防火墙配置常用命令

firewall zone name userzone 创建一个安全区域，进一个已建立的安全区域视图时不需要用关键字。
set priority 60 设置优先级
add interface GigabitEthernet0/0/1 把接口添加进区域
dis zone [userzone]显示区域配置信息

[FW]policy interzone trust untrust outbound
[FW-policy-interzone-trust-untrust-outbound]policy 1

firewall defend ip-sweep enable
firewall defend ip-sweep max-rate 1000
firewall blacklist enable
[SRG]firewall defend ip-sweep blacklist-timeout 20

firewall mac-binding enable MAC地址绑定配置
firewall mac-binding 202.169.168.2 00e0-fc00-0100

[FW2]firewall zone untrust
[FW2-zone-untrust]add interface g0/0/0

[FW2]firewall packet-filter default permit interzone trust untrust
[FW2]firewall packet-filter default permit interzone local untrust

IPSec相关配置：
先配置ACL：
acl number 3000
rule 5 permit ip source 10.0.100.0 0.0.0.255 destination 10.0.200.0 0.0.0.255

1、配置安全提议，封闭使用隧道模式，ESP协议，ESP使用DES加密算法，完整性验证使用SHA1算法。
[FW1]ipsec proposal tran1
encapsulation-mode tunnel
transform esp
esp authentication-algorithm sha1
esp encryption-algorithm des
2、配置IKE安全提议
[FW1]ike proposal 10
authentication-algorithm sha1
encryption-algorithm des
3、配置IKE对等体，使用IKEV2协商方式。
[FW1]ike peer fw12 对方可以取名fw21。
ike-proposal 10
remote-address 10.0.20.2
pre-shared-key abcde
4、配置安全策略
[FW1]ipsec policy map1 10 isakmp
security acl 3000
proposal tran1
ike-peer fw12


如果要针对源 IP 设置安全策略，则该IP应该是做源 NAT转换前的 IP
配置安全策略
[FW]policy interzone trust untrust outbound
[FW-policy-interzone-trust-untrust-outbound]policy 1
[FW-policy-interzone-trust-untrust-outbound]action permit
[FW-policy-interzone-trust-untrust-outbound]policy source 192.168.0.0 0.0.0.255

port-mapping ftp port 803 acl 2010 端口映射，把FTP映射为803。

interzone dmz untrust
detect ftp

与IDS联运配置
firewall ids authentication type md5 key huawei123
firewall ids server 192.168.10.10
firewall ids port 3000
firewall ids enable
负载均衡
slb enable
slb
rserver 1 rip 10.1.1.3
rserver 2 rip 10.1.1.4
[SRG]firewall packet-filter default permit interzone local dmz direction outbound 允许健康检查报文在防火墙Localt和DMZ域间出方向流动。
group kdkd
metric weightrr 加权轮询算法。
addrserver 1
addrserver 4
addrserver 5
vserver huawei vip 202.101.224.21 group kdkd

NAT配置
nat address-group 1 202.38.160.1 202.38.160.4
[SRG]nat-policy interzone untrust trust inbound
policy 1
action source-nat
policy source 10.1.1.1
ad

dress-group 1 no-pat //使用地址池 1 做 NAT No-PAT 转换

配置 easy-ip
nat-policy interzone trust untrust outbound
policy 1
action source-nat
source-address 192.168.0.0 0.0.0.255
easy-ip GigabitEthernet0/0/3 //源 NAT 转换后的公网 IP 为接口 GE0/0/3 的 IP

配置 Smart NAT
#
nat address-group 1
mode no-pat //模式要选择 no-pat
smart-nopat 30.1.1.21 //预留一个 IP 做 NAPT
section 1 30.1.1.20 30.1.1.20 //section 中不能包含预留 IP！
#
policy interzone trust untrust outbound
policy 1
action permit
policy source 10.1.1.0 0.0.0.255
policy source 20.1.1.0 0.0.0.255
#
nat-policy interzone trust untrust outbound
policy 1
action source-nat
address-group 1
policy source 10.1.1.0 0.0.0.255
policy source 20.1.1.0 0.0.0.255


端口映射
nat server protocol tcp global 202.101.1.241 ftp inside 10.234.232.4 ftp

firewall defend smurf enable 启动Smurf防攻击功能(ICMP)。
firewall defend fraggle enable 启动fraggle防攻击功能(UDP,1或19端口)。
firewall defend land enable 源地址和目的地址相同或源地址为环回地址（127.0.0.1）。

防火墙作为出口网关，双出口、双 ISP 接入公网时，配置 NAT Server 通常需要一分为二，
让一个私网服务器向两个 ISP 发布两个不同的公网地址供访问。一分为二的方法有两种：
第一种是将接入不同 ISP 的公网接口规划在不同的安全区域中，配置 NAT Server 时，带上
zone 参数，使同一个服务器向不同安全区域发布不同的公网地址。
[FW] nat server zone untrust1 protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80
[FW] nat server zone untrust2 protocol tcp global 2.2.2.2 9980 inside 10.1.1.2 80

第二种是将接入不同 ISP 的公网接口规划在同一个安全区域中，配置 NAT Server 时，带上
no-reverse 参数，使同一个服务器向同一个安全区域发布两个不同的公网地址。
[FW] nat server protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80 no-reverse
[FW] nat server protocol tcp global 2.2.2.2 9980 inside 10.1.1.2 80 no-reverse

[FW1] nat server protocol tcp global 1.1.1.1 9980 inside 10.1.1.2 80 vrrp 1 解决配了双机热备防火墙1P 地址冲突的问题