华为USG防火墙运维命令大全

内网：配置GigabitEthernet 0/0/1加入Trust区域[USG5300] firewall zone trust[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1外网：配置GigabitEthernet 0/0/2加入Untrust区域[USG5300] firewall zone untrust[USG5300-zone-untrust] add interface GigabitEthernet 0/0/2DMZ：[USG5300] firewall zone dmz[USG5300-zone-untrust] add interface GigabitEthernet 0/0/3[USG5300-zone-untrust] quit1.4.1 Trust和Untrust域间：允许内网用户访问公网policy 1：允许源地址为10.10.10.0/24的网段的报文通过[USG5300] policy interzone trust untrust outbound[USG5300-policy-interzone-trust-untrust-outbound] policy 1[USG5300-policy-interzone-trust-untrust-outbound-1] policy source 10.10.10.0 0.0.0.255[USG5300-policy-interzone-trust-untrust-outbound-1] action permit[USG5300-policy-interzone-trust-untrust-outbound-1] quit如果是允许所有的内网地址上公网可以用以下命令：[USG2100]firewall packet-filter default permit interzone trust untrust direction outbound //必须1.4.2 DMZ和Untrust域间：从公网访问内部服务器policy 2：允许目的地址为10.10.11.2，目的端口为21的报文通过policy 3：允许目的地址为10.10.11.3，目的端口为8080的报文通过[USG5300] policy interzone untrust dmz inbound[USG5300-policy-interzone-dmz-untrust-inbound] policy 2[USG5300-policy-interzone-dmz-untrust-inbound-2] policy destination 10.10.11.3 0 [USG5300-policy-interzone-dmz-untrust-inbound-2] policy service service-set ftp [USG5300-policy-interzone-dmz-untrust-inbound-2] action permit[USG5300-policy-interzone-dmz-untrust-inbound-2] quit[USG5300-policy-interzone-dmz-untrust-inbound] policy 3[USG5300-policy-interzone-dmz-untrust-inbound-3] policy destination 10.10.11.2 0[USG5300-policy-interzone-dmz-untrust-inbound-3]policy service service-set http [USG5300-policy-interzone-dmz-untrust-inbound-3] action permit[USG5300-policy-interzone-dmz-untrust-inbound-3] quit[USG5300-policy-interzone-dmz-untrust-inbound] quit配置内部服务器：<USG5300> system-view[USG5300] nat server protocol tcp global 220.10.10.16 8080 inside 10.10.11.2 www [USG5300] nat server protocol tcp global 220.10.10.17 ftp inside 10.10.11.3 ftpNAT2、通过公网接口的方式创建Trust区域和Untrust区域之间的NAT策略，确定进行NAT转换的源地址范围192.168.1.0/24网段，并且将其与外网接口GigabitEthernet 0/0/4进行绑定。

