模式的接口划到Trust 安全域中。

H3C防火墙配置命令

SecPath 系列安全产品支持以HTTP 方式登录到系统中，并通过Web 管理界面对系
统进行配置和管理。在使用Web 界面登录到系统前，必须先使能HTTP 服务器功能。
H3C SecPath 系列安全产品操作手册（基础配置）第4 章系统维护管理 4-17
表4-17 使能/关闭HTTP 服务器
对插槽中的插卡进行拔出预处理 remove slot slot-id
取消拔出预处理操作 undo remove slot slot-id
显示设备和插卡的信息（任意视图） display device [ slot-id ]
配置防火墙网页登陆
配置防火墙网页登陆配置防火墙网页登陆
显示当前视图的配置 display this
显示防火墙的当前的运行配置 s:mon_resources,spdisplay current-configuration[ interface
interface-type [ interface-number ] | configuration
[H3C] firewall zone trust
[H3C-zone-trust] add interface GigabitEthernet0/0
3. 为PC配置IP地址。
假设PC的IP地址为192.168.0.2。
4. 使用Ping命令验证网络连接性。
<H3C> ping 192.168.0.2
配置HTTP 服务器的访问限制
可以配置HTTP 服务器，使仅具有特定IP 地址的用户才可以登录HTTP 服务器，对 ansparent-transmit enabN 设备进行配置和管理。
配置HTTP 服务器的访问限制

华三防火墙H3CF100基本配置说明资料

华三防火墙H3CF100基本配置说明资料华三防火墙H3C F100配置说明一、开通网口用超级终端开通GE0/0网口先输入〈H3C〉system-view 初始化配置再输入[H3C] interzone policy default by-priority 开通GE0/0网口二、连接将服务器的IP设成192.168.0.2 子网掩码255.255.255.0与华为防火墙的GE0/0相连（默认iP是192.168.0.1）三、配置1.打开浏览器，输入192.168.0.12.输入用户名（admin ）、密码（admin ）以及验证码（注意大小写）后进入配置界面。

3.先把端口加入相应的域。

外网口就加入Untrust 域，内网口就加入Trust口。

设备管理—安全域，编辑Trust和Untrust区域。

选择0/1为Trust区域，选择0/2为Untrust区域。

4.为相应的接口配置上相应的IP地址。

设备管理—接口管理，编辑0/1,三层模式，静态路由，IP地址192.168.1.1 掩码：255.255.255.0255.255.255.05.网络管理—DHCP-DHCP服务器，选择启动，动态。

