H3C USG2000 是一款功能丰富的企业级安全网关,其命令行界面(CLI)基于 H3C 的 Comware 平台,下面我将从基本操作、安全策略、网络配置、NAT配置、VPN配置、高可用性等多个方面,为你提供一份详尽的命令参考和示例。
(图片来源网络,侵删)
基本操作与系统命令
在配置任何功能之前,你需要先登录设备并了解基本操作。
登录与视图切换
- 登录: 通常通过 Console 口、Telnet 或 SSH 登录。
- 用户视图: 登录后默认进入,可以执行
display命令查看信息。<USG2000> - 系统视图: 从用户视图输入
system-view进入,可以配置全局参数。<USG2000> system-view [USG2000] - 退出视图: 使用
quit命令返回上一级视图,return直接返回用户视图。
基本配置
- 配置设备名称:
[USG2000] sysname FW-Office // 将设备名改为 FW-Office - 配置管理 IP 地址 (通常在 VLAN 接口上):
[FW-Office] interface Vlan-interface 1 // 进入管理 VLAN 接口 [FW-Office-Vlan-interface1] ip address 192.168.1.1 255.255.255.0 // 配置 IP [FW-Office-Vlan-interface1] quit - 配置默认网关:
[FW-Office] ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 // 指定出口网关 - 保存配置:
[FW-Office] save // 保存当前配置到启动文件
常用查看命令
display device// 查看设备硬件信息display version// 查看软件版本和运行时间display current-configuration// 查看当前生效的配置display saved-configuration// 查看已保存的配置display ip interface brief// 查看所有接口的 IP 状态display logbuffer// 查看系统日志
安全策略配置
安全策略是防火墙的核心,用于控制数据流的进出。
配置安全域
安全域是一组具有相同安全级别的接口的集合,域间访问需要通过策略控制。
- 创建安全域:
[FW-Office] security-zone name trust // 创建信任域 (连接内网) [FW-Office-security-zone-trust] add interface GigabitEthernet 1/0/0 // 将内网接口加入信任域 [FW-Office] security-zone name untrust // 创建非信任域 (连接外网/互联网) [FW-Office-security-zone-untrust] add interface GigabitEthernet 1/0/1 // 将外网接口加入非信任域 [FW-Office] security-zone name dmz // 创建 DMZ 区 (连接服务器) [FW-Office-security-zone-dmz] add interface GigabitEthernet 1/0/2
配置安全策略
- 基本语法:
policy [security-policy] {name policy-name} {source-zone source-zone-name} {destination-zone dest-zone-name} {source-address source-address/wildcard} {destination-address dest-address/wildcard} {service service-name} {action {permit | deny}} [profile profile-name] [log] - 示例: 允许信任域 (内网) 访问非信任域 (外网) 的 Web 服务。
[FW-Office] policy security-policy name allow_web [FW-Office-policy-security-policy-allow_web] source-zone trust [FW-Office-policy-security-policy-allow_web] destination-zone untrust [FW-Office-policy-security-policy-allow_web] service http // 或者使用 service-object tcp destination-port 80 [FW-Office-policy-security-policy-allow_web] action permit [FW-Office-policy-security-policy-allow_web] quit - 示例: 拒绝所有其他从信任域到非信任域的流量 (最佳实践是先deny所有,再允许特定)。
[FW-Office] policy security-policy name deny_all [FW-Office-policy-security-policy-deny_all] source-zone trust [FW-Office-policy-security-policy-deny_all] destination-zone untrust [FW-Office-policy-security-policy-deny_all] action deny [FW-Office-policy-security-policy-deny_all] quit - 应用策略: 策略创建后默认是激活的,可以调整策略顺序。
[FW-Office] policy security-policy order allow_web deny_all// 先执行 allow_web,再执行 deny_all
网络接口配置
- 进入接口视图:
[FW-Office] interface GigabitEthernet 1/0/0 - 配置接口 IP 地址:
[FW-Office-GigabitEthernet1/0/0] ip address 10.1.1.1 255.255.255.0 - 描述接口 (推荐用于管理):
[FW-Office-GigabitEthernet1/0/0] description Internal-LAN - 启用/关闭接口:
[FW-Office-GigabitEthernet1/0/0] undo shutdown // 启用 [FW-Office-GigabitEthernet1/0/0] shutdown // 关闭 - 配置 VLAN (如果接口是接入型):
[FW-Office-GigabitEthernet1/0/0] port link-type access [FW-Office-GigabitEthernet1/0/0] port default vlan 100
NAT (网络地址转换) 配置
NAT 用于将内网私有 IP 地址转换为公网 IP 地址,以访问互联网。
(图片来源网络,侵删)
配置 NAT 策略
- 基本语法:
nat-policy [security-policy] {name policy-name} {source-zone source-zone-name} {destination-zone dest-zone-name} {source-address source-address/wildcard} {destination-address dest-address/wildcard} {action {easy-ip | no-pat | pat}} [no-reverse] - 示例: 配置 Easy-NAT,将信任域到非信任域的所有流量源地址转换为出口接口的 IP。
[FW-Office] nat-policy security-policy name easy_nat [FW-Office-nat-policy-security-policy-easy_nat] source-zone trust [FW-Office-nat-policy-security-policy-easy_nat] destination-zone untrust [FW-Office-nat-policy-security-policy-easy_nat] action easy-ip [FW-Office-nat-policy-security-policy-easy_nat] quit - 示例: 配置 PAT (端口地址转换),使用一个特定的公网 IP 地址池。
