華為防火墻是現網應用比較廣的一款防火墻產品，下面以常見的Eudemon1000E梳理下常用的巡檢和操作命令：

1、防火墻工作模式

防火墻工作在用戶模式和系統模式，普通模式下可以進行信息查看（如display各種配置），命令模式下可以進行防火墻配置（如策略配置），使用system-view可以由用戶模式切換至系統模式，使用quit可以從系統模式切換至用戶模式。用戶模式下設備名稱類似<device-name>用尖括號包裹，系統模式下設備名稱類似[device-name]用方括號包裹。

2、安全域劃分

防火墻的主要作用是通過安全域的劃分來控制訪問，華為防火墻主要有Trust（可信任區）、Untrust（非信任區）、DMZ（非軍事區）、Local（本地）等四個安全域，每個安全域有不同的優先級，安全域里有接口。防火墻可以對跨域的訪問進行限制，如通過配置ACL可以控制Untrust對Trust的訪問，通常情況下Untrust對應的是外部網絡，Trust是內部網絡。

2、操作技巧

華為防火墻有較多的操作命令，需要逐步學習，當不清楚或不知道用什么命令的時候可以用問號?進行查詢，？的應用主要有幾種方式：一是在登進設備之后直接查詢相關命令，每一條命令后面都有解釋，二是在某個命令結尾鍵入，可以查詢當前命令后連接的命令或當前命令參數。

另外，華為防火墻跟Linux有一個類似的技巧，就是命令補全，如display命令，敲入dis時按Tab鍵可以補全，另外如果一條命令是單獨存在的，那么簡拼等同于全拼。如dis的效果等同于display。

3、常用命令

查看當前配置：display current-configuration | include/begin XX

查看工作區：display zone

查看cpu、內存使用率：display health

查看運行環境：display environment

查看日志：display logbuffer （summary）

查看設備健康狀況：display diagnostic-information

查看全部會話：display firewall session table verbose

其中，查看會話命令中可以進行精確的源地址和目的地址配置，從而進行更精確的查詢，常常用于網絡故障排查，進行抓包，如：

display firewall session table verbose source global XX.XX.XX.XX source-port XX destination global XX.XX.XX.XX destination-port XX

筆者半路出家，很多基礎細節還不大清楚，所以本文僅作個人學習記錄，有興趣深入了解的同仁可以參見《強叔侃墻》，絕對物超所值。下文將繼續記錄ACL策略的配置和命中數的查詢。