下载3CDaemon的FTP的软件、

第一步、打开3cdaemon的FTP的软件，点击——>“设置TFTP服务器”

第二步、点击——>TFTP设置——>选择需要升级的系统文件夹

第三步、系统文件名后缀一定要加上，否则上传不了

tftp 1.1.1.1 get  XXXX.ipe                   上传完成后，执行
boot-loader file slot1#flash:/XXXX.ipe all main         将系统设置为加载系统

第四步、文件上传失败

1.分析磁盘空间（dir检查磁盘空间，发现剩余空间足够存放升级版本文件）

2.分析软件升级版本（检查软件升级版本文件是否损坏）

3.仔细分析系统的提示信息

H3C安全设备激活license、同时和.did文件做绑定、需要从设备中去下载.did文件

第一步、同时保证PC可以ping通安全设备（以上步骤就是放通各个区域）

第二步、tftp PC地址 put  /flash:/license/文件名.did（同时tftp必须打开）

问题、华三防火墙最新产品，对接口直连访问是不允许的 无法ping通

第一步、定义区域（一般出厂就定义好了）
security-zone name Management（针对管理接口去定义）
security-zone name untrust（不信任区对应外部网络）
security-zone name trust （信任区对应内部网络）
security-zone name DMZ（非军事区对应对外服务器）
security-zone name local（针对本地）

1、交换模式
interface Vlan-interface100
 ip address 192.168.30.1 255.255.255.0
undo shutdown
interface GigabitEthernet1/0/2
 port link-mode bridge
 port access vlan 100
2、路由模式
interface GigabitEthernet1/0/3
 port link-mode route
 ip address 192.168.40.1 255.255.255.0
undo shutdown
第二步、加入区域
security-zone name Trust
 import interface GigabitEthernet1/0/3 （路由模式加接口）
 import interface Vlan-interface100 （交换模式加vlan）
第三步、定义ACL
acl basic 2000
 rule 10 permit source any （这里可以详细定义）
第四步、定义区域访问规则
zone-pair security source Trust destination Any  
 packet-filter 2000
zone-pair security source untrust destination Any
 packet-filter 2000

zone-pair security source Local destination Any  放通Local区域到任何区域(如果不放通那么设备上就ping不同到任何区域的终端地址)

packet-filter 2000

如果设备上多个端口加入同一个安全域，那么还需要加一条下面命令，否则同一个端口下面的终端之间是不能互通的

security-zone intra-zone default permit  

H3C防火墙配置NAT内网访问不了web服务器，外网可以访问

[H3C-FW]interface GigabitEthernet5/0             内网口
[H3C-FW-GigabitEthernet5/0]nat hairpin enable 

zone-pair security source Trust destination Trust

packet-filter 2000

黑名单：根据报文的源IP地址进行过滤的一种方式
白名单：根据报文的源IP地址进行过滤，防止特定的IP地址被加入黑名单