华为路由器防火墙配置命令

一、access-list 用来创造考察准则。      （1）创造规范考察列表      access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]      （2）创造扩充考察列表      access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]      （3）简略考察列表      no access-list { normal | special } { all | listnumber [ subitem ] }      【参数证明】      normal 指定例则介入普遍功夫段。      special 指定例则介入特出功夫段。      listnumber1 是1到99之间的一个数值，表白准则是规范考察列表准则。      listnumber2 是100到199之间的一个数值，表白准则是扩充考察列表准则。      permit 表白承诺满意前提的报文经过。      deny 表白遏止满意前提的报文经过。      protocol 为和议典型，扶助icmp、tcp、udp等，其它的和议也扶助，此时没有端口比拟的观念；为ip时有特出含意，代办一切的ip和议。      source-addr 为源地方。      source-mask 为源地方通配位，在规范考察列表中是可选项，不输出则代办通配位为0.0.0.0。      dest-addr 为手段地方。      dest-mask 为手段地方通配位。      operator[可选] 端口操纵符，在和议典型为tcp或udp时扶助端口比拟，扶助的比拟操纵有：即是（eq）、大于（gt）、小于（lt）、不即是（neq）或介于（range）；即使操纵符为range，则反面须要跟两个端口。      port1 在和议典型为tcp或udp时展示，不妨为要害字所设定的预设值（如telnet）或0~65535之间的一个数值。      port2 在和议典型为tcp或udp且操纵典型为range时展示；不妨为要害字所设定的预设值（如telnet）或0~65535之间的一个数值。      icmp-type[可选] 在和议为icmp时展示，代办icmp报文典型；不妨是要害字所设定的预设值（如echo-reply）大概是0~255之间的一个数值。      icmp-code在和议为icmp且没有采用所设定的预设值时展示；代办icmp码，是0~255之间的一个数值。      log [可选] 表白即使报文适合前提，须要做日记。      listnumber 为简略的准则序号，是1~199之间的一个数值。      subitem[可选] 指定简略序号为listnumber的考察列表中准则的序号。      【缺省情景】      体例缺省不摆设任何考察准则。      【吩咐形式】      全部摆设形式      【运用指南】      同一个序号的准则不妨看作一类准则；所设置的准则不只不妨用来在接口上过滤报文，也不妨被如ddr等用来确定一个报文能否是感爱好的报文，此时，permit与deny表白是感爱好的仍旧不感爱好的。      运用和议域为ip的扩充考察列表来表白一切的ip和议。      同一个序号之间的准则依照确定的规则举行陈设和采用，这个程序不妨经过 show access-list 吩咐看到。      【举例】      承诺源地方为10.1.1.0 搜集、手段地方为10.1.2.0搜集的www考察，但不承诺运用ftp。      quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www      quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp      【关系吩咐】      ip access-group  二、clear access-list counters 废除考察列表准则的统计消息。      clear access-list counters [ listnumber ]      【参数证明】      listnumber [可选] 要废除统计消息的准则的序号，如不指定，则废除一切的准则的统计消息。      【缺省情景】      任何功夫都不废除统计消息。      【吩咐形式】      特权用户形式      【运用指南】      运用此吩咐来废除暂时所用准则的统计消息，不指定例则编号则废除一切准则的统计消息。      【举例】      例1：废除暂时所运用的序号为100的准则的统计消息。      quidway#clear access-list counters 100      例2：废除暂时所运用的一切准则的统计消息。      quidway#clear access-list counters      【关系吩咐】      access-list  三、firewall 起用或遏止风火墙。      firewall { enable | disable }      【参数证明】      enable 表白起用风火墙。      disable 表白遏止风火墙。      【缺省情景】      体例缺省为遏止风火墙。      【吩咐形式】      全部摆设形式      【运用指南】      运用此吩咐来起用或遏止风火墙，不妨经过show firewall吩咐看到相映截止。即使沿用了功夫段包过滤，则在风火墙被封闭时也将被封闭；该吩咐遏制风火墙的总电门。在运用 firewall disable 吩咐封闭风火墙时，风火墙自己的统计消息也将被废除。      【举例】      起用风火墙。      quidway(config)#firewall enable      【关系吩咐】      access-list，ip access-group  [page_break]四、firewall default 摆设风火墙在没有相映的考察准则配合时，缺省的过滤办法。      firewall default { permit | deny }      【参数证明】      permit 表白缺省过滤属性树立为“承诺”。      deny 表白缺省过滤属性树立为“遏止”。      【缺省情景】      在风火墙打开的情景下，报文被缺省承诺经过。      【吩咐形式】      全部摆设形式      【运用指南】      当在接口运用的准则没有一个不妨确定一个报文能否该当被承诺仍旧遏止时，缺省的过滤属性将起效率；即使缺省过滤属性是“承诺”，则报文不妨经过，要不报文被抛弃。      【举例】      树立缺省过滤属性为“承诺”。      quidway(config)#firewall default permit  五、ip access-group 运用此吩咐将准则运用到接口上。运用此吩咐的no情势来简略相映的树立。      ip access-group listnumber { in | out }      [ no ] ip access-group listnumber { in | out }      【参数证明】      listnumber 为准则序号，是1~199之间的桓鍪?怠?     in 表白准则用来过滤从接口收上去的报文。      out 表白准则用来过滤从接口转发的报文。      【缺省情景】      没有准则运用于接口。      【吩咐形式】      接口摆设形式。      【运用指南】      运用此吩咐来将准则运用到接口上；即使要过滤从接口收上去的报文，则运用 in 要害字；即使要过滤从接口转发的报文，运用out 要害字。一个接口的一个方进取最多不妨运用20类各别的准则；那些准则之间依照准则序号的巨细举行陈设，序号大的排在前方，也即是优先级高。对报文举行过滤时，将沿用创造适合的准则即得出过滤截止的本领来加速过滤速率。