防火墙如何查看配置信息？

防火墙查看配置信息需依据设备厂商与系统类型执行对应命令，不存在通用单一指令。思科ASA平台使用`show running-config`呈现实时生效的全部策略与接口参数，华为USG系列则通过`display current-configuration`输出含安全区域、策略规则及NAT映射在内的完整配置快照；Linux环境下，firewalld以`firewall-cmd --list-all`展示默认区域的服务、端口与富规则，iptables则依赖`iptables -L -n -v`列出带包计数的链式规则表；ENSP仿真平台还支持`display security-policy rule all`精准定位访问控制条目。所有操作均需管理员权限，且命令语法严格遵循各厂商官方文档规范，确保配置读取的准确性与可审计性。

一、进入设备管理界面是查看配置的前提条件

必须通过合法授权方式登录防火墙设备，常见途径包括串口Console连接、SSH远程登录或Web控制台内置CLI工具。登录后需切换至特权执行模式：思科系设备输入enable并验证特权密码；华为及奇安信设备通常需输入super或system-view命令提升权限；Linux firewalld/iptables则需使用sudo或root账户执行命令。未获足够权限时，多数命令将返回“Permission denied”或仅显示受限信息，影响配置完整性判断。

二、按功能模块分层检索可提升排查效率

针对复杂策略环境，不建议仅依赖全量配置输出。应结合业务需求定向查询：若排查SSH访问异常，可在思科ASA中执行show running-config | include ssh，在华为防火墙中运行display current-configuration | include ssh；若验证NAT映射是否生效，ENSP平台需依次执行display nat address-group确认地址池定义、display nat server核对端口映射条目、display nat session实时观察会话建立状态；安全策略调试时，display security-policy rule all可列出全部规则编号、源/目的区域、服务类型及动作，再用display security-policy rule name Policy_To_Internet精准调取单条策略详情。

三、配置导出与状态验证是运维闭环的关键环节

除查看外，还需验证配置有效性并留存备份。firewalld可通过firewall-cmd --state确认服务运行状态；iptables可用iptables -t filter -L -n检查filter表是否加载；所有主流厂商均支持将当前配置保存至TFTP/FTP服务器，如copy running-config tftp://192.168.1.100/asa_config.cfg（思科）或save config to tftp://192.168.1.100/huawei.cfg（华为）。导出文件应定期比对版本差异，配合设备审计日志分析变更责任人与时效性。

综上，掌握分场景、分模块、分权限的配置查看逻辑，才能高效支撑网络策略运维与故障定位。