思科路由器防火墻如何配置
思科路由器防火墻如何配置
思科擁有豐富的行業(yè)經(jīng)驗、先進的技術(shù),路由器功能也在世界遙遙領(lǐng)先,那么你知道思科路由器防火墻如何配置嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于思科路由器防火墻如何配置的相關(guān)資料,供你參考。
思科路由器防火墻如何配置的方法:
一、access-list 用于創(chuàng)建訪問規(guī)則。
(1)創(chuàng)建標準訪問列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)創(chuàng)建擴展訪問列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)刪除訪問列表
no access-list { normal | special } { all | listnumber [ subitem ] }
【參數(shù)說明】
normal 指定規(guī)則加入普通時間段。
special 指定規(guī)則加入特殊時間段。
listnumber1 是1到99之間的一個數(shù)值,表示規(guī)則是標準訪問列表規(guī)則。
listnumber2 是100到199之間的一個數(shù)值,表示規(guī)則是擴展訪問列表規(guī)則。
permit 表明允許滿足條件的報文通過。
deny 表明禁止?jié)M足條件的報文通過。
protocol 為協(xié)議類型,支持ICMP、TCP、UDP等,其它的協(xié)議也支持,此時沒有端口比較的概念;為IP時有特殊含義,代表所有的IP協(xié)議。
source-addr 為源地址。
source-mask 為源地址通配位,在標準訪問列表中是可選項,不輸入則代表通配位為0.0.0.0.
dest-addr 為目的地址。
dest-mask 為目的地址通配位。
operator[可選] 端口操作符,在協(xié)議類型為TCP或UDP時支持端口比較,支持的比較操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符為range,則后面需要跟兩個端口。
port1 在協(xié)議類型為TCP或UDP時出現(xiàn),可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值(如telnet)或0~65535之間的一個數(shù)值。
port2 在協(xié)議類型為TCP或UDP且操作類型為range時出現(xiàn);可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值(如telnet)或0~65535之間的一個數(shù)值。
icmp-type[可選] 在協(xié)議為ICMP時出現(xiàn),代表ICMP報文類型;可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值(如echo-reply)或者是0~255之間的一個數(shù)值。
icmp-code在協(xié)議為ICMP且沒有選擇所設(shè)定的預(yù)設(shè)值時出現(xiàn);代表ICMP碼,是0~255之間的一個數(shù)值。
log [可選] 表示如果報文符合條件,需要做日志。
listnumber 為刪除的規(guī)則序號,是1~199之間的一個數(shù)值。
subitem[可選] 指定刪除序號為listnumber的訪問列表中規(guī)則的序號。
【缺省情況】
系統(tǒng)缺省不配置任何訪問規(guī)則。
【命令模式】
全局配置模式
【使用指南】
同一個序號的規(guī)則可以看作一類規(guī)則;所定義的規(guī)則不僅可以用來在接口上過濾報文,也可以被如DDR等用來判斷一個報文是否是感興趣的報文,此時,permit與deny表示是感興趣的還是不感興趣的。
使用協(xié)議域為IP的擴展訪問列表來表示所有的IP協(xié)議。
同一個序號之間的規(guī)則按照一定的原則進行排列和選擇,這個順序可以通過 show access-list 命令看到。
【舉例】
允許源地址為10.1.1.0 網(wǎng)絡(luò)、目的地址為10.1.2.0網(wǎng)絡(luò)的WWW訪問,但不允許使用FTP.