以是，倡导在摆设准则时，尽管将对同一个搜集摆设的准则放在同一个序号的考察列表中；在同一个序号的考察列表中，准则之间的陈设和采用程序不妨用show access-list吩咐来察看。      【举例】      将准则101运用于过滤从以太网口收上去的报文。      quidway(config-if-ethernet0)#ip access-group 101 in      【关系吩咐】      access-list  六、settr 设定或废除特出功夫段。      settr begin-time end-time      no settr      【参数证明】      begin-time 为一个功夫段的发端功夫。      end-time 为一个功夫段的中断功夫，该当大于发端功夫。      【缺省情景】      体例缺省没有树立功夫段，即觉得十足为普遍功夫段。      【吩咐形式】      全部摆设形式      【运用指南】      运用此吩咐来树立功夫段；不妨最多同声树立6个功夫段，经过show timerange 吩咐不妨看到所树立的功夫。即使在仍旧运用了一个功夫段的情景下变换功夫段，则此窜改将在一秒钟安排奏效（体例查问功夫段的功夫间隙）。树立的功夫该当是24钟点制。即使要树立一致黄昏9点到早晨8点的功夫段，不妨树立成“settr 21:00 23:59 0:00 8:00”，由于所树立的功夫段的两个端点属于功夫段之内，故不会爆发功夫段表里的切换。其余这个树立也过程了2000题目的尝试。      【举例】      例1：树立功夫段为8:30 ~ 12:00，14:00 ~ 17:00。      quidway(config)#settr 8:30 12:00 14:00 17:00      例2： 树立功夫段为黄昏9点到早晨8点。      quidway(config)#settr 21:00 23:59 0:00 8:0      【关系吩咐】      timerange，show timerange  七、show access-list 表露包过滤准则及在接口上的运用。      show access-list [ all | listnumber | interface interface-name]      【参数证明】      all 表白一切的准则，囊括普遍功夫段内及特出功夫段内的准则。      listnumber 为表露暂时所运用的准则中序号为listnumber的准则。      interface 表白要表露在指定接口上运用的准则序号。      interface-name 为接口的称呼。      【吩咐形式】      特权用户形式      【运用指南】      运用此吩咐来表露所指定的准则，同声察看准则过滤报文的情景。每个准则都有一个相映的计数器，即使用此准则过滤了一个报文，则计数器加1；经过对计数器的查看不妨看出所摆设的准则中，哪些准则是比拟灵验，而哪些基础失效。不妨经过带interface要害字的show access-list吩咐来察看某个接口运用准则的情景。      【举例】      例1：表露暂时所运用的序号为100的准则。      quidway#show access-list 100      using normal packet-filtering access rules now.      100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)      100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)      100 deny udp any any eq rip (no matches -- rule 3)      例2： 表露接口serial0上运用准则的情景。      quidway#show access-list interface serial 0      serial0:      access-list filtering in-bound packets : 120      access-list filtering out-bound packets: none      【关系吩咐】      access-list  八、show firewall 表露风火墙状况。      show firewall      【吩咐形式】      特权用户形式      【运用指南】      运用此吩咐来表露风火墙的状况，囊括风火墙能否被起用，起用风火墙时能否沿用了功夫段包过滤及风火墙的少许统计消息。      【举例】      表露风火墙状况。      quidway#show firewall      firewall is enable, default filtering method is ’permit’.      timerange packet-filtering enable.      inbound packets: none;      outbound packets: 0 packets, 0 bytes, 0% permitted,      0 packets, 0 bytes, 0% denied,      2 packets, 104 bytes, 100% permitted defaultly,      0 packets, 0 bytes, 100% denied defaultly.      from 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.      【关系吩咐】      firewall  九、show isintr 表露暂时功夫能否在功夫段之内。      show isintr      【吩咐形式】      特权用户形式      【运用指南】      运用此吩咐来表露暂时功夫能否在功夫段之内。      【举例】      表露暂时功夫能否在功夫段之内。      quidway#show isintr      it is not in time ranges now.      【关系吩咐】      timerange，settr  十、show timerange 表露功夫段包过滤的消息。      show timerange      【吩咐形式】      特权用户形式      【运用指南】      运用此吩咐来表露暂时能否承诺功夫段包过滤及所树立的功夫段。      【举例】      表露功夫段包过滤的消息。      quidway#show timerange      timerange packet-filtering enable.      beginning of time range:      01:00 - 02:00      03:00 - 04:00      end of time range.      【关系吩咐】      timerange，settr  十一、timerange 起用或遏止功夫段包过滤功效。      timerange { enable | disable }      【参数证明】      enable 表白起用功夫段包过滤。      disable 表白遏止沿用功夫段包过滤。      【缺省情景】      体例缺省为遏止功夫段包过滤功效。      【吩咐形式】      全部摆设形式      【运用指南】      运用此吩咐来起用或遏止功夫段包过滤功效，不妨经过show firewall吩咐看到，也不妨经过show timerange吩咐看到摆设截止。在功夫段包过滤功效被起用后，体例将按照暂时的功夫和树立的功夫段来决定运用功夫段内（特出）的准则仍旧功夫段外（普遍）的准则。体例查问功夫段的透彻度为1秒钟。所树立的功夫段的两个端点属于功夫段之内。      【举例】      起用功夫段包过滤功效。      quidway(config)#timerange enable      【关系吩咐】      settr，show timerange