迈普防火墙作为国内知名的网络安全设备,其配置命令体系融合了传统CLI的灵活性与图形化管理的便捷性，广泛应用于企业级网络边界防护、内网区域隔离及安全策略精细化管控场景，以下从基础配置、高级策略、日志审计及维护优化四个维度，详细解析迈普防火墙的常用配置命令及操作逻辑，并结合表格对比关键参数，帮助用户系统掌握配置方法。

基础配置：初始化与网络接口设置

防火墙的基础配置是安全策略部署的前提,主要包括设备初始化、管理接口配置、网络接口划分及路由设置。

设备初始化与登录

首次登录迈普防火墙通常通过Console口进行,需使用超级终端（如SecureCRT、PuTTY）设置波特率9600、数据位8、停止位1、无校验，登录后进入系统视图，执行初始化命令：

system-view  // 进入系统视图  
sysname MP-FW5000  // 设置设备名称，建议标识用途（如区域/型号）  
super password cipher <密码>  // 设置超级管理员密码，cipher表示加密存储  
user-interface vty 0  // 进入虚拟终端视图  
authentication-mode password  // 设置密码认证  
set authentication password cipher <远程登录密码>  // 配置远程登录密码  
user privilege level 3  // 设置用户权限级别（3为最高级）  
quit  

网络接口配置

防火墙接口需根据部署模式（如路由模式、透明模式、NAT模式）进行IP地址及安全区域划分，以路由模式为例，配置内外网接口：

interface GigabitEthernet 1/0/1  // 进入接口视图（假设为外网口）  
port link-mode route  // 设置接口为路由模式（默认为路由模式，透明模式需改为port link-mode bridge）  
ip address 202.100.1.1 255.255.255.0  // 配置外网IP地址  
description WAN-OUT  // 接口描述，便于管理  
undo shutdown  // 启用接口  
quit  
interface GigabitEthernet 1/0/2  // 内网接口  
ip address 192.168.1.1 255.255.255.0  
description LAN-IN  
undo shutdown  
quit  

安全区域划分

迈普防火墙通过“安全区域+策略”实现流量管控，默认安全区域包括：

• trust：受信任区域（如内网）
• untrust：不受信任区域（如互联网）
• dmz：隔离区域（如服务器区）

接口需绑定安全区域：

firewall zone trust  // 进入trust区域视图  
add interface GigabitEthernet 1/0/2  // 将内网接口加入trust区域  
quit  
firewall zone untrust  
add interface GigabitEthernet 1/0/1  
quit  
firewall zone dmz  // 若配置DMZ区域  
add interface GigabitEthernet 1/0/3  
quit  

路由配置

根据网络拓扑添加静态路由或启用动态路由协议（如OSPF、BGP），静态路由配置示例：

ip route-static 0.0.0.0 0.0.0.0 202.100.1.254  // 默认路由指向外网网关  
ip route-static 10.1.1.0 255.255.255.0 192.168.1.254  // 静态路由指向特定网段  

高级策略：安全规则与NAT配置

安全策略是防火墙的核心,通过“源区域-目的区域-服务-动作”的匹配逻辑实现流量控制，结合NAT技术解决IP地址不足问题。

安全策略配置

（1）基础访问控制策略

允许内网用户访问互联网,禁止外网主动访问内网：

acl number 3000  // 创建高级ACL，规则号3000-3999  
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination any  // 允许内网IP访问任意目标  
quit  
firewall packet-filter default permit  // 默认放行所有流量（策略优先级低于自定义规则）  
security-policy  // 进入安全策略视图  
name permit-lan-wan  // 策略名称  
source-zone trust  
destination-zone untrust  
source-address 192.168.1.0 0.0.0.255  // 源地址（可省略，ACL中已定义）  
destination-address any  
service any  
action permit  
acl 3000  // 关联ACL规则  
quit  
security-policy  
name block-wan-lan  
source-zone untrust  
destination-zone trust  
action deny  // 拒绝外网访问内网  
quit  

