配置H3C防火墙设备

int e3/0/0 接口界面下配置 ip addess 地址 掩码 ；int e4/0/0 接口界面下配置 ip addess 1921682254 24
系统视图下配置ip route-static 0000 0000 下一跳地址（公网网关地址）
ACL number 2001
rule permit source 19216820 000255
返回接口E4/0/0下
nat outbound 2001

#
sysname Quidway
#
super password level 3 cipher xxxxxxx
#
FTP server enable
#
d service enable
#
firewall packet-filter enable
#
firewall url-filter parameter add ^select^
firewall url-filter parameter add ^insert^
firewall url-filter parameter add ^update^
firewall url-filter parameter add ^delete^
firewall url-filter parameter add ^drop^
firewall url-filter parameter add --
firewall url-filter parameter add '
firewall url-filter parameter add ^exec^
firewall url-filter parameter add %27
#
firewall statistic system enable
#
firewall defend ip-spoofing
firewall defend smurf
firewall defend ping-of-death
firewall defend port-scan
firewall defend arp-spoofing
firewall defend arp-flood
firewall defend icmp-flood enable
#
radius scheme system
#
domain system
#
local-user admin
password cipher xxxxxx
service-type telnet terminal
#
aspf-policy 1
detect h323
detect rtsp
detect >原理都是一样的
下面是cisco和华为的命令对比 希望楼主采纳
思科华为基础命令对照表
思科 华为
show display
show version disp version
no undo
show run disp current-configuration
username local-user
end return
show start disp saved-configuration
exit quit
exit logout
ctrl+z quit
router rip rip
router ospf ospf
router bgp bgp
hostname sysname
access-list acl
write save
erase delete
0 simple
7 cipher
logging info-center
encapsulation link-protocol例子:
sysname Huawei-R2831 \\设置主机名
interface Ethernet 0/0 进入接口模式
description T0 Switch-A \\接口描述
ip address 19216810222 2552552550 \\配置接口IP地址
undo shutdown \\启用接口
local-user huawei \\建立用户名huawei
password simple huawei \\设置密码为huawei
service-type telnet \\服务类型为telnet
user-interface vty 0 4 \\进入telnet通道,设置5个用户可以同时登陆
authentication-mode scheme \\设置telnet的模式为本地用户名与密码登陆
user-interface console 0 设置console密码
authentication-mode password 密码认证
set authentication password simple huawei
super password simple huawei \\设置super密码,
display version \\查看VRP软件版本
display current-configuration \\查看当前运行的配置
display saved-configuration \\查看已保存过的配置
display interface Ethernet 0/0 \\查看接品参数
display brief interface \\查看接口基本状态
delete flash:/configcfg \\删除用SAVE保存过的配置
delete flash:/mainbin \\删除VRP的映像文件(谨慎 *** 作)
save \\保存配置
display 和ping 命令在任何视图下都可执行,不必切换到全局配置视图
华三和思科路由器都是顶尖级的路由器品牌，但是他们相比较而言，哪个更有优势呢？下面的文章从多方面详细的讲述了他们之间的差别。
华三路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致，有些方面还根据国内用户的需求作了很好的改进。例如中英文可切换的配置与调试界面，使中文用户再也不用面对着一大堆的英文专业单词而无从下手了。另外它的软件升级，远程配置，备份中心，PPP回拨，路由器热备份等，对用户来说均是极有用的功能特性。
在配置方面，华三路由器以前的软件版本(VRP10－相当于CISCO的IOS)与CISCO有细微的差别，但目前的版本(VRP11)已和CISCO兼容，下面首先介绍VRP软件的升级方法，然后给出配置上的说明。
一、 VRP软件升级 *** 作
升级前用户应了解自己路由器的硬件配置以及相应的引导软件bootrom的版本，因为这关系到是否可以升级以及升级的方法，否则升级失败会导致路由器不能运行。在此我们以从VRP10升级到VRP11为例说明升级的方法。
1路由器配置电缆一端与PC机的串口一端与路由器的console口连接
2在win95/98下建立使用直连线的超级终端，参数如下：引用:
波特率9600，数据位8，停止位1，无效验，无流控 ，VT100终端类型3超级终端连机后打开路由器电源，屏幕上会出现引导信息，在出现：引用:
Press Ctrl－B to enter Boot Menu时三秒内按下Ctrl＋b,会提示输入密码引用:
Please input Bootrom password:默认密码为空，直接回车进入引导菜单Boot Menu,在该菜单下选1，即Download application program升级VRP软件，之后屏幕提示选择下载波特率，我们一般选择38400 bps，随即出现提示信息：引用:
Download speed is 38400 bpsPlease change the terminal's speed to 38400 bps,and select XMODEM protocolPress ENTER key when ready此时进入超级终端“属性”，修改波特率为38400，修改后应断开超级终端的连接，再进入连接状态，以使新属性起效，之后屏幕提示：引用:
Downloading…CCC这表示路由器已进入等待接收文件的状态，我们可以选择超级终端的文件“发送”功能，选定相应的VRP软件文件名，通讯协议选Xmodem，之后超级终端自动发送文件到路由器中，整个传送过程大约耗时8分半钟。完成后有提示信息出现，系统会将收到的VRP软件写入Flash Memory覆盖原来的系统，此时整个升级过程完成，系统提示改回超级终端的波特率：引用:
Restore the terminal's speed to 9600 bps
Press ENTER key when ready修改完后记住进行超级终端的断开和连接 *** 作使新属性起效，之后路由器软件开始启动，用show ver命令将看见相应的版本信息。
下面是与CISCO互通时应注意的地方：
二、 在默认链路层封装上的区别(主要用于DDN的配置)
1华三 VRP10及其以前的版本，在配置时，由于CISCO的默认链路层封装格式为HDLC，而华三路由器的默认链路层封装格式为PPP，因此为了能互通，需要将CISCO路由器的封装格式改为PPP格式，即使用命令：引用:
encapsulation PPP2华三 VRP11及其以后的版本，增加了HDLC封装格式。这样，不需要改动CISCO的封装格式，而将华三路由器的封装格式改为HDLC封装格式即可，即使用命令：引用:
encapsulation hdlc
三、 在配置X25上的区别
1华三VRP10及其以前的版本在配置时，由于CISCO的 X25 默认封装格式为它自己的标准。而华三路由器的封装格式为国际标准IETF，因此为了能互通，需要将CISCO路由器的封装格式改为ietf格式，即使用命令：引用:
encapsulation x25 ietf2华三 VRP11及其以后的版本，特地增加了与CISCO兼容的封装格式。这样,不需要改动 CISCO 的封装格式，而将华三路由器的 X25 封装格式改为 CISCO兼容封装格式即可，即使用命令：引用:
encapsulation x25 cisco
四、 在配置帧中继(Frame－Relay)上的区别
1华三 VRP10及其以前的版本，由于CISCO的默认 FR 封装格式为CISCO公司自己的标准；而H3C路由器的封装格式为国际标准IETF。另外，由于在LMI(帧中继本地管理信息)类型的配置上，CISCO默认也是使用它自己的格式，而华三路由器使用的是国际标准的 Q933a 格式，因此为了能互通，需要将 CISCO路由器的 FR 封装格式改为IETF，将LMI 改为 Q933a 格式才能互通，即使用命令：引用:
encapsulation frame－realy ietf
frame－realy lmi－type q933a2 H3C VRP11及其以后的版本，特地增加了与CISCO兼容的FR封装格式，以及LMI的格式。这样，不需要改动CISCO的封装，而只需将H3C路由器的FR封装格式和LMI类型改为CISCO兼容格式即可，即使用命令：引用:
encapsulation frame－relay cisco
frame－relay lmi－type cisco
以上各点，是在H3C与 CISCO 互连时应着重注意的，如果 CISCO 用户的链路封装不是国际标准而是它自己的格式，而且 CISCO 用户又不愿修改配置，则在 H3C 一端一定要作相应的改变。

