当前位置: 首页 > article >正文

思科(Cisco ASA/Firepower)、华三(H3C)、华为(Huawei USG)防火墙 的基础配置

article 2025/9/28 21:17:22

以下是针对 思科(Cisco ASA/Firepower)、华三(H3C)、华为(Huawei USG)防火墙 的基础配置指南,涵盖 区域划分、安全策略、NAT、路由 等核心功能。配置示例基于通用场景,实际部署时需根据网络环境调整。

一、配置防火墙区域(Zone)

1. 思科防火墙(Cisco ASA)

ASA 使用 安全级别(Security Levels) 隐式划分逻辑区域,接口的安全级别决定流量方向(高到低默认允许,低到高需配置ACL)。

bash

复制

下载

! 配置接口名称和IP
interface GigabitEthernet0/0nameif outside   # 外部区域(安全级别默认0)security-level 0ip address 203.0.113.1 255.255.255.0interface GigabitEternet0/1nameif inside    # 内部区域(安全级别100)security-level 100ip address 192.168.1.1 255.255.255.0
2. 华三防火墙(H3C)

华三通过显式定义安全区域(Zone),并将接口加入区域。

bash

复制

下载

# 创建安全区域
security-zone name Inside
security-zone name Outside# 将接口加入区域
interface GigabitEthernet0/0port link-mode routeip address 203.0.113.1 24security-zone Outsideinterface GigabitEthernet0/1port link-mode routeip address 192.168.1.1 24security-zone Inside
3. 华为防火墙(Huawei USG)

华为同样显式定义安全区域并绑定接口。

bash

复制

下载

# 创建安全区域
firewall zone name Insideset priority 85
firewall zone name Outsideset priority 5# 将接口加入区域
interface GigabitEthernet0/0/0ip address 203.0.113.1 24firewall zone Outsideinterface GigabitEthernet0/0/1ip address 192.168.1.1 24firewall zone Inside

二、配置安全策略(允许内网访问外网)

1. 思科防火墙(Cisco ASA)

bash

复制

下载

! 允许内部到外部的所有流量
access-list INSIDE_OUT permit ip any any
access-group INSIDE_OUT in interface inside
2. 华三防火墙(H3C)

bash

复制

下载

# 创建策略允许内部到外部
security-policy iprule name INSIDE_TO_OUTSIDEsource-zone Insidedestination-zone Outsidesource-ip 192.168.1.0 24action pass
3. 华为防火墙(Huawei USG)

bash

复制

下载

# 创建策略规则
policy interzone Inside Outside outboundpolicy 0action permitsource 192.168.1.0 0.0.0.255service any

三、配置NAT(源地址转换)

1. 思科防火墙(Cisco ASA)

bash

复制

下载

! 配置动态PAT(内部IP转换为外部接口IP)
object network INSIDE_NETsubnet 192.168.1.0 255.255.255.0
nat (inside,outside) dynamic interface
2. 华三防火墙(H3C)

bash

复制

下载

# 配置源NAT(Easy-IP模式)
nat address-group 0mode patsection 0 203.0.113.1 203.0.113.1acl advanced 3000rule 0 permit ip source 192.168.1.0 0.0.0.255nat outbound 3000 address-group 0
3. 华为防火墙(Huawei USG)

bash

复制

下载

# 配置源NAT(接口地址转换)
nat-policy interzone Inside Outside outboundpolicy 0source 192.168.1.0 24action source-nateasy-ip enable

四、配置路由(静态路由)

1. 思科防火墙(Cisco ASA)

bash

复制

下载

! 配置默认路由指向外网网关
route outside 0.0.0.0 0.0.0.0 203.0.113.254
2. 华三防火墙(H3C)

bash

复制

下载

# 配置默认路由
ip route-static 0.0.0.0 0 203.0.113.254
3. 华为防火墙(Huawei USG)

bash

复制

下载

# 配置默认路由
ip route-static 0.0.0.0 0.0.0.0 203.0.113.254

五、验证配置

1. 思科防火墙

bash

复制

下载

show route             # 查看路由表
show nat detail        # 检查NAT规则
show access-list       # 查看ACL策略
2. 华三防火墙

bash

复制

下载

display security-policy all     # 查看安全策略
display nat outbound            # 查看NAT规则
display ip routing-table        # 查看路由表
3. 华为防火墙

bash

复制

下载

display firewall session table  # 查看会话表
display nat-policy              # 查看NAT策略
display ip routing-table        # 查看路由表

