天融信防火墙常用命令大全：从入门到精通，掌握网络运维核心技能-拾贝生活号

在当今复杂的网络安全环境中，天融信（Topsec）作为国内领先的信息安全厂商，其防火墙产品被广泛应用于政府、金融、教育和企业等各个领域。对于网络管理员而言，熟练掌握天融信防火墙的命令行操作（CLI），是进行高效配置、故障排查和安全巡检的关键能力。

天融信防火墙常用命令大全：从入门到精通，掌握网络运维核心技能

本文将为您系统梳理天融信防火墙（特别是下一代防火墙NGFW）最常用、最核心的命令，并按照功能模块进行分类详解，助您快速上手，成为专业的网络守护者。

登录与基础信息查看

1. 远程登录命令

要对防火墙进行管理，首先需要通过安全的方式登录设备。

SSH 登录 (推荐)：
```
1ssh admin@192.168.1.1
```
说明：admin 是用户名，192.168.1.1 是防火墙的管理IP地址。SSH提供了加密通道，比Telnet更安全。
Telnet 登录 (不推荐，仅用于调试)：
```
1telnet 192.168.1.1 23
```
说明：明文传输，存在安全隐患，生产环境应禁用。

2. 系统状态与信息查看

登录后，首要任务是了解设备的运行状况。

查看系统整体状态：
```
1show system status
```
作用：显示CPU、内存、温度、风扇、电源等硬件资源使用情况和系统运行时间。
查看系统详细信息：
```
1show system
```
作用：获取软件版本、硬件型号、序列号等关键信息，便于技术支持和版本核对。
查看当前运行配置：
```
1show running-config
```
作用：这是最重要的命令之一！它会输出设备当前所有生效的配置，包括接口、路由、策略等，是配置备份和问题排查的基础。

网络与接口配置

网络连通性是防火墙工作的前提，正确配置接口和路由至关重要。

1. 接口信息与配置

查看所有接口简要信息：
```
1show ip interface brief
2# 或者
3network interface show
```
作用：快速查看所有物理/逻辑接口的状态（up/down）、IP地址和类型。
查看特定接口详情：
```
1network interface eth0 show
2network interface eth0 show configuration
```
作用：深入查看eth0接口的详细配置，如速率、双工模式、VLAN设置等。

配置接口IP地址 (路由模式)：

1network interface eth0 no switchport          # 将接口设为路由模式
2network interface eth0 ip add 192.168.1.1 mask 255.255.255.0

作用：为eth0接口分配一个静态IP地址。

清除接口IP地址：
```
1network interface eth0 ip clean
```

2. VLAN与交换机端口配置

当防火墙需要接入交换网络时，VLAN配置必不可少。

创建VLAN：
```
1network vlan add id 100
```
作用：创建ID为100的VLAN。

配置Access端口：

1network interface eth1 switchport           # 设为交换模式
2network interface eth1 switchport mode access  # 设为Access模式
3network interface eth1 switchport access-vlan 100  # 加入VLAN 100

作用：将eth1口配置为只允许VLAN 100流量通过的接入端口。

配置Trunk端口：

1network interface eth2 switchport
2network interface eth2 switchport mode trunk
3network interface eth2 switchport trunk allow-vlan 1-1000

作用：将eth2口配置为Trunk口，允许多个VLAN（1到1000）的流量通过。

3. 静态路由配置

查看路由表：
```
1network route show
```
作用：列出当前所有的静态路由条目。
添加静态路由：
```
1network route add dst 10.0.0.0/24 gw 192.168.1.254
```
作用：添加一条路由，表示去往10.0.0.0/24网段的数据包，下一跳网关是192.168.1.254。
删除静态路由：
```
1network route delete id <路由ID>
```
作用：根据network route show命令查出的ID来删除指定路由。

安全策略与访问控制

安全策略是防火墙的核心，决定了哪些流量可以通行。

1. 对象定义 (Object Definition)

为了简化策略配置，通常先定义好源、目的和服务对象。

定义主机对象：

1define host add name Web服务器 ipaddr 192.168.1.10
2define host add name OA群组 ipaddr '192.168.1.20 192.168.1.21'

定义子网对象：

1define subnet add name 内网网段 ipaddr 192.168.1.0 mask 255.255.255.0

定义自定义服务：

1define service add name TCP_8080 protocol 6 port 8080
2define service add name UDP_53 protocol 17 port 53

说明：protocol 6代表TCP，17代表UDP。

定义地址组或服务组：

1define group_address add name 服务器组 member 'Web服务器 数据库服务器'
2define group_service add name 常用服务 member 'HTTP HTTPS TCP_8080'

2. 访问控制策略 (ACL) 操作

查看所有安全策略：
```
1firewall policy show
2# 或者
3show security-policy
```
作用：列出所有已配置的访问控制规则。

添加允许策略：

1firewall policy add action accept src 内网网段 dst Web服务器 service HTTP

作用：允许内网用户访问Web服务器的HTTP服务。

添加拒绝策略：
```
1firewall policy add action deny src any dst any service any
```
作用：最后一条通常是“默认拒绝”策略，阻止所有未明确允许的流量。

添加策略 (指定具体IP)：

1firewall policy add action accept src '192.168.1.10' dst '182.248.21.170' service 'tcp_8080 HTTP'

日志、服务与系统维护

1. 日志查看

日志是分析攻击和排查问题的“黑匣子”。

查看安全日志：
```
1display log security
```
作用：实时或历史查看由安全策略触发的日志事件。
调整日志级别：
```
1set log level <level>
```
作用：根据需要调整日志记录的详细程度。

2. 管理服务启停

开启/关闭Web管理界面：

1pf service add name webui area inside addressname any  # 开放WebUI服务
2system httpd start
3system httpd stop

开启/关闭SSH服务：

1system sshd start
2system sshd stop

开启/关闭Telnet服务：

1system telnetd start
2system telnetd stop

3. 高可用性(HA)与会话

查看HA状态：
```
1show ha
```
作用：检查双机热备集群的主备状态和同步情况。
查看当前会话：
```
1show session
```
作用：实时监控通过防火墙的所有连接，可用于发现异常流量或排查NAT问题。

4. 系统重启与关闭

重启防火墙：
```
1reload
```
警告：此命令会中断所有网络连接，请在维护窗口执行。
关闭防火墙：
```
1shutdown
```
警告：慎用！

总结与重要提示

掌握以上这些天融信防火墙常用命令，您就已经具备了进行日常管理和维护的核心能力。请务必注意：

命令差异：不同型号（如TG系列、NF系列）和不同软件版本的天融信防火墙，其CLI命令可能存在细微差别。本文提供的是通用性较强的命令。
操作谨慎：命令行操作直接影响网络，尤其是reload、shutdown和修改核心策略的命令，务必三思而后行。
及时备份：在进行重大变更前，务必使用 show running-config 导出并备份当前配置。
官方文档：最权威的参考始终是天融信官方发布的《产品配置手册》和《命令参考手册》。

希望本篇“天融信防火墙常用命令大全”能成为您工作中的实用指南。如果您觉得有用，欢迎点赞、收藏并分享给身边的IT同行！