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相關(guān)命令】
ip access-group
二、clear access-list counters 清除訪問列表規(guī)則的統(tǒng)計信息。
clear access-list counters [ listnumber ]
【參數(shù)說明】
listnumber [可選] 要清除統(tǒng)計信息的規(guī)則的序號,如不指定,則清除所有的規(guī)則的統(tǒng)計信息。
【缺省情況】
任何時候都不清除統(tǒng)計信息。
【命令模式】
特權(quán)用戶模式
【使用指南】
使用此命令來清除當前所用規(guī)則的統(tǒng)計信息,不指定規(guī)則編號則清除所有規(guī)則的統(tǒng)計信息。
【舉例】
例1:清除當前所使用的序號為100的規(guī)則的統(tǒng)計信息。
Quidway#clear access-list counters 100
例2:清除當前所使用的所有規(guī)則的統(tǒng)計信息。
Quidway#clear access-list counters
【相關(guān)命令】
access-list
三、firewall 啟用或禁止防火墻。
firewall { enable | disable }
【參數(shù)說明】
enable 表示啟用防火墻。
disable 表示禁止防火墻。
【缺省情況】
系統(tǒng)缺省為禁止防火墻。
【命令模式】
全局配置模式
【使用指南】
使用此命令來啟用或禁止防火墻,可以通過show firewall命令看到相應(yīng)結(jié)果。如果采用了時間段包過濾,則在防火墻被關(guān)閉時也將被關(guān)閉;該命令控制防火墻的總開關(guān)。在使用 firewall disable 命令關(guān)閉防火墻時,防火墻本身的統(tǒng)計信息也將被清除。
【舉例】
啟用防火墻。
Quidway(config)#firewall enable
【相關(guān)命令】
access-list,ip access-group
四、firewall default 配置防火墻在沒有相應(yīng)的訪問規(guī)則匹配時,缺省的過濾方式。
firewall default { permit | deny }
【參數(shù)說明】
permit 表示缺省過濾屬性設(shè)置為"允許".
deny 表示缺省過濾屬性設(shè)置為"禁止".
【缺省情況】
在防火墻開啟的情況下,報文被缺省允許通過。
【命令模式】
全局配置模式
【使用指南】
當在接口應(yīng)用的規(guī)則沒有一個能夠判斷一個報文是否應(yīng)該被允許還是禁止時,缺省的過濾屬性將起作用;如果缺省過濾屬性是"允許",則報文可以通過,否則報文被丟棄。
【舉例】
設(shè)置缺省過濾屬性為"允許".
Quidway(config)#firewall default permit
五、ip access-group 使用此命令將規(guī)則應(yīng)用到接口上。使用此命令的no形式來刪除相應(yīng)的設(shè)置。
ip access-group listnumber { in | out }
[ no ] ip access-group listnumber { in | out }
【參數(shù)說明】
listnumber 為規(guī)則序號,是1~199之間的一個數(shù)值。
in 表示規(guī)則用于過濾從接口收上來的報文。
out 表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)的報文。
【缺省情況】
沒有規(guī)則應(yīng)用于接口。
【命令模式】
接口配置模式。
【使用指南】
使用此命令來將規(guī)則應(yīng)用到接口上;如果要過濾從接口收上來的報文,則使用 in 關(guān)鍵字;如果要過濾從接口轉(zhuǎn)發(fā)的報文,使用out 關(guān)鍵字。一個接口的一個方向上最多可以應(yīng)用20類不同的規(guī)則;這些規(guī)則之間按照規(guī)則序號的大小進行排列,序號大的排在前面,也就是優(yōu)先級高。對報文進行過濾時,將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以,建議在配置規(guī)則時,盡量將對同一個網(wǎng)絡(luò)配置的規(guī)則放在同一個序號的訪問列表中;在同一個序號的訪問列表中,規(guī)則之間的排列和選擇順序可以用show access-list命令來查看。
【舉例】
將規(guī)則101應(yīng)用于過濾從以太網(wǎng)口收上來的報文。
Quidway(config-if-Ethernet0)#ip access-group 101 in
【相關(guān)命令】
access-list
六、settr 設(shè)定或取消特殊時間段。
settr begin-time end-time
no settr
【參數(shù)說明】
begin-time 為一個時間段的開始時間。
end-time 為一個時間段的結(jié)束時間,應(yīng)該大于開始時間。
【缺省情況】
系統(tǒng)缺省沒有設(shè)置時間段,即認為全部為普通時間段。
【命令模式】
全局配置模式
【使用指南】
使用此命令來設(shè)置時間段;可以最多同時設(shè)置6個時間段,通過show timerange 命令可以看到所設(shè)置的時間。如果在已經(jīng)使用了一個時間段的情況下改變時間段,則此修改將在一分鐘左右生效(系統(tǒng)查詢時間段的時間間隔)。設(shè)置的時間應(yīng)該是24小時制。如果要設(shè)置類似晚上9點到早上8點的時間段,可以設(shè)置成"settr 21:00 23:59 0:00 8:00",因為所設(shè)置的時間段的兩個端點屬于時間段之內(nèi),故不會產(chǎn)生時間段內(nèi)外的切換。另外這個設(shè)置也經(jīng)過了2000問題的測試。
【舉例】
例1:設(shè)置時間段為8:30 ~ 12:00,14:00 ~ 17:00.