新建，如下图填入IP,掩码，网关和DNS.6.防火墙—ACL新建ACL,在ID中填入2000确定后点击详细信息，新建对2000进行配置，pernit和无限制。

7.防火墙—NAT—动态地址转化新建，选择0/2口，2000，easy IP。

8.网络管理—路由管理—静态路由新建目标IP：0.0.0.0 掩码：0.0.0.0 下一跳：10.178.177.129出接口：0/29.设备管理—配置管理。

备份。

0/2。

0/0为配置口。

h3c防火墙的基本配置

h3c防火墙的基本配置h3c防火墙的基本配置[F100-A]dis current-configuration#sysname F100-A#undo firewall packet-filter enablefirewall packet-filter default permit#undo insulate#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable#radius scheme systemserver-type extended#domain system#local-user egb--aqpassword cipher ]#R=WG;'I/ZGL^3L[[\\1-A!!service-type telnetlevel 3#aspf-policy 1detect httpdetect smtpdetect ftpdetect tcpdetect udp#acl number 2000rule 0 permit source 192.168.0.0 0.0.0.255 rule 1 deny#interface Virtual-T emplate1#interface Aux0async mode flow#interface Ethernet0/0ip address 192.168.0.1 255.255.255.0#interface Ethernet1/0ip address 211.99.231.130 255.255.255.224ip address 211.99.231.132 255.255.255.224 sub ip address 211.99.231.133 255.255.255.224 sub ip address 211.99.231.134 255.255.255.224 sub ip address 211.99.231.135 255.255.255.224 sub ip address 211.99.231.136 255.255.255.224 sub ip address 211.99.231.137 255.255.255.224 sub ip address 211.99.231.138 255.255.255.224 sub ip address 211.99.231.139 255.255.255.224 sub ip address 211.99.231.131 255.255.255.224 subnat outbound 2000nat server protocol tcp global 211.99.231.136 3000 inside 192.168.0.6 3000nat server protocol tcp global 211.99.231.136 6000 inside 192.168.0.6 6000nat server protocol tcp global 211.99.231.132 ftp inside 192.168.0.3 ftpnat server protocol tcp global 211.99.231.132 5631 inside 192.168.0.3 5631nat server protocol tcp global 211.99.231.132 43958 inside 192.168.0.3 43958nat server protocol tcp global 211.99.231.134 ftp inside 192.168.0.4 ftpnat server protocol tcp global 211.99.231.134 www inside 192.168.0.4 wwwnat server protocol tcp global 211.99.231.134 5631 inside 192.168.0.4 5631nat server protocol tcp global 211.99.231.134 43958 inside 192.168.0.4 43958nat server protocol tcp global 211.99.231.135 ftp inside 192.168.0.5 ftpnat server protocol tcp global 211.99.231.135 58169 inside 192.168.0.5 58169nat server protocol tcp global 211.99.231.135 www inside 192.168.0.5 wwwnat server protocol tcp global 211.99.231.135 43958 inside 192.168.0.5 43958nat server protocol tcp global 211.99.231.136 ftp inside 192.168.0.6 ftpnat server protocol tcp global 211.99.231.136 smtp inside192.168.0.6 smtpnat server protocol tcp global 211.99.231.136 www inside 192.168.0.6 wwwnat server protocol tcp global 211.99.231.136 81 inside 192.168.0.6 81nat server protocol tcp global 211.99.231.136 82 inside 192.168.0.6 82nat server protocol tcp global 211.99.231.136 83 inside 192.168.0.6 83nat server protocol tcp global 211.99.231.136 84 inside 192.168.0.6 84nat server protocol tcp global 211.99.231.136 pop3 inside 192.168.0.6 pop3nat server protocol tcp global 211.99.231.136 1433 inside 192.168.0.6 1433nat server protocol tcp global 211.99.231.136 5150 inside 192.168.0.6 5150nat server protocol tcp global 211.99.231.136 5631 inside 192.168.0.6 5631nat server protocol tcp global 211.99.231.136 58169 inside 192.168.0.6 58169nat server protocol tcp global 211.99.231.136 8080 inside 192.168.0.6 8080nat server protocol tcp global 211.99.231.136 43958 inside 192.168.0.6 43958nat server protocol tcp global 211.99.231.138 smtp inside 192.168.0.8 smtpnat server protocol tcp global 211.99.231.138 www inside 192.168.0.8 www192.168.0.8 pop3nat server protocol tcp global 211.99.231.138 5631 inside 192.168.0.8 5631nat server protocol tcp global 211.99.231.138 58169 inside 192.168.0.8 58169nat server protocol tcp global 211.99.231.137 ftp inside 192.168.0.9 ftpnat server protocol tcp global 211.99.231.137 www inside 192.168.0.9 wwwnat server protocol tcp global 211.99.231.132 www inside 192.168.0.3 wwwnat server protocol tcp global 211.99.231.137 81 inside 192.168.0.9 81nat server protocol tcp global 211.99.231.137 82 inside 192.168.0.9 82nat server protocol tcp global 211.99.231.137 83 inside 192.168.0.9 83nat server protocol tcp global 211.99.231.137 1433 inside 192.168.0.9 1433nat server