Juniper华为H3C设备维护通用命令Juniper_华为_H3C设备维护常用命令1、[Router&Swithc]华为/H3C设备常规巡检命令#系统时间display clock#系统以及各单板软件版本display version#设备温度display environment#日志信息display logbuffer#单板运行状态display device#电源状态display device#风扇状态display device#CPU占用状态display cpu-usage#内存占用率display memory limit#接口流量display interface#接口、链路状态display interface#地址分配display current-configuration interface##路由扩散display current-configuration | include ospf#OSPF（Open Shortest Path First）配置display router id#路由信息display ip routing-table#端口统计数据display ip interface#当前配置文件display current-configuration#保存配置文件display saved-configuration端口使用状态display interface GigabitEthernet/T en-GigabitEthernet brief VLAN使用状态display ip interface brief2、脚本—华为display versiondis patch-informationdisplay clockdis dustproofdis frame-typedis healthdisplay cpu-usagedisplay memorydisplay memory limitdisplay devicedisplay device manuinfodisplay powerdisplay fandisplay voltagedir cfcard2:/dir cfcard:display device pic-statusdis switchover statedisplay environmentdisplay interfacedisplay logbufferdis alarmdis bootrom ethernetdisplay current-configurationdisplay current-configuration interface#display router iddisplay ip routing-tabledisplay ip interfacedisplay ip interface briefdisplay current-configurationdisplay saved-configurationdisplay diagnostic-information3、脚本—华为NE40edisplay version 查看VRP版本等信息dis patch-information 查看版本补丁display clock 查看时钟dis dustproof 防尘网信息Dis frame-type 显示NE40E机框类型dis health 显示系统资源的使用情况display cpu-usage 查看1分钟CPU利用率display memory 查看内存使用情况display memory limitdisplay device 查看母板信息display device manuinfodisplay power 查看电源状态display fan 查看风扇状态display voltage 查看板卡电压dir cfcard2:/ 查看设备crash信息dir cfcard: 查看设备cf卡信息display device pic-status 查看子卡型号，序列号(NE40E NE80E) dis switchover state 查看引擎HA情况display environmentdisplay interface 查看接口状态display logbuffer 查看日志dis alarm 查看设备告警dis bootrom ethernet 查看设备bootrom信息display current-configuration查看当前配置display current-configuration interface# 查看设备当前接口配置display router id 查看设备路由IDdisplay ip routing-table 查看设备路由display ip interface 查看设备接口情况display ip interface brief 查看设备接口状态display current-configuration 查看设备当前配置display saved-configuration 查看设备内存配置（相当show start）display diagnostic-information 抓取设备完整信息相对于show tech二、JUNIPER设备常用维护巡检命令1、脚本—JUNIPERshow system uptimeshow version detailshow chassis hardware detailshow chassis environment //显示设备的环境信息，包括温度、风扇状况、电源状况、路由引擎状况。

华为usg防火墙基本配置命令有哪些修改防火墙的时间和时区信息默认情况下防火墙没有定义时区，系统保存的时间和实际时间可能不符。

使用时应该根据实际的情况定义时间和时区信息。

实验中我们将时区定义到东八区，并定义标准时间。

clock timezone 1 add 08:00:0013:50:57 2014/07/04dis clock21:51:15 2014/07/032014-07-03 21:51:15ThursdayTime Zone : 1 add 08:00:00clock datetime 13:53:442014/07/0421:53:29 2014/07/03dis clock13:54:04 2014/07/042014-07-04 13:54:04FridayTime Zone : 1 add 08:00:00修改防火墙登录标语信息默认情况下，在登陆防火墙，登陆成功后有如下的标语信息。

Please Press ENTER.Login authenticationUsername:adminPassword:*********NOTICE:This is a private communicationsystem.Unauthorized access or use may lead to prosecution.防火墙设备以此信息警告非授权的访问。

实际使用中，管理员可以根据需要修改默认的登陆标语信息Please Press ENTER.Welcome to USG5500Login authenticationUsername:adminPassword:*********Welcome to USG5500You are logining insystem Please do not delete system config filesNOTICE:This is a private communicationsystem.Unauthorized access or use may lead to prosecution.注意，默认达到NOTICE信息一般都会存在，不会消失或被代替。

USG2000基础配置手册初始化设备：reset saved-configurationREBOOTNY1.# 进入系统视图。

<USG> system-view# 进入Ethernet 0/0/0视图。

[USG A] interface Ethernet 0/0/0# 配置Ethernet 0/0/0（公网）的IP地址。

[USG A-Ethernet0/0/0] ip address 61.163.165.108 255.255.255.128 #公网IP，运营商提供# 退回系统视图。

[USG A-Ethernet0/0/0] quit2.# 进入Ethernet 0/0/1视图。

[USG A] interface Ethernet 0/0/1# 配置内部局域网Ethernet 0/0/1的IP地址。

[USG A-Ethernet0/0/1] ip address 192.168.0.1 255.255.255.0[USG A-Ethernet0/0/1] dhcp select interface# 退回系统视图。

[USG A-Ethernet0/0/1] quit3.# 进入Trust区域视图。

[USG A] firewall zone trust# 配置Ethernet 0/0/1加入Trust区域。

#通常内网在trust区域[USG A-zone-trust] add interface Ethernet 0/0/1# 退回系统视图。

[USG A-zone-trust] quit# 进入Untrust区域视图。

[USG A] firewall zone untrust# 配置Ethernet 0/0/0加入Untrust区域。

#通常外网在untrust区域[USG A-zone-untrust] add interface Ethernet 0/0/0# 退回系统视图。

[USG A-zone-untrust] quit4.#配置需要上网的ACL[USG] acl 2000[USG-acl-basic-2000] rule permit[USG-acl-basic-2000] quit5.# 配置NAT地址池。