六、常见问题排查

  1. 流量不通

    • 检查接口状态(display interface / show interface)。

    • 确认安全策略是否匹配流量(检查策略命中计数)。

    • 验证NAT规则是否生效(查看转换后的地址)。

  2. NAT失效

    • 确保NAT规则的应用方向(inbound/outbound)正确。

    • 检查地址池或接口IP是否可达。

  3. 路由缺失

    • 确认静态路由的下一跳地址正确且可达。

    • 检查防火墙是否启用了路由功能(某些场景需关闭透明模式)。

总结

  • 区域划分:明确接口所属安全区域,控制流量流向。

  • 安全策略:按最小权限原则开放必要流量(建议细化到端口)。

  • NAT配置:确保内部地址正确转换为公网地址。

  • 路由配置:保证防火墙能正确转发流量到下一跳。

根据实际需求,可扩展配置 端口映射(目的NAT)VPN高可用性(HA) 等功能。

相关文章:

思科(Cisco ASA/Firepower)、华三(H3C)、华为(Huawei USG)防火墙 的基础配置

以下是针对 思科(Cisco ASA/Firepower)、华三(H3C)、华为(Huawei USG)防火墙 的基础配置指南,涵盖 区域划分、安全策略、NAT、路由 等核心功能。配置示例基于通用场景,实际部署时需根…...

编程日记 2025/9/18 0:26:58

华为海思系列----昇腾张量编译器(ATC)模型转换工具----入门级使用指南(LINUX版)

由于官方SDK比较冗余且经常跨文档讲解且SDK整理的乱七八糟,对于新手来说全部看完上手成本较高,本文旨在以简短的方式介绍 CAFFE / ONNX 模型转 om 模型,并进行推理的全流程。希望能够帮助到第一次接触华为海思框架的道友们。大佬们就没必要看这种基础文章啦! 注:本…...

编程日记 2025/6/14 9:31:19

supabase 怎么新建项目?

在 Supabase 中新建项目主要通过官方网站的仪表盘 (Dashboard) 来完成。以下是详细步骤: 通过 Supabase 仪表盘新建项目: 注册/登录 Supabase 账户: 访问 Supabase 官网:https://supabase.com/如果你还没有账户,点击 …...

编程日记 2025/6/16 18:19:41

Windows环境下maven的安装与配置

1.检查JAVA_HOME环境变量 Maven是使用java开发的,所以必须知道当前系统环境中的JDK的安装目录。 搜索栏直接输入“cmd” 或者 WinR 输入cmd 在打开的终端窗口输入“echo %JAVA_HOME”,就可以看到jdk的位置了。 如果没有的话,请参考我的文章&a…...

编程日记 2025/9/6 13:47:06

LeetCode:513、找树左下角的值

//递归法 /*** Definition for a binary tree node.* public class TreeNode {* int val;* TreeNode left;* TreeNode right;* TreeNode() {}* TreeNode(int val) { this.val val; }* TreeNode(int val, TreeNode left, TreeNode right) {* t…...

编程日记 2025/9/23 12:18:24

Vxe UI vue vxe-table 实现表格数据分组功能,不是使用树结构,直接数据分组

Vxe UI vue vxe-table 实现表格数据分组功能,不是使用树结构,直接数据分组 查看官网:https://vxetable.cn gitbub:https://github.com/x-extends/vxe-table gitee:https://gitee.com/x-extends/vxe-table 代码 通过…...

编程日记 2025/9/16 6:45:13

如何禁止chrome自动更新

百度了一下 下面这个方法实测有效 目录 1、WINR 输入 services.msc 2、在Services弹窗中找到下面两个service并disable 3、验证是否禁止更新成功: 1、WINR 输入 services.msc 2、在Services弹窗中找到下面两个service并disable GoogleUpdater InternalService…...

编程日记 2025/9/17 22:55:42

阳光学院【2020下】计算机网络原理-A卷-试卷-期末考试试卷

一、单选题(共25分,每空1分) 1.ICMP协议工作在TCP/IP参考模型的 ( ) A.主机-网络 B.网络互联层 C.传输层 D.应用层 2.下列关于交换技术的说法中,错误的是 ( ) A.电路交换适用于突发式通信 B.报文交换不能满足实时通信 C.报文…...