protocol tcp global 211.99.231.137 5631 inside 192.168.0.9 5631nat server protocol tcp global 211.99.231.137 43958 inside 192.168.0.9 43958nat server protocol tcp global 211.99.231.137 58169 inside 192.168.0.9 58169nat server protocol tcp global 211.99.231.136 88 inside 192.168.0.6 88nat server protocol tcp global 211.99.231.137 84 inside 192.168.0.9 84192.168.0.9 85nat server protocol tcp global 211.99.231.137 86 inside 192.168.0.9 86nat server protocol tcp global 211.99.231.137 87 inside 192.168.0.9 87nat server protocol tcp global 211.99.231.137 88 inside 192.168.0.9 88nat server protocol tcp global 211.99.231.137 smtp inside 192.168.0.9 smtpnat server protocol tcp global 211.99.231.137 8080 inside 192.168.0.9 8080nat server protocol tcp global 211.99.231.137 5080 inside 192.168.0.9 5080nat server protocol tcp global 211.99.231.137 1935 inside 192.168.0.9 1935nat server protocol udp global 211.99.231.137 5555 inside 192.168.0.9 5555nat server protocol tcp global 211.99.231.132 58169 inside 192.168.0.3 58169nat server protocol tcp global 211.99.231.134 58169 inside 192.168.0.4 58169nat server protocol tcp global 211.99.231.135 5631 inside 192.168.0.5 5631nat server protocol tcp global 211.99.231.136 6100 inside 192.168.0.6 6100nat server protocol tcp global 211.99.231.139 www inside 192.168.0.12 wwwnat server protocol tcp global 211.99.231.139 58169 inside 192.168.0.12 58169192.168.0.12 58189nat server protocol tcp global 211.99.231.139 5631 inside 192.168.0.12 5631nat serverprotocol tcp global 211.99.231.137 89 inside 192.168.0.9 89 nat server protocol tcp global 211.99.231.134 58269 inside 192.168.0.4 58269nat server protocol udp global 211.99.231.134 58269 inside 192.168.0.4 58269nat server protocol tcp global 211.99.231.133 www inside 192.168.0.13 wwwnat server protocol tcp global 211.99.231.135 1935 inside 192.168.0.5 1935nat server protocol tcp global 211.99.231.135 5080 inside 192.168.0.5 5080nat server protocol tcp global 211.99.231.132 1755 inside 192.168.0.3 1755nat server protocol tcp global 211.99.231.137 1755 inside 192.168.0.9 1755nat server protocol tcp global 211.99.231.137 554 inside 192.168.0.9 554nat server protocol tcp global 211.99.231.135 5551 inside 192.168.0.5 5551nat server protocol tcp global 211.99.231.131 www inside 192.168.0.204 wwwnat server protocol tcp global 211.99.231.134 81 inside 192.168.0.4 81nat server protocol tcp global 211.99.231.136 1935 inside 192.168.0.6 1935192.168.0.10 wwwnat server protocol udp global 211.99.231.137 dns inside 192.168.0.9 dnsnat server protocol tcp global 211.99.231.135 58189 inside 192.168.0.5 58189nat server protocol tcp global 211.99.231.141 www inside 192.168.0.11 www#interface Ethernet1/1#interface Ethernet1/2#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/0set priority 85statistic enable ip inzonestatistic enable ip outzone#firewall zone untrustadd interface Ethernet1/0add interface Ethernet1/1add interface Ethernet1/2set priority 5statistic enable ip inzonestatistic enable ip outzone#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#undo info-center enable#FTP server enable#ip route-static 0.0.0.0 0.0.0.0 211.99.231.129 preference 1 #firewall defend ip-spoofingfirewall defend landfirewall defend smurffirewall defend fragglefirewall defend winnukefirewall defend icmp-redirectfirewall defend icmp-unreachablefirewall defend source-routefirewall defend route-recordfirewall defend tracertfirewall defend ping-of-deathfirewall defend tcp-flagfirewall defend ip-fragmentfirewall defend large-icmpfirewall defend teardropfirewall defend ip-sweepfirewall defend port-scanfirewall defend arp-spoofingfirewall defend arp-reverse-queryfirewall defend arp-floodfirewall defend frag-floodfirewall defend syn-flood enablefirewall defend udp-flood enablefirewall defend icmp-flood enablefirewall defend syn-flood zone trustfirewall defend udp-flood zone trustfirewall defend syn-flood zone untrustfirewall defend udp-flood zone untrust#user-interface con 0authentication-mode passwordset authentication password cipher XB-'KG=+=J^UJ;&DL'U46Q!!user-interface aux 0user-interface vty 0 4authentication-mode scheme。

