华为防火墙配置命令大全（2025最新版）｜超详细图文指南-拾贝生活号

在企业网络架构中，华为防火墙作为网络安全的第一道防线，承担着访问控制、NAT转换、安全策略管理、双机热备等关键任务。掌握其核心配置命令，是每一位网络工程师必备的技能。

华为防火墙配置命令大全（2025最新版）｜超详细图文指南

本文将为你系统梳理 华为防火墙配置命令，涵盖初始化设置、接口配置、安全策略、NAT转换、双机热备等核心模块，内容详实，步骤清晰，适合新手入门与老手查阅，建议收藏！

华为防火墙初始化配置

首次使用华为防火墙，需通过Console口或默认Web界面进行初始化设置。

1.1 登录与基础设置

默认登录信息：

用户名：admin
密码：Admin@123（部分型号为 Admin@123456）

<FW1> system-view                    # 进入系统视图
[FW1] sysname FW1                    # 重命名设备
[FW1] undo info-center enable        # 关闭日志弹窗（可选）
[FW1] language-mode Chinese          # 切换为中文提示

✅ 提示：首次登录会提示修改密码，请按提示操作。

1.2 开启Web管理界面

华为防火墙支持Web图形化管理，推荐使用。

[FW1] web-manager enable
[FW1] interface GigabitEthernet 0/0/0
[FW1-GigabitEthernet0/0/0] ip address 192.168.0.1 24
[FW1-GigabitEthernet0/0/0] service-manage all permit  # 允许所有管理服务
[FW1-GigabitEthernet0/0/0] quit

访问方式：浏览器输入 https://192.168.0.1:8443，使用admin账号登录。

1.3 配置Console口登录

[FW1] user-interface console 0
[FW1-ui-console0] authentication-mode password
[FW1-ui-console0] set authentication password cipher Admin1234
[FW1-ui-console0] quit

1.4 配置Telnet远程登录（不推荐生产环境）

[FW1] telnet server enable
[FW1] interface GigabitEthernet 0/0/0
[FW1-GigabitEthernet0/0/0] service-manage telnet permit
[FW1-GigabitEthernet0/0/0] quit

[FW1] user-interface vty 0 4
[FW1-ui-vty0-4] authentication-mode password
[FW1-ui-vty0-4] set authentication password cipher Admin@123
[FW1-ui-vty0-4] protocol inbound telnet

🔒 安全建议：生产环境建议使用更安全的SSH替代Telnet。

接口与安全区域配置

华为防火墙基于**安全区域（Zone）**进行流量控制，必须将接口加入相应区域。

2.1 配置内网接口（Trust区域）

[FW1] interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0] ip address 192.168.1.1 24
[FW1-GigabitEthernet1/0/0] quit

[FW1] firewall zone trust
[FW1-zone-trust] add interface GigabitEthernet 1/0/0
[FW1-zone-trust] quit

2.2 配置外网接口（Untrust区域）

[FW1] interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2] ip address 202.100.1.100 255.255.255.0
[FW1-GigabitEthernet1/0/2] quit

[FW1] firewall zone untrust
[FW1-zone-untrust] add interface GigabitEthernet 1/0/2
[FW1-zone-untrust] quit

安全策略配置（核心！）

安全策略决定数据包是否允许通过，是防火墙的核心功能。

3.1 允许内网访问外网

[FW1] security-policy
[FW1-policy-security] rule name Trust_to_Untrust
[FW1-policy-security-rule-Trust_to_Untrust] source-zone trust
[FW1-policy-security-rule-Trust_to_Untrust] destination-zone untrust
[FW1-policy-security-rule-Trust_to_Untrust] action permit
[FW1-policy-security-rule-Trust_to_Untrust] quit
[FW1-policy-security] quit

✅ 注意：策略默认拒绝所有流量，需显式放行。

3.2 允许特定外网IP访问内网服务器

[FW1] security-policy
[FW1-policy-security] rule name Web_Server_Access
[FW1-policy-security-rule-Web_Server_Access] source-zone untrust
[FW1-policy-security-rule-Web_Server_Access] destination-zone trust
[FW1-policy-security-rule-Web_Server_Access] destination-address 192.168.1.10 32
[FW1-policy-security-rule-Web_Server_Access] service http
[FW1-policy-security-rule-Web_Server_Access] action permit
[FW1-policy-security-rule-Web_Server_Access] quit

NAT地址转换配置

4.1 源NAT（内网上网）

[FW1] nat-policy
[FW1-policy-nat] rule name SNAT_Outbound
[FW1-policy-nat-rule-SNAT_Outbound] source-zone trust
[FW1-policy-nat-rule-SNAT_Outbound] destination-zone untrust
[FW1-policy-nat-rule-SNAT_Outbound] action nat easy-ip  # 使用出口IP做NAT
[FW1-policy-nat-rule-SNAT_Outbound] quit

4.2 目标NAT（端口映射/服务器发布）

将外网IP的80端口映射到内网Web服务器。

[FW1] nat server Web_Server_Mapping
[FW1-nat-server-Web_Server_Mapping] global 202.100.1.100 80
[FW1-nat-server-Web_Server_Mapping] inside 192.168.1.10 80
[FW1-nat-server-Web_Server_Mapping] protocol tcp

主备双机热备（HRP）

为保障业务连续性，建议部署双机热备。

5.1 基础配置

[FW1] hrp enable
[FW1] hrp interface GigabitEthernet 1/0/1 remote 192.168.2.2  # 心跳线接口
[FW1] hrp preempt delay 60  # 配置抢占延迟

✅ 注意：需配置VRRP虚拟网关，实现流量自动切换。

常用查询命令

运维时常用查看命令：

命令	功能
`display ip routing-table`	查看路由表
`display firewall session table`	查看会话表
`display nat session`	查看NAT会话
`display security-policy all`	查看所有安全策略
`display hrp state`	查看双机热备状态