防火墻的基本配置

1、防火墻配置目錄一 防火墻的基本配置原則21.防火墻兩種情況配置22.防火墻的配置中的三個(gè)基本原則23.網(wǎng)絡(luò)拓?fù)鋱D3二方案設(shè)計(jì)原則41. 先進(jìn)性與成熟性42. 實(shí)用性與經(jīng)濟(jì)性43. 擴(kuò)展性與兼容性44. 標(biāo)準(zhǔn)化與開放性55. 安全性與可維護(hù)性56. 整合型好5三防火墻的初始配置61.簡述62.防火墻的具體配置步驟6四 Cisco PIX防火墻的基本配置81. 連接82. 初始化配置83. enable命令84定義以太端口85. clock86. 指定接口的安全級(jí)別97. 配置以太網(wǎng)接口IP地址98. access-group99配置訪問列表910. 地址轉(zhuǎn)換（NAT）1011. Port Red

2、irection with Statics101.命令102實(shí)例1112. 顯示與保存結(jié)果12五過濾型防火墻的訪問控制表（ACL）配置131. access-list：用于創(chuàng)建訪問規(guī)則132. clear access-list counters：清除訪問列表規(guī)則的統(tǒng)計(jì)信息143. ip access-grou154. show access-list155. show firewall16一 防火墻的基本配置原則1.防火墻兩種情況配置拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型?？烧撟C地，大多數(shù)防火墻默認(rèn)都

3、是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內(nèi)的用戶在通過驗(yàn)證之后可以訪問系統(tǒng)。換句話說，如果你想讓你的員工們能夠發(fā)送和接收Email，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開啟允許POP3和SMTP的進(jìn)程。 2.防火墻的配置中的三個(gè)基本原則 （1）. 簡單實(shí)用：對(duì)防火墻環(huán)境設(shè)計(jì)來講，首要的就是越簡單越好。其實(shí)這也是任何事物的基本原則。越簡單的實(shí)現(xiàn)方式，越容易理解和使用。而且是設(shè)計(jì)越簡單，越不容易出錯(cuò)，防火墻的安全功能越容易得到保證，管理也越可靠和簡便。 每種產(chǎn)品在開發(fā)前都會(huì)有其主要功能定位，比如防火墻產(chǎn)品的初衷就是實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測產(chǎn)品主要針對(duì)

4、網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。但是隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測等功能，在入侵檢測上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時(shí)我們也可針對(duì)具體應(yīng)用環(huán)境進(jìn)行配置，不必要對(duì)每一功能都詳細(xì)配置，這樣一則會(huì)大大增強(qiáng)配置難度，同時(shí)還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞，得不償失。 （2）. 全面深入：單一的防御措施是難以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，我們不要停留在幾個(gè)表面的防火墻語句上，而應(yīng)系統(tǒng)地看等整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系，盡

5、量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個(gè)系統(tǒng)。這方面可以體現(xiàn)在兩個(gè)方面：一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門邊界防火墻和主機(jī)防火墻于一體的層次防御；另一方面將入侵檢測、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。 （3）. 內(nèi)外兼顧：防火墻的一個(gè)特點(diǎn)是防外不防內(nèi)，其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來自內(nèi)部，所以我們要樹立防內(nèi)的觀念，從根本上改變過去那種防外不防內(nèi)的傳統(tǒng)觀念。對(duì)內(nèi)部威脅可以采取其它安全措施，比如入侵檢測、主機(jī)防護(hù)、漏洞掃描、病毒查殺。這方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀念，最好能部署與上述內(nèi)部