H3C防火墙命令行配置

欢迎共阅配置防火墙网页登录1.配置防火墙缺省允许报文通过< telecom > system-view[telecom] firewall packet-filter enable3.在GigabitEthernet 0/1接口上配置FTP及www内部服务器[telecom] interface GigabitEthernet 0/1[telecom-GigabitEthernet0/1][telecom-GigabitEthernet0/1] nat outbound 2000[telecom-GigabitEthernet0/1] quit4.配置访问控制列表，允许网段访问internet [telecom]acl number 2000[telecom-acl-basic-2000][telecom-acl-basic-2000] rule 1 deny第三步：配置本端设备名称为routera [telecom] ike local-name routera第四步：配置对等体peer[telecom] ike peer peer[telecom-ike-peer-peer] exchange-mode aggressive[telecom-ike-peer-peer] pre-shared-key 123456[telecom-ike-peer-peer] id-type name[telecom-ike-peer-peer] remote-name telecom[telecom-ike-peer-peer] nat traversal第九步：配置安全策略test引用IPSec安全提议test [telecom-ipsec-policy-isakmp-test-1] proposal test[telecom-ipsec-policy-isakmp-test-1] quit第十步：配置上行接口IP地址/24，并在接口上应用IPSec策略[telecom] int GigabitEthernet 0/0[telecom-GigabitEthernet0/0][telecom-GigabitEthernet0/0] nat outbound 3000[telecom-GigabitEthernet0/0] ipsec policy test第十一步：配置下行接口IP地址/24vrbd 显示详细的软件版本信息display clock 显示系统时钟clock datetime 14:56:00 23/2/2017 修改系统时钟为2017年2月23日14时56分0秒display users [all] 显示终端用户reboot 重启防火墙save 保存当前配置reset save清空当前配置display interface GigabitEtherneto/1 查看某个端口信息display cpu-usage history 统计系统cpu占用率历史信息display device [slot-id] 显示设备和插卡的信息display ip routing-table 显示当前路由表ip route-static 目的地址掩码下一跳的地址[端口] [管理距离]telnet server enable 开启telnet服务display history-command 查看保存的历史命令display hotkey 查看热键信息hotkey将某快捷键与某一命令行关联（格式为hotkey 快捷键一段命令）。

H3C防火墙基本配置

H3C防⽕墙基本配置防⽕墙基础配置# 修改设备名称sysname KL_HC_JT_FW_01# 账号密码修改以及服务权限local-user admin class managepassword simple KLL!@#2021service-type ssh terminal httpsauthorization-attribute user-role level-3authorization-attribute user-role network-adminauthorization-attribute user-role network-operatorpassword-control login-attempt 10 exceed lock-time 30# 开启远程ssh，关闭telnetssh server enableundo telnet server enable# 远程登录⾝份认证line vty 0 4authentication-mode schemeuser-role network-admin# 开启web界⾯登录ip https enableundo ip http enable# 开启lldplldp global enable# 配置管理⼝地址,如果出现故障可以直连管理⼝登录防⽕墙security-zone name Managementimport interface GigabitEthernet 1/0/1quit# 配置地址interface GigabitEthernet1/0/11ip address 192.168.0.1 24undo shutdown# 防⽕墙安全策略配置# 允许local到所有区域security-policy ip # IP策略rule 1 name local-any # 序号1，名称local-anyaction pass # 动作pass允许通过logging enable # 记录⽇志source-zone Local # 源安全区域destination-zone Any # ⽬的安全区域rule 2 name trust-untrust # 序号2action pass # 动作pass允许通过logging enable # 记录⽇志source-zone trust # 源安全区域destination-zone untrust # ⽬的安全区域# 移动安全区域顺序move rule rule-id before insert-rule-id # 移动安全策略到哪条安全策略之前# 保存配置save f。