编程日记 2025/9/20 18:11:13

Spring Boot 使用 OSHI 实现系统运行状态监控接口

在实际开发中,我们经常需要获取服务器的运行状态,例如:CPU 使用率、内存使用情况、磁盘状态、JVM 运行信息等,以便于运维监控和性能分析。本文将基于 Spring Boot OSHI 实现一个系统信息接口,可返回当前服务运行的详细…...

编程日记 2025/6/11 4:24:10

FastAPI+MongoDB+React实现查询博客详情功能

第一部分:FastAPI 和 MongoDB 后端 确保你的 FastAPI 应用已经配置好,并且 MongoDB 数据库已经运行。以下是完整的后端代码: # main.py from fastapi import FastAPI, HTTPException, Depends from motor.motor_asyncio import AsyncIOMotorClient from pydantic import B…...

编程日记 2025/9/2 17:23:11

kotlin-协程(什么是一个协程)

1.什么指一个协程对于线程来说一个thread就是就是指一个线程,thread为什么成为线程呢?因为他实现了对线程的一个抽象管理,可以管理这个线程,启动,可以查看各种信息 那么协程呢? public fun CoroutineScop…...

编程日记 2025/9/19 16:27:25

数组和切片的区别

💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 非常期待和您一起在这个小…...

编程日记 2025/9/16 10:29:13

WPF内嵌其他进程的窗口

WPF内嵌其他进程窗口的常见方法有 HwndHost SetParent 和 WindowsFormsHost WinForms Panel SetParent 推荐使用自定义HwndHost 两者的对比区别 示例代码 public class MyWndHost : HwndHost {const int WS_CHILD 0x40000000;const int WS_VISIBLE 0x10000000;const i…...

编程日记 2025/9/18 4:59:01

阿里云购买ECS 安装redis mysql nginx jdk 部署jar 部署web

服务:ECS防火墙要开启、阿里云控制平台:网路端口安全策略要设置 阿里云服务维护 1.安装JDK 查询要安装jdk的版本,命令:yum -y list java* 命令:yum install -y java-1.8.0-openjdk.x86_64 yum install -y java-17-openjdk.x8…...

编程日记 2025/9/17 17:34:31

CVPR2025 | Prompt-CAM: 让视觉 Transformer 可解释以进行细粒度分析

Prompt-CAM: Making Vision Transformers Interpretable for Fine-Grained Analysis 摘要-Abstract引言-Introduction方法-Approach预备知识-PreliminariesPrompt-CAM: Prompt Class Attention Map特征识别与定位-Trait Identification and Localization变体与扩展-Variants an…...

编程日记 2025/9/21 21:24:25

Fabric系列 - SoftHSM 软件模拟HSM

在 fabric-ca-server 上使用软件模拟的 HSM(密码卡) 功能 安装 SoftHSMv2 教程 SoftHSMv2 默认的配置文件 /etc/softhsm2.conf默认的token目录 /var/lib/softhsm/tokens/ 初始化和启动fabric-ca-server,需要设置一个管理员用户的名称和密码 初始化令牌 # 初始…...

编程日记 2025/6/6 20:49:15

解锁 DevOps 新境界 :使用 Flux 进行 GitOps 现场演示 – 自动化您的 Kubernetes 部署

前言 GitOps 是实现持续部署的云原生方式。它的名字来源于标准且占主导地位的版本控制系统 Git。GitOps 的 Git 在某种程度上类似于 Kubernetes 的 etcd,但更进一步,因为 etcd 本身不保存版本历史记录。毋庸置疑,任何源代码管理服务&#xf…...

编程日记 2025/9/15 10:15:58

LLM大模型中的基础数学工具—— 信号处理与傅里叶分析

Q51: 推导傅里叶变换 的 Parseval 定理 傅里叶变换的 Parseval 定理揭示了啥关系? Parseval 定理揭示了傅里叶变换中时域与频域的能量守恒关系,即信号在时域的总能量等于其在频域的总能量。这就好比一个物体无论从哪个角度称重,重量始终不…...

编程日记 2025/9/15 11:03:09

calico.yaml+国内源

pod网段为:10.244.0.0/16 #kubeadm init 时设置的pod网段,每个环境不同,参考自身环境。 calico.yaml文件里的镜像均为: swr.cn-north-4.myhuaweicloud.com/ddn-k8s/docker.io/calico/cni:v3.26.1 swr.cn-north-4.myhuaweiclou…...