一、access-list 用于创建访问规则。

（1）创建标准访问列表access-list [ normal | special ] listnumber1 { permit | deny } source-addr[ source-mask ]（2）创建扩展访问列表access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [operator port1[port2]]dest-addr dest-mask [operator port1[ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）删除访问列表no access-list { normal | special } { all | listnumber [ subitem ] }【参数说明】normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

dest-addr 为目的地址。

dest-mask 为目的地址通配位。

operator[可选]端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

华为USG防火墙配置手册1. 简介本手册旨在指导用户进行华为USG防火墙的配置和使用。

华为USG防火墙是一款功能强大的网络安全设备，可用于保护企业网络免受网络攻击和安全威胁。

2. 配置步骤2.1 硬件连接在配置USG防火墙之前，请确保正确连接好相关硬件设备，包括USG防火墙、路由器和服务器等。

2.2 登录USG防火墙使用SSH客户端等工具，输入USG防火墙的IP地址和管理员账号密码进行登录。

2.3 配置基本参数登录USG防火墙后，根据实际需求配置以下基本参数：- 设置管理员密码- 配置IP地址和子网掩码- 设置DNS服务器地址2.4 配置网络地址转换（NAT）根据实际网络环境，配置网络地址转换（NAT）功能。

NAT 功能可以将内部IP地址转换为合法的公网IP地址，实现内网和外网的通信。

2.5 配置访问控制策略配置访问控制策略可以限制网络流量的访问权限，确保只有授权的用户或设备可以访问特定网络资源。

2.6 配置安全服务华为USG防火墙提供多种安全服务功能，例如防病毒、入侵检测和内容过滤等。

根据实际需求，配置相应的安全服务功能。

2.7 配置远程管理和监控配置远程管理和监控功能，可以通过远程管理工具对USG防火墙进行实时监控和管理。

3. 常见问题解答3.1 如何查看防火墙日志？登录USG防火墙的Web界面，找到"日志"选项，可以查看防火墙的各种日志信息，包括安全事件、连接记录等。

3.2 如何升级USG防火墙固件版本？4. 其他注意事项- 在配置USG防火墙之前，请先备份原有的配置文件，以防配置错误或损坏设备。

- 请勿将USG防火墙暴露在不安全的网络环境中，以免受到未授权的访问和攻击。

以上是华为USG防火墙的配置手册，希望能帮助到您。

如有其他问题，请随时联系我们的技术支持。

华为路由器和防火墙配置命令总结一、用于创建访问规则.（）创建标准访问列表[ ] { } [ ]（）创建扩展访问列表[ ] { } [ [ ] ] [ [ ] [ ] ] [ ]（）删除访问列表{ } { [ ] }【参数说明】指定规则加入普通时间段.指定规则加入特殊时间段.是到之间地一个数值，表示规则是标准访问列表规则.是到之间地一个数值，表示规则是扩展访问列表规则.表明允许满足条件地报文通过.表明禁止满足条件地报文通过.为协议类型，支持、、等，其它地协议也支持，此时没有端口比较地概念；为时有特殊含义，代表所有地协议.为源地址.为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为.为目地地址.为目地地址通配位.[可选] 端口操作符，在协议类型为或时支持端口比较，支持地比较操作有：等于（）、大于（）、小于（）、不等于（）或介于（）；如果操作符为，则后面需要跟两个端口.在协议类型为或时出现，可以为关键字所设定地预设值（如）或之间地一个数值.在协议类型为或且操作类型为时出现；可以为关键字所设定地预设值（如）或之间地一个数值.[可选] 在协议为时出现，代表报文类型；可以是关键字所设定地预设值（如）或者是之间地一个数值.在协议为且没有选择所设定地预设值时出现；代表码，是之间地一个数值.[可选] 表示如果报文符合条件，需要做日志.为删除地规则序号，是之间地一个数值.[可选] 指定删除序号为地访问列表中规则地序号.【缺省情况】系统缺省不配置任何访问规则.【命令模式】全局配置模式【使用指南】同一个序号地规则可以看作一类规则；所定义地规则不仅可以用来在接口上过滤报文，也可以被如等用来判断一个报文是否是感兴趣地报文，此时，与表示是感兴趣地还是不感兴趣地.使用协议域为地扩展访问列表来表示所有地协议.同一个序号之间地规则按照一定地原则进行排列和选择，这个顺序可以通过命令看到.【举例】允许源地址为网络、目地地址为网络地访问，但不允许使用.()()【相关命令】二、清除访问列表规则地统计信息.