- 定义地址池:
[FW-Office] nat address-group pool1 [FW-Office-nat-address-group-pool1] mode pat [FW-Office-nat-address-group-pool1] section 0 203.0.113.2 203.0.113.10 // 定义地址段 [FW-Office-nat-address-group-pool1] quit - 应用 NAT 策略:
[FW-Office] nat-policy security-policy name pat_nat [FW-Office-nat-policy-security-policy-pat_nat] source-zone trust [FW-Office-nat-policy-security-policy-pat_nat] destination-zone untrust [FW-Office-nat-policy-security-policy-pat_nat] action pat address-group pool1 [FW-Office-nat-policy-security-policy-pat_nat] quit
- 定义地址池:
配置服务器映射 (DMZ 服务器发布)
允许外网用户通过公网 IP 访问内网的 DMZ 服务器。
- 语法:
nat server [protocol] {global global-ip [global-port]} {inside host-ip [host-port]} [vpn-instance vpn-instance-name] - 示例: 将外网
0.113.1的 80 端口映射到内网1.1.100的 80 端口。[FW-Office] nat server tcp global 203.0.113.1 80 inside 10.1.1.100 80
VPN 配置
USG2000 支持多种 VPN,这里以最常见的 IPSec VPN 为例。
配置 IKE (Internet Key Exchange)
IKE 用于协商和建立安全联盟。
- 创建 IKE proposal:
[FW-Office] ike proposal 10 // 创建一个名为 10 的 IKE 提议 [FW-Office-ike-proposal-10] encryption-algorithm aes-256 // 加密算法 [FW-Office-ike-proposal-10] authentication-algorithm sha2-256 // 认证算法 [FW-Office-ike-proposal-10] dh group14 // DH 组 [FW-Office-ike-proposal-10] quit - 创建 IKE peer:
[FW-Office] ike peer remote-peer [FW-Office-ike-peer-remote-peer] pre-shared-key cipher YourSecretKey // 设置预共享密钥 [FW-Office-ike-peer-remote-peer] remote-address 203.0.113.2 // 对端公网 IP [FW-Office-ike-peer-remote-peer] quit
配置 IPSec
- 创建 IPSec proposal:
[FW-Office] ipsec proposal proposal1 // 创建 IPSec 提议 [FW-Office-ipsec-proposal-proposal1] esp encryption-algorithm aes-256 // ESP 加密 [FW-Office-ipsec-proposal-proposal1] esp authentication-algorithm sha2-256 // ESP 认证 [FW-Office-ipsec-proposal-proposal1] quit - 创建 ACL 定义感兴趣流量:
[FW-Office] acl number 3000 [FW-Office-acl-adv-3000] rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 [FW-Office-acl-adv-3000] quit - 创建 IPSec 安全策略:
[FW-Office] ipsec policy policy1 isakmp // 使用 IKE 协商 [FW-Office-ipsec-policy-policy1] ike-peer remote-peer // 关联 IKE peer [FW-Office-ipsec-policy-policy1] proposal proposal1 // 关联 IPSec proposal [FW-Office-ipsec-policy-policy1] security acl 3000 // 关联 ACL [FW-Office-ipsec-policy-policy1] quit - 应用 IPSec 策略到接口:
[FW-Office] interface GigabitEthernet 1/0/1 [FW-Office-GigabitEthernet1/0/1] ipsec policy policy1 // 在外网接口上应用 [FW-Office-GigabitEthernet1/0/1] quit
高可用性 (HA) 配置
通常使用 VRRP (Virtual Router Redundancy Protocol) 实现网关冗余。
(图片来源网络,侵删)
-
基本配置 (在主备防火墙上进行):
// 在主设备上 [FW-Office-master] vrrp vrid 1 virtual-ip 192.168.1.254 // 创建 VRRP 组 1,虚拟 IP [FW-Office-master] vrrp vrid 1 priority 120 // 设置优先级,主设备应高于备设备 [FW-Office-master] vrrp vrid 1 preempt-mode timer delay 5 // 配置抢占延迟 // 在备设备上 [FW-Office-backup] vrrp vrid 1 virtual-ip 192.168.1.254 [FW-Office-backup] vrrp vrid 1 priority 100 // 优先级低于主设备 [FW-Office-backup] vrrp vrid 1 preempt-mode timer delay 5 -
查看 VRRP 状态:
display vrrp// 可以看到 Master 和 Backup 状态
防火墙特性配置
-
开启/关闭状态检测:
[FW-Office] firewall session detect enable// 开启 -
配置防病毒/IPS: 这些功能通常需要开启对应的特征库,并应用到安全策略中。
[FW-Office] profile type av // 创建防病毒特征文件 [FW-Office-profile-av] virus-scanning enable // 启用病毒扫描 [FW-Office-profile-av] quit // 然后在安全策略中引用这个 profile [FW-Office] policy security-policy name av_policy [FW-Office-policy-security-policy-av_policy] source-zone trust [FW-Office-policy-security-policy-av_policy] destination-zone untrust [FW-Office-policy-security-policy-av_policy] service http https ftp [FW-Office-policy-security-policy-av_policy] action permit profile av
重要提示
- 命令版本差异: Comware 平台的命令在不同版本间可能存在细微差别,如果命令执行失败,请首先检查设备软件版本。
- 上下文帮助: 在 CLI 中输入 可以获得当前视图下可用的命令和参数提示,在
[USG2000]下输入 ,可以看到所有系统视图命令。 - 谨慎操作: 修改配置,特别是安全策略和路由配置前,请确保你有清晰的规划,避免导致网络中断。
- 官方文档: 最权威的命令参考是 H3C 官方发布的《Comware V7 命令参考》,你可以根据你的具体版本号在 H3C 官网搜索下载。
这份指南涵盖了 USG2000 最核心和常用的配置命令,希望对你有所帮助!