编程日记 2025/7/8 16:22:39

橡胶制品行业质检管理的痛点 质检LIMS如何重构橡胶制品质检价值链

橡胶制品广泛应用于汽车、医疗、航空等领域,其性能稳定性直接关联终端产品的安全性。从轮胎耐磨性测试到密封件耐腐蚀性验证,每一项检测数据都是企业参与市场竞争的核心筹码。然而,传统实验室管理模式普遍面临设备调度混乱、检测流程追溯断层…...

编程日记 2025/9/15 13:01:33

5.2 参数管理

目标 访问参数,用于调试、诊断和可视化;参数初始化;在不同模型组件间共享参数。 模型:单隐藏层的MLP import torch from torch import nnnet nn.Sequential(nn.Linear(4, 8), nn.ReLU(), nn.Linear(8, 1)) X torch.rand(size…...

编程日记 2025/8/11 7:14:45

gvm安装go报错ERROR: Failed to use installed version

这里写自定义目录标题 使用gvm安装版本报错解决方案可以尝试在版本后面添加--binary,例如还不行记得在多切换几个准确的版本 使用gvm安装版本报错 gvm install go1.22 Installing go1.22.0 as go1.22… Compiling… /Users/uncledd2/.gvm/scripts/install: line 9…...

编程日记 2025/7/11 4:00:58

CAElinux系统详解

CAElinux 系统详解:从系统层面到专业应用 一、CAElinux 的定位与核心目标 CAElinux 是一款专门为 计算机辅助工程(CAE) 设计的定制化 Linux 发行版,目标用户为从事工程仿真、数值模拟、高性能计算(HPC)的…...

编程日记 2025/9/16 6:04:48

计算机系统----软考中级软件设计师(自用学习笔记)

目录 1、计算机的基本硬件系统 2、CPU的功能 3、运算器的组成 4、控制器 5、计算机的基本单位 6、进制转换问题 7、原码、反码、补码、移码 8、浮点数 9、寻址方式 10、奇偶校验码 11、海明码 12、循环冗余校验码 13、RISC和CISC 14、指令的处理方式 15、存储器…...

编程日记 2025/9/23 13:42:47

django的权限角色管理(RBAC)

在 Django 中,User、Group 和 Permission 是权限系统的核心组件。下面通过代码示例演示它们的 CRUD(创建、读取、更新、删除) 操作: 一、User 模型 CRUD from django.contrib.auth.models import User# 创建用户 user User.obje…...

编程日记 2025/9/16 0:05:59

新建一个reactnative 0.72.0的项目

npx react-native0.72.0 init ProjectName --version 0.72.0 下面是初始化,并且添加了对应路由的库依赖,Android项目能run起来的版本号 { "name": "ProjectName", "version": "0.0.1", "private&quo…...

编程日记 2025/9/19 22:15:10

线性表-顺序表(Sequential List)

1 线性表 1.1 顺序表(Sequential List) 顺序表并不难理解,主要是知道顺序表是在内存中连续存储的一段数据,知道这个后,相应的算法也就非常简单了。 线性表的顺序表示指的是用一组地址连续的存储单元依次存储线性表的…...

编程日记 2025/9/15 10:16:03

框架篇八股(自用)

框架篇 Spring框架中的bean不是线程安全的 Scope() singleton单例 prototype多例 一个类中有可修改的成员变量需要考虑线程安全 bean没有可变状态(service类,DAO类) 某种程度单例bean是线程安全的 AOP面向切面编程…...

编程日记 2025/9/25 5:16:01

软考高级《系统架构设计师》知识点(十七)

知识产权和标准化 知识产权基础知识 知识产权是指公民、法人、非法人单位、对自己的创造性智力成果和其他科技成果依法享有的民事权。是智力成果的创造人依法享有的权利和在生产经营活动中标记所有人依法所享有的权利的总称。 知识产权基础知识包含著作权、专利权、商标权、商业…...

编程日记 2025/9/20 10:17:06

在 Envoy 的配置文件中出现的 “@type“ 字段

在 Envoy 的配置文件中出现的 "type" 字段是 Protocol Buffers(Protobuf)的 JSON/YAML 编码规范的一部分,属于 Typed Struct 的表示方式。它的作用是明确指定当前配置对象的 Protobuf 类型,以便 Envoy 正确解析配置。以…...

编程日记 2025/8/11 12:13:44