6、防護(hù)手段一起聯(lián)動(dòng)的機(jī)制。目前來說，要做到這一點(diǎn)比較困難。3.網(wǎng)絡(luò)拓?fù)鋱D二方案設(shè)計(jì)原則1. 先進(jìn)性與成熟性采用當(dāng)今國內(nèi)、國際上先進(jìn)和成熟的計(jì)算機(jī)應(yīng)用技術(shù)，使搭建的硬件平臺(tái)能夠最大限度的適應(yīng)今后的辦公自動(dòng)化技術(shù)和系統(tǒng)維護(hù)的需要。從現(xiàn)階段的發(fā)展來看，系統(tǒng)的總體設(shè)計(jì)的先進(jìn)性原則主要體現(xiàn)在使用Thin-Client/Server計(jì)算機(jī)體系是先進(jìn)的、開放的體系結(jié)構(gòu)，當(dāng)系統(tǒng)應(yīng)用量發(fā)生變化時(shí)具備良好的可伸縮性，避免瓶頸的出現(xiàn)。2. 實(shí)用性與經(jīng)濟(jì)性實(shí)用性就是能夠最大限度地滿足實(shí)際工作的要求，是每個(gè)系統(tǒng)平臺(tái)在搭建過程中必須考慮的一種系統(tǒng)性能，它是對(duì)用戶最基本的承諾。辦公自動(dòng)化硬件平臺(tái)是為實(shí)際使用而建立，應(yīng)避免過度

7、追求超前技術(shù)而浪費(fèi)投資。3. 擴(kuò)展性與兼容性系統(tǒng)設(shè)計(jì)除了可以適應(yīng)目前的應(yīng)用需要以外，應(yīng)充分考慮日后的應(yīng)用發(fā)展需要，隨著數(shù)據(jù)量的擴(kuò)大，用戶數(shù)的增加以及應(yīng)用范圍的拓展，只要相應(yīng)的調(diào)整硬件設(shè)備即可滿足需求。通過采用先進(jìn)的存儲(chǔ)平臺(tái)，保證對(duì)海量數(shù)據(jù)的存取、查詢以及統(tǒng)計(jì)等的高性能和高效率。同時(shí)考慮整個(gè)平臺(tái)的統(tǒng)一管理，監(jiān)控，降低管理成本。4. 標(biāo)準(zhǔn)化與開放性系統(tǒng)設(shè)計(jì)應(yīng)采用開放技術(shù)、開放結(jié)構(gòu)、開放系統(tǒng)組件和開放用戶接口，以利于網(wǎng)絡(luò)的維護(hù)、擴(kuò)展升級(jí)及外界信息的溝通。計(jì)算機(jī)軟硬件和網(wǎng)絡(luò)技術(shù)有國際和國內(nèi)的標(biāo)準(zhǔn)，但技術(shù)標(biāo)準(zhǔn)不可能詳細(xì)得面面俱到，在一些技術(shù)細(xì)節(jié)上各個(gè)生產(chǎn)廠商按照自己的喜好設(shè)計(jì)開發(fā)，結(jié)果造成一些產(chǎn)品只能在

8、較低的層面上互通，在較高層面或某些具體方面不能互通。我們不但選用符合標(biāo)準(zhǔn)的產(chǎn)品，而且盡量選用市場占有率高、且發(fā)展前景好的產(chǎn)品，以提高系統(tǒng)互通性和開放性。5. 安全性與可維護(hù)性隨著應(yīng)用的發(fā)展，系統(tǒng)需要處理的數(shù)據(jù)量將有較大的增長，并且將涉及到各類的關(guān)鍵性應(yīng)用，系統(tǒng)的穩(wěn)定性和安全性要求都相對(duì)較高，任意時(shí)刻系統(tǒng)故障都可能給用戶帶來不可估量的損失，建議采用負(fù)載均衡的服務(wù)器群組來提高系統(tǒng)整體的高可用。6. 整合型好當(dāng)前采用企業(yè)級(jí)的域控制管理模式，方便對(duì)所有公司內(nèi)所有終端用戶的管理，同時(shí)又可以將公司里計(jì)算機(jī)的納入管理范圍，極大地降低了網(wǎng)絡(luò)維護(hù)量，并能整體提高當(dāng)前網(wǎng)絡(luò)安全管理！三防火墻的初始配置1.簡述像路由