（2）应用层策略配置

限制内网用户访问特定网站（如社交媒体）或应用（如P2P下载）：

acl number 3010  
rule 5 deny tcp destination www.social.com 0  // 禁止访问social.com  
rule 10 deny udp destination-port eq 6881 6889  // 禁止BT下载（默认端口）  
quit  
security-policy  
name block-apps  
source-zone trust  
destination-zone untrust  
service any  
action permit  
acl 3010  
quit  

NAT地址转换配置

（1）源NAT（SNAT）：内网用户访问互联网时转换IP

acl number 2000  // 基本ACL，规则号2000-2999  
rule 5 permit source 192.168.1.0 0.0.0.255  // 匹配内网网段  
quit  
interface GigabitEthernet 1/0/1  // 外网接口  
nat outbound 2000  // 对匹配ACL2000的流量进行源NAT（使用接口IP）  
quit  

（2）目的NAT（DNAT）：将外网IP映射至内网服务器

acl number 3001  
rule 5 permit tcp destination 202.100.1.1 80  // 匹配外网IP的80端口  
quit  
firewall policy  // 进入策略视图  
name dmz-server  
source-zone untrust  
destination-zone dmz  
destination-address 192.168.10.10  // 内网服务器IP  
service tcp 80  
action permit  
nat server global 202.100.1.1 inside 192.168.10.10  // DNAT映射  
quit  

关键策略参数对比

日志审计与维护优化

防火墙需实时监控流量状态、记录安全事件，并通过定期维护保障稳定运行。

日志与监控配置

（1）启用日志功能

log host 192.168.1.100  // 设置日志服务器IP  
log source-interface GigabitEthernet 1/0/1  // 指定日志源接口  
log level informational  // 设置日志级别（emergency/alert/critical/error/warning/notice/informational/debug）  
log buffer size 10240  // 日志缓冲区大小（KB）  

（2）实时流量监控

display interface  // 查看接口流量统计  
display cpu-usage  // 查看CPU占用率  
display memory-usage  // 查看内存使用情况  
display logbuffer  // 查看日志缓冲区内容  

维护与优化

（1）配置备份与恢复

save  // 保存当前配置到flash  
ftp server 192.168.1.100  // 连接FTP服务器  
get startup.cfg flash:/backup.cfg  // 备份配置文件  

（2）优化建议

• 调整会话表老化时间：高并发场景下延长tcp timeout（默认3600s），避免会话表溢出。
• 启用TCP加速：tcp acceleration enable，提升TCP传输效率。
• 定期更新特征库：update feature-table，确保病毒库、IPS规则最新。

相关问答FAQs

Q1：迈普防火墙配置策略后，内网用户无法上网，如何排查？
A1： 可按以下步骤排查：

1. 检查接口状态：执行display interface确认内外网接口LineProtocol为UP，未shutdown。
2. 验证安全区域：执行display zone确认接口是否正确绑定到trust/untrust区域。
3. 检查路由可达：执行display ip routing-table确认存在到达目标网段的路由（如默认路由）。
4. 检查NAT配置：执行display nat session查看是否有NAT会话生成，若无则检查nat outbound是否关联正确的ACL。
5. 检查ACL规则：执行display acl 3000确认ACL规则是否放行流量，注意规则顺序（匹配即停止）。

Q2：如何限制内网某个IP地址（如192.168.1.100）在特定时间段（9:00-18:00）无法访问互联网？
A2： 可通过基于时间的ACL实现，步骤如下：

1. 定义时间范围：

   time-range work-hours  
   from 09:00 to 18:00 daily  // 每天9:00-18:00生效  
   quit  

2. 创建ACL并关联时间范围：

   acl number 3020  
   rule 5 deny ip source 192.168.1.100 0 destination any time-range work-hours  // 匹配IP且在时间段内拒绝  
   rule 10 permit ip source 192.168.1.100 0 destination any  // 其他时间允许  
   quit  

3. 应用策略：在安全策略中关联ACL3020，确保规则顺序优先（规则5先于10匹配）。

通过以上配置,192.168.1.100将在工作时段无法访问互联网，其他时段正常使用。