h3c 防火墙配置

3. 配置步骤(1) 2630的配置#sysname Quidway#ike local-name client# //由于2630要与SecPath1与SecPath2都建立GRE连接，所以需要建立两个ike协商ike peer 1 //ike对等体的名字为1exchange-mode aggressivepre-shared-key 1 //配置身份验证字为1id-type name //使用name方式作为ike协商的ID类型remote-name 1 //指定对端的name，也就是SecPath1的nameremote-address 2.1.1.2 //指定对端的IP地址nat traversal#ike peer 2 //第二个ikeexchange-mode aggressivepre-shared-key 1id-type nameremote-name 2remote-address 3.1.1.2nat traversal#ipsec proposal 1 //配置一个安全提议，使用默认的安全提议参数#ipsec policy 1 1 isakmp //使用IKE创建第一个安全策略，第一个1是安全策略组的名字，第二个1是安全策略的序列号security acl 3000 //引用访问控制列表3000ike-peer 1 //引用ike对等体1，注意1是ike对等体的名字，而不是编号proposal 1 //引用安全提议1#ipsec policy 1 2 isakmp//使用IKE创建第二个安全策略，安全策略组的名字为1security acl 3001ike-peer 2proposal 1#controller T1 2/0#controller T1 2/1#interface Virtual-Template1 //l2tp配置使用虚拟模板用于配置动态创建的虚接口的参数ip address 172.31.4.1 255.255.255.0#interface Aux0async mode flowlink-protocol ppp#interface Dialer1 //创建一个共享式拨号接口1link-protocol ppp //拨号接口封装的链路层协议为PPPmtu 1450ip address ppp-negotiate //拨号接口的地址采用PPP协商方式得到dialer user test //配置呼叫对端的用户dialer bundle 1 //创建拨号接口池1ipsec policy 1#interface Ethernet0/0pppoe-client dial-bundle-number 1 //pppoe client配置在以太网接口上配置，也可以在virtual-ethernet上配置，此配置是配置pppoe会话，一个拨号接口对应创建一个pppoe会话#interface Tunnel0ip address 6.1.1.3 255.255.255.0source 192.168.0.4destination 192.168.0.1ospf cost 100#interface Tunnel1ip address 7.1.1.3 255.255.255.0source 192.168.0.4destination 192.168.0.2ospf cost 99#interface NULL0#interface LoopBack0 //这里配置loopback解决的目的是为了给tunnel接口配置源ip地址ip address 192.168.0.4 255.255.255.255#acl number 3000rule 0 permit ip source 192.168.0.4 0 destination 192.168.0.1 0acl number 3001rule 0 permit ip source 192.168.0.4 0 destination 192.168.0.2 0#ospf 1area 0.0.0.0network 6.1.1.0 0.0.0.255network 7.1.1.0 0.0.0.255network 172.31.4.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4#return(2)3640的配置#sysname Quidway#ike local-name client#ike peer 1exchange-mode aggressivepre-shared-key 1id-type nameremote-name 1remote-address 2.1.1.2nat traversal#ike peer 2exchange-mode aggressivepre-shared-key 1id-type nameremote-name 2remote-address 3.1.1.2nat traversal#ipsec proposal 1#ipsec policy 1 1 isakmpsecurity acl 3000ike-peer 1proposal 1#ipsec policy 1 2 isakmpsecurity acl 3001ike-peer 2proposal 1#interface Virtual-Template1ip address 172.31.3.1 255.255.255.0 #interface Aux0async mode flowlink-protocol ppp#interface Dialer1link-protocol pppppp pap local-user 1 password simple 1 mtu 1450ip address ppp-negotiatedialer user testdialer bundle 1ipsec policy 1#interface Ethernet2/0pppoe-client dial-bundle-number 1#interface Ethernet2/1#interface Ethernet3/0#interface Serial0/0link-protocol ppp#interface Serial0/1clock DTECLK1link-protocol ppp#interface GigabitEthernet1/0#interface Tunnel0ip address 4.1.1.3 255.255.255.0source 192.168.0.3destination 192.168.0.1ospf cost 100#interface Tunnel1ip address 5.1.1.3 255.255.255.0source 192.168.0.3destination 192.168.0.2ospf cost 99#interface Tunnel9#interface NULL0#interface LoopBack0ip address 192.168.0.3 255.255.255.255#acl number 3000rule 0 permit ip source 192.168.0.3 0 destination 192.168.0.1 0 acl number 3001rule 0 permit ip source 192.168.0.3 0 destination 192.168.0.2 0 #ospf 1area 0.0.0.0network 4.1.1.0 0.0.0.255network 5.1.1.0 0.0.0.255network 172.31.3.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 Dialer 1 preference 60#user-interface con 0user-interface aux 0user-interface vty 0 4#return。

