华为防火墙作为企业网络安全的核心防线，其配置命令的熟练掌握是网络工程师的必备技能。本文系统梳理华为防火墙（USG系列）50条高频核心配置命令，涵盖基础配置、安全策略、NAT、VPN等关键场景，助你快速提升运维效率。

一、基础配置类（10条）
1. system-view
进入系统视图
2. sysname FW-01 重命名设备为FW-01
3. interface GigabitEthernet 1/0/1进入指定接口配置视图
4. ip address 192.168.1.1 24为接口配置IP地址
5. service-manage enable开启接口的HTTP/HTTPS管理权限
6. display current-configuration查看当前运行配置
7. display version查看设备版本信息
8. save 保存当前配置
9. reboot重启设备
10. reset saved-configuration清空已保存的配置
二、安全区域与策略（12条）
11. firewall zone trust进入信任区域（Trust）配置视图
12. add interface GigabitEthernet 1/0/1将接口加入当前安全区域
13. security-policy进入安全策略视图
14. rule name Permit_HTTP创建名为Permit_HTTP的策略规则
15. source-zone trust配置源区域为Trust
16. destination-zone untrust配置目的区域为Untrust
17. source-address 192.168.1.0 24指定源IP地址段
18. destination-address 10.0.0.1 32指定目的IP地址
19. service http允许HTTP协议
20. action permit设置动作为允许
21. rule name Deny_All创建默认拒绝规则（必须放在策略末尾）
22. display security-policy rule all查看所有安全策略规则
三、NAT地址转换（10条）
23. nat-policy进入NAT策略视图
24. rule name NAT_Outbound创建出站NAT规则
25. source-address 192.168.1.0 24指定需要转换的源地址
26. action source-nat启用源地址转换
27. easy-ip GigabitEthernet 1/0/2使用接口IP作为NAT地址（动态PAT）
28. nat server global 202.100.1.1 80 inside 192.168.1.10 80配置NAT Server（端口映射）
29. nat alg ftp enable启用FTP协议的ALG功能
30. display nat session all查看NAT会话表
31. display nat server查看NAT Server配置
32. reset nat session清除NAT会话表四、
VPN配置（8条）
33. ipsec policy my_policy 1 manual创建IPSec策略（手动模式）
34. proposal my_proposal配置IPSec提议（加密算法）
35. esp authentication-algorithm sha2-256设置ESP认证算法为SHA-256
36. ike peer my_peer配置IKE对等体
37. pre-shared-key cipher My@Key123设置预共享密钥
38. ike-proposal 10配置IKE提议（阶段1参数）
39. display ike sa查看IKE SA状态
40. display ipsec sa brief查看IPSec SA摘要五、高可用性（HA）与日志（6条）
41. hrp enable启用HRP（华为冗余协议）
42. hrp interface GigabitEthernet 1/0/3指定HRP心跳接口
43. hrp standby-device切换设备为备机状态
44. info-center enable启用日志功能
45. info-center loghost 192.168.1.100配置日志服务器地址
46. terminal monitor开启控制台实时日志显示
六、高级安全防护（4条）
47. firewall defend land-attack enable防御LAND攻击
48. firewall defend ip-fragment enable启用IP分片攻击防护
49. blacklist enable启用黑名单功能
50. firewall session link-state check enable
开启会话状态检测掌握以上50条命令，可覆盖华为防火墙80%的日常运维场景。
建议结合模拟器（eNSP）实操演练，
并关注以下原则：
1. 安全策略最小化：默认拒绝所有（Deny_All）
2. NAT优先级：精确规则在前，泛洪规则在后
3. 版本兼容性：部分命令随VRP版本迭代可能调整