H3C防火墙作为企业网络安全的重要设备,其配置和状态监控是网络管理员日常工作的核心内容,掌握常用的查看命令能够帮助管理员快速定位问题、优化性能并确保安全策略的有效执行,以下将详细介绍H3C防火墙的各类查看命令,涵盖系统状态、会话信息、策略配置、路由表、NAT转换、日志记录以及用户在线状态等多个维度,并结合实际场景说明其应用方法。
系统基础状态查看
了解防火墙的运行状态是故障排查的第一步,通过display device命令可以查看设备硬件信息,包括设备型号、CPU使用率、内存占用情况以及温度等关键参数。display device verbose能显示更详细的硬件状态,如风扇转速、电源模块状态等,有助于判断硬件是否正常运行,对于系统软件版本和运行时间,display version命令是必备工具,它会输出系统版本号、编译时间、设备已运行天数以及重启原因等信息,若设备频繁重启,可通过此命令分析异常原因,网络接口状态是连通性的基础,使用display interface命令可以查看接口的物理状态(如up/down)、速率、双工模式、流量统计(收发包字节数、错误包数)以及MTU值等,若某个接口无法通信,可重点关注line protocol current state是否为up,以及错误计数是否异常。
安全策略与会话监控
安全策略是防火墙的核心功能,查看策略配置及生效情况至关重要。display firewall policy命令用于查看所有安全策略的详细信息,包括策略ID、源/目的 zone、源/目的 IP/端口、协议、动作(permit/deny)、应用时间以及命中次数等。display firewall policy policy-id 1可查看特定策略的详细配置,而display firewall policy statistics则按策略ID统计命中次数,帮助识别高流量策略,对于当前活跃的网络会话,display session table命令是实时监控的关键,它能显示会话的五元组信息(源IP、目的IP、源端口、目的端口、协议)、建立时间、空闲时间以及对应的策略ID,通过display session table verbose可查看更详细的会话信息,如NAT转换后的地址、应用层协议(如HTTP、FTP)等,若发现异常会话(如长时间空闲或高频建立),可通过reset session table命令清理指定会话,但需谨慎操作以免影响正常业务。
路由与NAT配置检查
路由表是数据转发的依据,H3C防火墙支持静态路由和动态路由协议,查看路由表使用display ip routing-table命令,默认显示所有路由条目,包括目的网段、掩码、下一跳、出接口以及路由协议类型(如static、ospf、bgp),通过display ip routing-table destination-mask可筛选特定网段的路由,例如display ip routing-table 192.168.1.0 255.255.255.0查看192.168.1.0/24网段的路由详情,若路由条目异常,需检查接口状态及路由协议配置,NAT(网络地址转换)是防火墙常用的功能,查看NAT表使用display nat session命令,显示当前NAT会话的转换关系,包括内网IP映射后的公网IP、端口以及会话状态,对于NAT策略配置,display nat policy命令可查看NAT规则的目的 zone、动作(easy-ip、pat、no-pat)以及地址池配置,若内网用户无法上网,可检查NAT会话是否命中策略,以及地址池IP是否耗尽。
日志与用户状态管理
日志记录是审计和故障追溯的重要依据,H3C防火墙的日志分为系统日志和安全日志,通过display logbuffer命令可查看设备缓冲区中的日志信息,包括日志级别( informational、warning、error)、时间戳、模块来源(如firewall、session)以及详细描述。display logbuffer | include "deny"可筛选被拒绝的连接日志,对于日志服务器的配置,display logserver命令可查看日志服务器IP、端口以及发送状态,用户在线状态管理方面,若防火墙配置了AAA认证或用户策略,可通过display user-table查看当前在线用户的用户名、源IP、接入方式(如console、telnet)以及在线时长,对于VPN用户,display l2tp user或display ike sa命令可查看L2TP或IKE SA的建立状态,判断VPN隧道是否正常。
高级功能查看命令
除基础功能外,H3C防火墙还支持VPN、IPS/IDS、应用控制等高级功能,对于VPN隧道,display ike sa查看IKE安全关联的协商状态(如状态为READY表示隧道建立成功),display ipsec sa查看IPsec SA的加密和认证算法,IPS/IDS策略状态可通过display ips policy查看,包括签名库版本、规则动作(block、alert)以及命中次数,应用控制策略的查看使用display application policy,显示允许或禁止的应用(如微信、YouTube)及其对应策略,若发现某个应用流量异常,可通过此命令检查是否被应用控制策略拦截。
常用查看命令速查表
| 功能分类 | 命令示例 | 主要作用说明 |
|---|---|---|
| 系统状态 | display device |
查看设备硬件信息,CPU、内存使用率 |
display version |
查看系统版本、运行时间及重启原因 | |
| 接口状态 | display interface GigabitEthernet 1/0/1 |
查看指定接口的物理状态、流量统计及错误计数 |
| 安全策略 | display firewall policy |
查看所有安全策略配置及命中统计 |
| 会话表 | display session table |
查看当前活跃会话的五元组信息及对应策略 |
| 路由表 | display ip routing-table |
查看IPv4路由条目,包括下一跳、出接口 |
| NAT配置 | display nat policy |
查看NAT策略规则,包括地址池、动作类型 |
| 日志信息 | display logbuffer |
查看设备缓冲区日志,支持按关键词筛选 |
| 用户在线状态 | display user-table |
查看当前在线用户信息,包括用户名、源IP |
| VPN隧道状态 | display ike sa |
查看IKE SA协商状态,判断VPN隧道是否建立成功 |
相关问答FAQs
问题1:如何快速定位防火墙上被拒绝的连接来源?
解答:可通过查看防火墙的安全策略日志和会话表来定位,首先使用display logbuffer | include "deny"命令筛选被拒绝的连接日志,日志中会记录源IP、目的IP及拒绝时间;然后结合display session table | include "denied"查看被拒绝会话的详细五元组信息,进一步确认是哪个策略(policy-id)导致的拒绝,若日志量较大,可使用display firewall policy statistics查看各策略的命中次数,重点检查deny策略的统计值,缩小排查范围。
问题2:防火墙NAT地址池耗尽导致用户无法上网,如何排查?
解答:首先使用display nat session查看当前NAT会话数量,确认是否达到地址池IP的并发上限;然后通过display nat pool查看地址池配置,包括IP范围、剩余可用IP数量及是否被绑定到策略,若地址池IP耗尽,可考虑扩大地址池范围或启用PAT(端口地址转换)模式,多个内网用户可复用公网IP的不同端口,检查是否有异常会话(如病毒产生的非法连接)长期占用NAT资源,可通过reset session table清理异常会话释放资源。