interface GigabitEthernet0/2
nat server protocol tcp global 114255xx7 >初始化配置\x0d\〈H3C〉system-view\x0d\开启防火墙功能，并默认允许所有数据包通过\x0d\[H3C]firewall packet-filter enable\x0d\[H3C]firewall packet-filter default permit\x0d\分配端口区域（untrust外网，trust内网；端口号请参照实际情况）\x0d\[H3C] firewall zone untrust\x0d\[H3C-zone-untrust] add interface Ethernet0/0\x0d\[H3C] firewall zone trust\x0d\[H3C-zone-trust] add interface Ethernet0/1\x0d\工作模式，默认为路由模式\x0d\[H3C] firewall mode route \x0d\\x0d\开启所有防范功能\x0d\[H3C] firewall defend all \x0d\\x0d\配置内网LAN口IP（内网IP地址请参考实际情况）\x0d\[H3C] interface Ethernet0/1\x0d\ [H3C-interface] ip address 19216811 2552552550\x0d\配置外网IP（也就是电信给你们的IP和子网掩码)\x0d\[H3C] interface Ethernet0/0\x0d\ [H3C-interface] ip address XXXX XXXXX\x0d\配置NAT地址池（填写电信给你们的IP地址，填写两次）\x0d\[H3C]nat address-group 1 XXXX XXXXX\x0d\\x0d\配置默认路由（出外网的路由,字母代表的是电信分配你们的外网网关地址，不知道就问电信）\x0d\[H3C]ip route-static 0000 0000 YYYY preference 60\x0d\\x0d\配置访问控制列表（上网必须配置）\x0d\[H3C]acl number 2001 \x0d\[H3C-ACL]rule 1 permit source 19216810 000255\x0d\\x0d\应用访问控制列表到端口，并开启NAT上网功能\x0d\[H3C]interface Ethernet1/0\x0d\[H3C-interface]nat outbound 2001 address-group 1\x0d\\x0d\配置DHCP\x0d\[H3C] dhcp enable\x0d\[H3C-dhcp] dhcp server ip-pool 0\x0d\[H3C-dhcp] network 19216810 mask 2552552550 \x0d\[H3C-dhcp] gateway-list 19216811\x0d\[H3C-dhcp] dns-list XXXX(配置你们这里的DNS服务器地址）\x0d\\x0d\其它配置：\x0d\允许网页配置\x0d\ [H3C] undo ip >

兄弟 我看看你 防火墙有问题设置的 你默认为进入禁止的话

那你还去开个默认出站 禁止干么  ‘

那个默认是 入和出是开一边的

我公司也是 我弄  我一个人 包括 开用户 化VLAN 都是我一个人做的

我看你那个 开了左边就 关了右边 是冲突的

你既然 默认是入的话 你左边那个3389不要写在那里

要添加下面这张图到这边的 第一条

允许  源接口是 所有接口    源IP 所有IP   端口3389 目的地址 你内网的IP 比如192168102 这台

类型是自己定义的端口  3389－3389                   时间所有  状态启用  把那个 默认出站的那条删除

我有玩过几台 er3400的  配置画面和你一样  做过IPSEC

所以还记得一点点  左右两个通讯防火墙是相反的

OK？？？QQ联系我  365176808 还请指教

---