H3C 防火墙F100 基本配置

user-interface aux 0
user-interface vty 0 4
user privilege level 3
set authentication password simple 123456
#
return
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
connection-limit default deny
connection-limit default amount upper-limit 50 lower-limit 20
#
nat address-group 1 202.99.198.135 202.99.198.135
nat address-group 2 172.22.52.179 172.22.52.179
#
firewall defend ip-spoofing
firewall defend land
firewall defend smurf
firewall defend fraggle
firewall defend winnuke
firewall defend icmp-redirect
firewall defend icmp-unreachable
firewall defend large-icmp
firewall defend teardrop

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

华为H3C防火墙配置命令2009-03-28 09:28:26标签：华为H3C防火墙配置H3CF100S配置172.18.100.1255.255.255.0255.255.255.0初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

切换用户级别 super [ level ]直接重新启动防火墙 reboot开启信息中心 info-center enable关闭信息中心 undo info-center enableftp server enable显示下次启动时加载的配置文件 display saved-configuration [ by-linenum ]显示系统本次启动及下次启动使用的配置文件 display startup显示当前视图的配置 display this显示防火墙的当前的运行配置display current-configuration[ interfaceinterface-type [ interface-number ] | configuration[ isp | zone | interzone | radius-template | system |user-interface ] ] [ by-linenum ] [ | { begin | include |exclude } string ]保存当前配置 save [ file-name | safely ]删除Flash 中保存的下次启动时加载的配置文件 reset saved-configuration配置防火墙工作在透明模式 firewall mode transparentH3C SecPath 系列安全产品操作手册（安全）第8 章透明防火墙8-6操作命令配置防火墙工作在路由模式 firewall mode route恢复防火墙的工作模式为缺省模式 undo firewall mode缺省情况下，防火墙工作在路由模式（route）下。

启动ARP 表项自动学习功能 firewall arp-learning enable禁止ARP 表项自动学习功能 undo firewall arp-learning enable缺省情况下，当防火墙工作在透明模式下时，防火墙启动ARP 表项自动学习功能。

表8-9 配置VLAN ID 透传操作命令使能接口的VLAN ID 透传功能 bridge vlanid-transparent-transmit enable禁止接口的VLAN ID 透传功能 undo bridge vlanid-transparent-transmit enable 缺省情况下，禁止接口的VLAN ID 透传功能。

使能ARP Flood 攻击防范功能 firewall defend arp-flood [ max-raterate-number ]关闭ARP Flood 攻击防范功能 undo firewall defend arp-flood [ max-rate ]缺省为关闭ARP Flood 攻击防范功能。