9、器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以Cisco PIX防火墻為例進(jìn)行介紹。防火墻的初始配置也是通過控制端口（Console）與PC機(jī)（通常是便于移動(dòng)的筆記本電腦）的串口連接，再通過Windows系統(tǒng)自帶的超級(jí)終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣。防火墻除了以上所說的通過控制端口（Console）進(jìn)行初始配置外，也可以通過telnet和Tffp配置方式進(jìn)行高級(jí)配置，但Telnet配置方式都是在命令方式中配置，難度較大，而Tffp方式需要專用的Tffp服務(wù)器軟

10、件，但配置界面比較友好。防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），進(jìn)入這四種用戶模式的命令也與路由器一樣：普通用戶模式無需特別命令，啟動(dòng)后即進(jìn)入；進(jìn)入特權(quán)用戶模式的命令為"enable"；進(jìn)入配置模式的命令為"config terminal"；而進(jìn)入端口模式的命令為"interface ethernet（）"。不過因?yàn)榉阑饓Φ亩丝跊]有路由器那么復(fù)雜，所

11、以通常把端口模式歸為配置模式，統(tǒng)稱為"全局配置模式"。2.防火墻的具體配置步驟 1. 將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上。 2. 打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。3. 運(yùn)行筆記本電腦Windows系統(tǒng)中的超級(jí)終端（HyperTerminal）程序（通常在"附件"程序組中）。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣，參見本教程前面有關(guān)介紹。 4. 當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示"pixfirewall>"的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)

12、入的是防火墻用戶模式。可以進(jìn)行進(jìn)一步的配置了。5. 輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。6. 輸入命令： configure terminal,進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。（1）. 首先配置防火墻的網(wǎng)卡參數(shù)（以只有1個(gè)LAN和1個(gè)WAN接口的防火墻配置為例）Interface ethernet0 auto # 0號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為WAN網(wǎng)卡，"auto"選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類型Interface ethernet1 auto（2）. 配置防火墻內(nèi)、外部網(wǎng)卡的IP地址IP address inside ip_add

13、ress netmask # Inside代表內(nèi)部網(wǎng)卡 IP address outside ip_address netmask # outside代表外部網(wǎng)卡 （3）. 指定外部網(wǎng)卡的IP地址范圍：global 1 ip_address-ip_address （4）. 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址 nat 1 ip_address netmask（5）. 配置某些控制選項(xiàng)：conduit global_ip port-port protocol foreign_ip netmask 其中，global_ip：指的是要控制的地址；port：指的是所作用的端口，0代表所有端口；protocol：指

14、的是連接協(xié)議，比如：TCP、UDP等；foreign_ip：表示可訪問的global_ip外部IP地址；netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。7. 配置保存：wr mem8. 退出當(dāng)前模式 9. 查看當(dāng)前用戶模式下的所有可用命令：show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡單功能描述。10. 查看端口狀態(tài)：show interface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。11. 查看靜態(tài)地址映射:show static，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。四 Cisco PIX防火墻的

15、基本配置1. 連接同樣是用一條串行電纜從電腦的COM口連到Cisco PIX 525防火墻的console口；2. 初始化配置 開啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的"超級(jí)終端"，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date(日期)、time(時(shí)間)、hostname(主機(jī)名稱)、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pix255>。3. enable命令輸入enable命令，進(jìn)入Pix 525特權(quán)用戶模式,默然密碼為空。如果要修改此

16、特權(quán)用戶模式密碼，則可用enable password命令，命令格式為：enable password password encrypted，這個(gè)密碼必須大于16位。Encrypted選項(xiàng)是確定所加密碼是否需要加密。4定義以太端口先必須用enable命令進(jìn)入特權(quán)用戶模式，然后輸入configure terminal（可簡稱為config t）,進(jìn)入全局配置模式模式。 在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outside必須命令配置激活。5. clock 配置時(shí)鐘，這也非