[ ]【参数说明】[可选] 要清除统计信息地规则地序号，如不指定，则清除所有地规则地统计信息.【缺省情况】任何时候都不清除统计信息.【命令模式】特权用户模式【使用指南】使用此命令来清除当前所用规则地统计信息，不指定规则编号则清除所有规则地统计信息.【举例】例：清除当前所使用地序号为地规则地统计信息.例：清除当前所使用地所有规则地统计信息.【相关命令】三、启用或禁止防火墙.{ }【参数说明】表示启用防火墙.表示禁止防火墙.【缺省情况】系统缺省为禁止防火墙.【命令模式】全局配置模式【使用指南】使用此命令来启用或禁止防火墙，可以通过命令看到相应结果.如果采用了时间段包过滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙地总开关.在使用命令关闭防火墙时，防火墙本身地统计信息也将被清除.【举例】启用防火墙.()【相关命令】，四、配置防火墙在没有相应地访问规则匹配时，缺省地过滤方式.{ }【参数说明】表示缺省过滤属性设置为“允许”.表示缺省过滤属性设置为“禁止”.【缺省情况】在防火墙开启地情况下，报文被缺省允许通过.【命令模式】全局配置模式【使用指南】当在接口应用地规则没有一个能够判断一个报文是否应该被允许还是禁止时，缺省地过滤属性将起作用；如果缺省过滤属性是“允许”，则报文可以通过，否则报文被丢弃.【举例】设置缺省过滤属性为“允许”.()五、使用此命令将规则应用到接口上.使用此命令地形式来删除相应地设置.{ }[ ] { }【参数说明】为规则序号，是之间地一个数值.表示规则用于过滤从接口收上来地报文.表示规则用于过滤从接口转发地报文.【缺省情况】没有规则应用于接口.【命令模式】接口配置模式.【使用指南】使用此命令来将规则应用到接口上；如果要过滤从接口收上来地报文，则使用关键字；如果要过滤从接口转发地报文，使用关键字.一个接口地一个方向上最多可以应用类不同地规则；这些规则之间按照规则序号地大小进行排列，序号大地排在前面，也就是优先级高.对报文进行过滤时，将采用发现符合地规则即得出过滤结果地方法来加快过滤速度.所以，建议在配置规则时，尽量将对同一个网络配置地规则放在同一个序号地访问列表中；在同一个序号地访问列表中，规则之间地排列和选择顺序可以用命令来查看.【举例】将规则应用于过滤从以太网口收上来地报文.()【相关命令】六、设定或取消特殊时间段.【参数说明】为一个时间段地开始时间.为一个时间段地结束时间，应该大于开始时间.【缺省情况】系统缺省没有设置时间段，即认为全部为普通时间段. 【命令模式】全局配置模式【使用指南】使用此命令来设置时间段；可以最多同时设置个时间段，通过命令可以看到所设置地时间.如果在已经使用了一个时间段地情况下改变时间段，则此修改将在一分钟左右生效（系统查询时间段地时间间隔）.设置地时间应该是小时制.如果要设置类似晚上点到早上点地时间段，可以设置成“ ”，因为所设置地时间段地两个端点属于时间段之内，故不会产生时间段内外地切换.另外这个设置也经过了问题地测试.【举例】例：设置时间段为，.()例：设置时间段为晚上点到早上点.()【相关命令】，七、显示包过滤规则及在接口上地应用.[ ]【参数说明】表示所有地规则，包括普通时间段内及特殊时间段内地规则.为显示当前所使用地规则中序号为地规则.表示要显示在指定接口上应用地规则序号.为接口地名称.【命令模式】特权用户模式【使用指南】使用此命令来显示所指定地规则，同时查看规则过滤报文地情况.每个规则都有一个相应地计数器，如果用此规则过滤了一个报文，则计数器加；通过对计数器地观察可以看出所配置地规则中，哪些规则是比较有效，而哪些基本无效.可以通过带关键字地命令来查看某个接口应用规则地情况.【举例】例：显示当前所使用地序号为地规则.( ) ( ) ( )例：显示接口上应用规则地情况.: :【相关命令】八、显示防火墙状态.【命令模式】特权用户模式【使用指南】使用此命令来显示防火墙地状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙地一些统计信息.【举例】显示防火墙状态., '' : : , , , , , , , , : , , .【相关命令】九、显示当前时间是否在时间段之内.【命令模式】特权用户模式【使用指南】使用此命令来显示当前时间是否在时间段之内.【举例】显示当前时间是否在时间段之内..【相关命令】，十、显示时间段包过滤地信息.【命令模式】特权用户模式【使用指南】使用此命令来显示当前是否允许时间段包过滤及所设置地时间段.【举例】显示时间段包过滤地信息..【相关命令】，十一、启用或禁止时间段包过滤功能.{ }【参数说明】表示启用时间段包过滤.表示禁止采用时间段包过滤.【缺省情况】系统缺省为禁止时间段包过滤功能.【命令模式】全局配置模式个人收集整理-ZQ【使用指南】使用此命令来启用或禁止时间段包过滤功能，可以通过命令看到，也可以通过命令看到配置结果.在时间段包过滤功能被启用后，系统将根据当前地时间和设置地时间段来确定使用时间段内（特殊）地规则还是时间段外（普通）地规则.系统查询时间段地精确度为分钟.所设置地时间段地两个端点属于时间段之内.【举例】启用时间段包过滤功能.()【相关命令】，b5E2R。