ARP 报文的最大连接速率范围为1～1,000,000，缺省为100。

SecPath 系列安全产品支持以HTTP 方式登录到系统中，并通过Web 管理界面对系统进行配置和管理。

在使用Web 界面登录到系统前，必须先使能HTTP 服务器功能。

请在系统视图下进行下列配置。

H3C SecPath 系列安全产品操作手册（基础配置）第4 章系统维护管理4-17表4-17 使能/关闭HTTP 服务器操作命令使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown缺省情况下，系统使能HTTP 服务器。

仅当登录用户具有Telnet 的服务类型时（service-type telnet），才允许登录HTTP 服务器，且不同等级的用户在Web 界面中的可配置项也会不同。

配置HTTP 服务器的访问限制可以配置HTTP 服务器，使仅具有特定IP 地址的用户才可以登录HTTP 服务器，对设备进行配置和管理。

请在系统视图下进行下列配置。

表4-18 配置HTTP 服务器的访问限制操作命令配置HTTP 服务器的访问限制 ip http acl acl-number取消对HTTP 服务器的访问限制 undo ip http acl缺省情况下，未配置HTTP 服务器的访问限制。

仅ACL 中允许的IP 地址才可以访问HTTP 服务器。

表3-10 显示系统状态信息操作命令显示系统版本信息 display version显示详细的软件版本信息 vrbd显示系统时钟 display clock显示终端用户 display users [ all ]显示起始配置信息 display saved-configuration显示当前配置信息 display current-configuration显示调试开关状态 display debugging [ interface interface-typeinterface-number ] [ module-name ]显示当前视图的运行配置 display this显示技术支持信息 display diagnostic-information显示剪贴板的内容 display clipboardH3C SecPath 系列安全产品操作手册（基础配置）第3 章 Comware 的基本配置3-5操作命令显示当前系统内存使用情况 display memory [ limit ]显示CPU 占用率的统计信息 display cpu-usage [ configuration | number[ offset ] [ verbose ] [ from-device ] ]设置CPU 占用率统计的周期 cpu-usage cycle { 5sec | 1min | 5min | 72min }以图形方式显示CPU 占用率统计历史信息 display cpu-usage history [ task task-id ]对插槽中的插卡进行拔出预处理 remove slot slot-id取消拔出预处理操作 undo remove slot slot-id显示设备和插卡的信息（任意视图） display device [ slot-id ]配置防火墙网页登陆1. 配置防火墙缺省允许报文通过。

<H3C> system-view[H3C] firewall packet-filter default permit2. 为防火墙的以太网接口（以GigabitEthernet0/0为例）配置IP地址，并将接口加入到安全区域。

[H3C] interface GigabitEthernet0/0[H3C-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0[H3C-GigabitEthernet0/0] quit[H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/03. 为PC配置IP地址。

假设PC的IP地址为192.168.0.2。

4. 使用Ping命令验证网络连接性。

<H3C> ping 192.168.0.2Ping命令成功！后5.添加登录用户为使用户可以通过Web登录，并且有权限对防火墙进行管理，必须为用户添加登录帐户并且赋予其权限。

例如：建立一个帐户名和密码都为admin，帐户类型为telnet，权限等级为3的管理员用户。

[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3在PC上启动浏览器（建议使用IE5.0及以上版本），在地址栏中输入IP地址“192.168.0.1”后回车，即可进入防火墙Web登录页面，使用之前创建的 admin帐户登录防火墙，单击<Login>按钮即可登录。

用户可以通过“Language”下拉框选择界面语言内部主机通过域名区分并访问对应的内部服务器组网应用1)配置easy ip（不用配地址池，直接通过接口地址做转换）nat outbound acl-number2)DNS MAPnat dns-map domain-name global-addrglobal-port [ tcp | udp ]实例：# 在Ethernet0/0/0 接口上配置FTP 及WWW内部服务器。