h3c fire命令

进入安全区域视图 firewall zone zonename

将接口添加到安全区域 add interface interface-type interface-number

设置安全的优先级 set priority number

在接口视图下配置：

firewall packet-filter acl-number { inbound | outbound }

.........................................................................................................................................

允许防火墙 firewall packet-filter enable

设置缺省过滤方式为允许通过/禁止 firewall packet-filter default permit/deny

打开分片报文检测 firewall packet-filter fragments-inspect

指定上、下限分片状态记录数目 firewall packet-filter fragments-inspect { high | low } { default | number }

指定接口上过滤接收报文的规则 firewall packet-filter acl-number { inbound | outbound } [ match-fragments { normally | exactly } ]

显示接口的有关防火墙的统计信息 display firewall packet-filter statistics { all | interface type number | fragments-inspect }

显示分片表 display firewall fragment

ASPF

.........................................................................................................................................

ASPF配置包括:

一、允许防火墙 firewall packet-filter enable

二、配置访问控制列表 [ 将ACL应用到出接口上（在接口视图下） firewall packet-filter acl-num inbound ]

三、定义一个ASPF策略 aspf-policy aspf-policy-number

:

1.定义ASPF策略之配置空闲超时值 aging-time { syn | fin | tcp | udp } seconds

2.定义ASPF策略之配置应用层检测 detect protocol [ aging-time seconds ]

3.定义ASPF策略之配置通用TCP和UDP检测

配置通用TCP协议检测 detect tcp [ aging-time seconds ]

配置通用UDP协议检测 detect udp [ aging-time seconds ]

四、在选定的接口上应用ASPF策略过滤范围 firewall aspf aspf-policy-number { inbound | outbound }

黑白单

.........................................................................................................................................

黑名单基本配置包括：

一、启动或禁止黑名单 （undo）firewall blacklist enable

二、配置黑名单表项 firewall blacklist sour-addr [ timeout minutes ]

三、黑名单的显示与调试 display firewall blacklist { enable | item [ sour-addr ] }

工作模式（透明模式/路由模式/混合模式）

.........................................................................................................................................

混合模式之网桥原理：

1、网桥交换：

接口可加入到网桥中

转发依据网桥表：MAC + 出接口

与交换机转发类似，网桥内数据转发基于网桥表

反向地址学习

2、网桥路由：

BVI接口为网桥内主机的三层网关

防火墙透明模式的配置包括 ：

配置防火墙工作在透明模式 firewall mode transparent

配置防火墙系统IP地址 firewall system-ip system-ip-address [ address-mask ]

启动ARP表项自动学习功能 firewall arp-learning enable

配置对未知目的MAC地址的单播IP报文的处理方式 firewall unknown-mac [ unicast ] { drop | arp | flood }

配置对组播和广播IP报文的处理方式firewall unknown-mac { broadcast | multicast } { drop | flood }

创建访问控制列表并进入ACL视图 acl number acl-number

创建基于MAC地址的访问控制规则 rule [ rule-id ] { permit | deny } [ type type-code type-wildcard | lsap lsap-code lsap-wildcard ] ]

[ source-mac sour-addr source-wildcard ] [ dest-mac dest-addr dest-wildcard ]

配置入/出接口方向上应用acl firewall ethernet-frame-filter acl-number { inbound | outbound }

配置MAC地址转发表的老化时间 firewall transparent-mode aging-time seconds

配置允许通过的报文类型 firewall transparent-mode transmit { bpdu | dlsw | ipx }

混合模式命令：

增加的桥组配置

使能桥模块 bridge enable

创建一个桥组 bridge 1 enable

接口加入桥组bridge-set 1

创建BVI接口int Bridge-template 1

快转使能bridge-set fast-forwarding

桥接模式配置实例：

[H3C]bridge enable//使能桥组功能

[H3C]bridge 1 enable//创建桥组1

[H3C]interfaceGigabitEthernet0/0//进入连接g0/0的接口视图

[H3C-GigabitEthernet0/0]bridge-set 1//将接口g0/0加入到桥组1

H3C-GigabitEthernet0/0]bridge vlanid-transparent-transmit enable

//使能接口VLAN透传

[H3C-GigabitEthernet0/0]interface GigabitEthernet0/1

[H3C-GigabitEthernet0/1]bridge-set 1//将接口g1/0加入到桥组1

[H3C-GigabitEthernet0/1]bridge vlanid-transparent-transmit enable

//使能接口VLAN透传

[H3C]firewall zone trust 　　　　　　　//将接口加入区域　　

[H3C-zone-trust]add interface GigabitEthernet0/0

[H3C]firewall zone untrust

[H3C-zone-untrust]add interface GigabitEthernet0/1

[H3C]interface Bridge-template1 //分配桥组地址，用来管理

[H3C-Bridge-template1]ip address 192.168.100.2 255.255.255.252

报文统计和攻击防范基本配置

.........................................................................................................................................

报文统计基本配置包括：

一、启动系统统计功能 firewall statistics system enable

二、启动系统连接数 firewall statistics system connect-number { tcp | udp } { high high-value low low-value }

三、启动系统报文比率异常告警检测firewall statistics system flow-percent { tcp tcp-percent udp udp-percent icmp icmp-percent alteration alteration-percent [ time time-value] }

域统计基本配置包括：

一、启动域统计功能

statistics enable zone { inzone | outzone }

二、启动域连接速率监控 statistics connect-speed { zone | ip } { inzone | outzone } { tcp | udp } { high high-limit low low-limit }

启动ARP Flood攻击防范功能 firewall defend ip-spoofing

启动ARP反向查询攻击防范功能 firewall defend arp-reverse-query

启动ARP欺骗攻击防范功能 firewall defend arp-spoofing

启动IP欺骗攻击防范功能 firewall defend ip-spoofing

启动Land攻击防范功能 firewall defend land

启动Smurf攻击防范功能 firewall defend smurf

启动Fraggle攻击防范功能 firewall defend fraggle

启动Frag Flood攻击防范功能 firewall defend frag-flood

启动WinNuke攻击防范功能 firewall defend winnuke

启动SYN Flood攻击防范功能firewall defend syn-flood enable

启动对IP的SYN Flood攻击防范功能 firewall defend syn-flood ip ip-address [ max-rate rate-number ] [ max-number max-number ] [ tcp-proxy ]

启动ICMP Flood攻击防范功能全局 firewall defend icmp-flood enable

启动对IP的ICMP Flood攻击防范功能firewall defend icmp-flood ip ip-address [ max-rate rate-number ]

启动UDP Flood攻击防范功能 firewall defend udp-flood enable

启动对IP的UDP Flood攻击防范功能 firewall defend udp-flood ip ip-address [ max-rate rate-number ]

启动ICMP重定向报文控制功能 firewall defend icmp-redirect

启动ICMP不可达报文控制功能 firewall defend icmp-unreachable

启动地址扫描攻击防范功能 firewall defend ip-sweep [ max-rate rate-number ] [ blacklist-timeout minutes ]

启动端口扫描攻击防范功能 firewall defend port-scan [ max-rate rate-number ] [ blacklist-timeout minutes ]

启动带源路由选项IP报文控制功能 firewall defend source-route

启动路由记录选项攻击防范功能 firewall defend route-record

启动tracert报文控制功能 firewall defend tracert

启动Ping of Death攻击防范功能 firewall defend ping-of-death

启动TearDrop攻击防范功能 firewall defend teardrop

启动TCP报文标志合法性检测功能 firewall defend tcp-flag

启动IP分片报文检测功能 firewall defend ip-fragment

启动超大ICMP报文控制功能 firewall defend large-icmp [ length ]