一、access-list 用于创建访问规则。 (1)创建标准访问列表
access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表
access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr
source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表
no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】
normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的
概念;为IP时有特殊含义,代表所有的IP协议。 source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为
0.0.0.0。
dest-addr 为目的地址。 dest-mask 为目的地址通配位。
operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作
有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535
之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值
(如telnet)或0~65535之间的一个数值。
icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设
值(如echo-reply)或者是0~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间
的一个数值。
log [可选] 表示如果报文符合条件,需要做日志。 listnumber 为删除的规则序号,是1~199之间的一个数值。
subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。 【缺省情况】
系统缺省不配置任何访问规则。 【命令模式】 全局配置模式 【使用指南】
同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可
以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。
使用协议域为IP的扩展访问列表来表示所有的IP协议。
同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show
access-list 命令看到。 【举例】
允许源地址为10.1.1.0 网络、目的地址为10.1.2.0网络的WWW访问,但不允许使用FTP。 Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255
eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq
ftp
二、clear access-list counters 清除访问列表规则的统计信息。 clear access-list counters [ listnumber ] 【参数说明】
listnumber [可选] 要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】
任何时候都不清除统计信息。 【命令模式】 特权用户模式 【使用指南】
使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。 【举例】
例1:清除当前所使用的序号为100的规则的统计信息。 Quidway#clear access-list counters 100 例2:清除当前所使用的所有规则的统计信息。 Quidway#clear access-list counters 三、firewall 启用或禁止防火墙。 firewall { enable | disable } 【参数说明】
enable 表示启用防火墙。 disable 表示禁止防火墙。 【缺省情况】
系统缺省为禁止防火墙。
【命令模式】 全局配置模式 【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了
时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。 【举例】 启用防火墙。
Quidway(config)#firewall enable
四、firewall default 配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。 firewall default { permit | deny } 【参数说明】
permit 表示缺省过滤属性设置为“允许”。 deny 表示缺省过滤属性设置为“禁止”。 【缺省情况】
在防火墙开启的情况下,报文被缺省允许通过。 【命令模式】 全局配置模式 【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属
性将起作用;如果缺省过滤属性是“允许”,则报文可以通过,否则报文被丢弃。