Quidway(config)#settr 8:30 12:00 14:00 17:00
例2: 設(shè)置時間段為晚上9點到早上8點。
Quidway(config)#settr 21:00 23:59 0:00 8:0
【相關(guān)命令】
timerange,show timerange
七、show access-list 顯示包過濾規(guī)則及在接口上的應(yīng)用。
show access-list [ all | listnumber | interface interface-name ]
【參數(shù)說明】
all 表示所有的規(guī)則,包括普通時間段內(nèi)及特殊時間段內(nèi)的規(guī)則。
listnumber 為顯示當前所使用的規(guī)則中序號為listnumber的規(guī)則。
interface 表示要顯示在指定接口上應(yīng)用的規(guī)則序號。
interface-name 為接口的名稱。
【命令模式】
特權(quán)用戶模式
【使用指南】
使用此命令來顯示所指定的規(guī)則,同時查看規(guī)則過濾報文的情況。每個規(guī)則都有一個相應(yīng)的計數(shù)器,如果用此規(guī)則過濾了一個報文,則計數(shù)器加1;通過對計數(shù)器的觀察可以看出所配置的規(guī)則中,哪些規(guī)則是比較有效,而哪些基本無效。可以通過帶interface關(guān)鍵字的show access-list命令來查看某個接口應(yīng)用規(guī)則的情況。
【舉例】
例1:顯示當前所使用的序號為100的規(guī)則。
Quidway#show access-list 100
Using normal packet-filtering access rules now.
100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)
100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)
100 deny udp any any eq rip (no matches -- rule 3)
例2: 顯示接口Serial0上應(yīng)用規(guī)則的情況。
Quidway#show access-list interface serial 0
Serial0:
access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None
【相關(guān)命令】
access-list
八、show firewall 顯示防火墻狀態(tài)。
show firewall
【命令模式】
特權(quán)用戶模式
【使用指南】
使用此命令來顯示防火墻的狀態(tài),包括防火墻是否被啟用,啟用防火墻時是否采用了時間段包過濾及防火墻的一些統(tǒng)計信息。
【舉例】
顯示防火墻狀態(tài)。
Quidway#show firewall
Firewall is enable, default filtering method is 'permit'.
TimeRange packet-filtering enable.
InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
2 packets, 104 bytes, 100% permitted defaultly,
0 packets, 0 bytes, 100% denied defaultly.
From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.
【相關(guān)命令】
firewall
九、show isintr 顯示當前時間是否在時間段之內(nèi)。
show isintr
【命令模式】
特權(quán)用戶模式
【使用指南】
使用此命令來顯示當前時間是否在時間段之內(nèi)。
【舉例】
顯示當前時間是否在時間段之內(nèi)。
Quidway#show isintr
It is NOT in time ranges now.
【相關(guān)命令】
timerange,settr
十、show timerange 顯示時間段包過濾的信息。
show timerange
【命令模式】
特權(quán)用戶模式
【使用指南】
使用此命令來顯示當前是否允許時間段包過濾及所設(shè)置的時間段。
【舉例】
顯示時間段包過濾的信息。
Quidway#show timerange
TimeRange packet-filtering enable.
beginning of time range:
01:00 - 02:00
03:00 - 04:00
end of time range.
【相關(guān)命令】
timerange,settr
十一、timerange 啟用或禁止時間段包過濾功能。
timerange { enable | disable }
【參數(shù)說明】
enable 表示啟用時間段包過濾。
disable 表示禁止采用時間段包過濾。
【缺省情況】
系統(tǒng)缺省為禁止時間段包過濾功能。
【命令模式】
全局配置模式
【使用指南】
使用此命令來啟用或禁止時間段包過濾功能,可以通過show firewall命令看到,也可以通過show timerange命令看到配置結(jié)果。在時間段包過濾功能被啟用后,系統(tǒng)將根據(jù)當前的時間和設(shè)置的時間段來確定使用時間段內(nèi)(特殊)的規(guī)則還是時間段外(普通)的規(guī)則。系統(tǒng)查詢時間段的精確度為1分鐘。所設(shè)置的時間段的兩個端點屬于時間段之內(nèi)。
【舉例】
啟用時間段包過濾功能。
Quidway(config)#timerange enable
【相關(guān)命令】
settr,show timerange
看過文章“思科路由器防火墻如何配置"的人還看了: