H3C MSR3610 X1如何使用命令行开启防火墙包过滤功能

web界面开启，这不是专业的防火墙，有些功能不一定支持命令行的。

可能默认已经开启。

可参考如下MSR3600-XS系列DPI深度检测的IPS配置举例：

https://www.h3c.com/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR3600-XS/?CHID=370251&v=612 

1.16.1  在对象策略中引用缺省IPS策略配置举例

1. 组网需求

如图1-2所示，Device分别通过Trust安全域和Untrust安全域与局域网和Internet相连。现要求使用设备上的缺省IPS策略对用户数据报文进行IPS防御。

2. 组网图

图1-2 在对象策略中引用缺省IPS策略的配置组网图

‌

3. 配置步骤

(1)      配置各接口的IP地址（略）

(2)      创建安全域并将接口加入安全域

# 向安全域Trust中添加接口GigabitEthernet1/0/1。

<Device> system-view

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

# 向安全域Untrust中添加接口GigabitEthernet1/0/2。

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)      配置对象组

# 创建名为ipsfilter的IP地址对象组，并定义其子网地址为192.168.1.0/24。

[Device] object-group ip address ipsfilter

[Device-obj-grp-ip-ipsfilter] network subnet 192.168.1.0 24

[Device-obj-grp-ip-ipsfilter] quit

(4)      配置DPI应用profile

# 创建名为sec的DPI应用profile，并进入DPI应用profile视图。

[Device] app-profile sec

# 在DPI应用profile sec中应用缺省IPS策略default，并指定该IPS策略的模式为protect。

[Device-app-profile-sec] ips apply policy default mode protect

[Device-app-profile-sec] quit

# 激活IPS策略配置。

[Device] inspect activate

(5)      配置对象策略引用IPS业务

# 创建名为ipsfilter的IPv4对象策略，并进入对象策略视图。

[Device] object-policy ip ipsfilter

# 对源IP地址对象组ipsfilter对应的报文进行深度检测，引用的DPI应用profile为sec。

[Device-object-policy-ip-ipsfilter] rule inspect sec source-ip ipsfilter destination-ip any

[Device-object-policy-ip-ipsfilter] quit

# 配置安全域间实例并应用对象策略，创建源安全域Trust到目的安全域Untrust的安全域间实例，并应用对源IP地址对象组ipsfilter对应的报文进行深度检测的对象策略ipsfilter。

[Device] zone-pair security source trust destination untrust

[Device-zone-pair-security-Trust-Untrust] object-policy apply ip ipsfilter

[Device-zone-pair-security-Trust-Untrust] quit