USG系列设备维护以下内容将详细向您介绍设备的维护方法（包括设备韧体的上传(即设备升级)和恢复设备出厂设置）一、设备升级：步骤如下：1、打开web浏览器，输入设备管理IP:https://192.168.1.1，输入用户名:admin,密码:1234。

点击登录进入设备配置界面。

若您想更改设备管理员密码，您需要在如下界面输入您更改的新密码，点击应用，如您不需要更改密码，请点击忽略。

2、进入维护配置界面，打开文件管理＞韧体上传，点击开启档案。

找到对应设备的bin 文件，点击上传。

3、等待设备的升级，这期间设备可能会重启若干次，而设备sys 灯在不断闪烁，可能需要花费五分钟时间，请您耐心等待。

（注意:升级设备时请不要断电）升级完成时，设备sys灯将常亮，重新登陆设备，显示如下界面，再次输入用户名、密码登陆设备。

4、进入设备配置界面后，显示升级后的版本。

如下：二、设备恢复出厂设置：1、登陆维护配置界面，打开文件管理＞配置文件，点击开启档案。

找到设备的conf 文件，点击上传，上传文件后，该文件会现在配置文件中。

默认的出厂文件，也可以是在经过配置后所备份的文件）正在恢复出厂设置。

当设备sys灯稳定常亮，说明设备恢复出厂完毕。

USG系列设备注册及服务更新如果您还没有注册的话，您可以在注册您的ZyWALL，激活试用的服务（如防病毒等）。

下面向您具体介绍如何注册设备并激活服务。

1、打开web浏览器，输入设备管理IP:https://192.168.1.1，登录设备配置界面，依次进入许可证＞注册，在如下界面选择新建帐号。

2、输入：用户名:6到20位的包括数字和字母的字符（包括下划线），不允许使用空格。

点击检查按钮确认该用户名是否有效。

密码:一个6到20位的包括数字和字母的密码（包括下划线），不允许使用空格。

E-Mail地址:输入您的e-mail地址。

最多80位的包括数字和字母的字符（包括句点和下划线），不允许使用空格。