17、常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時(shí)間和日期都不準(zhǔn)確，也就無法正確分析記錄中的信息。這須在全局配置模式下進(jìn)行。6. 指定接口的安全級(jí)別指定接口安全級(jí)別的命令為nameif，分別為內(nèi)、外部網(wǎng)絡(luò)接口指定一個(gè)適當(dāng)?shù)陌踩?jí)別。在此要注意，防火墻是用來保護(hù)內(nèi)部網(wǎng)絡(luò)的，外部網(wǎng)絡(luò)是通過外部接口對(duì)內(nèi)部網(wǎng)絡(luò)構(gòu)成威脅的，所以要從根本上保障內(nèi)部網(wǎng)絡(luò)的安全，需要對(duì)外部網(wǎng)絡(luò)接口指定較高的安全級(jí)別，而內(nèi)部網(wǎng)絡(luò)接口的安全級(jí)別稍低，這主要是因?yàn)閮?nèi)部網(wǎng)絡(luò)通信頻繁、可信度高。在Cisco PIX系列防火墻中，安全級(jí)別的定義是由security（）這個(gè)參數(shù)決定的，數(shù)字越小安全級(jí)別越高，所以security

18、0是最高的，隨后通常是以10的倍數(shù)遞增，安全級(jí)別也相應(yīng)降低。7. 配置以太網(wǎng)接口IP地址所用命令為：ip address，如要配置防火墻上的內(nèi)部網(wǎng)接口IP地址為： ；外部網(wǎng)接口IP地址為： 。8. access-group 這個(gè)命令是把訪問控制列表綁定在特定的接口上。須在配置模式下進(jìn)行配置。命令格式為：access-group acl_ID in interface interface_name，其中的"acl_ID"是指訪問控制列表名稱，interface_name為網(wǎng)絡(luò)接口

19、名稱。9配置訪問列表 所用配置命令為：access-list，合格格式比較復(fù)雜。 它是防火墻的主要配置部分，上述格式中帶""部分是可選項(xiàng)，listnumber參數(shù)是規(guī)則號(hào)，標(biāo)準(zhǔn)規(guī)則號(hào)（listnumber1）是199之間的整數(shù)，而擴(kuò)展規(guī)則號(hào)（listnumber2）是100199之間的整數(shù)。它主要是通過訪問權(quán)限"permit"和"deny"來指定的，網(wǎng)絡(luò)協(xié)議一般有IPTCPUDPICMP等等。如只允許訪問通過防火墻對(duì)主機(jī):54進(jìn)行www訪問。其中的100表示訪問規(guī)則號(hào)，根據(jù)當(dāng)前已配置的規(guī)則條數(shù)來確定，不能與原來

20、規(guī)則的重復(fù)，也必須是正整數(shù)。關(guān)于這個(gè)命令還將在下面的高級(jí)配置命令中詳細(xì)介紹。10. 地址轉(zhuǎn)換（NAT）防火墻的NAT配置與路由器的NAT配置基本一樣，首先也必須定義供NAT轉(zhuǎn)換的內(nèi)部IP地址組，接著定義內(nèi)部網(wǎng)段。定義供NAT轉(zhuǎn)換的內(nèi)部地址組的命令是nat，它的格式為：nat (if_name) nat_id local_ip netmask max_conns em_limit，其中if_name為接口名；nat_id參數(shù)代表內(nèi)部地址組號(hào)；而local_ip為本地網(wǎng)絡(luò)地址；netmask為子網(wǎng)掩碼；max_conns為此接口上所允許的最大TCP連接數(shù)，默認(rèn)為"0"，表示不限

21、制連接；em_limit為允許從此端口發(fā)出的連接數(shù)，默認(rèn)也為"0"，即不限制。表示把所有網(wǎng)絡(luò)地址為.0，子網(wǎng)掩碼為的主機(jī)地址定義為1號(hào)NAT地址組。 隨后再定義內(nèi)部地址轉(zhuǎn)換后可用的外部地址池，它所用的命令為global,基本命令格式為： global (if_name) nat_id global_ip netmask max_conns em_limit ，各參數(shù)解釋同上。如：global (outside) 1 -4 netmask 將上述nat命令所定的內(nèi)部IP地址組轉(zhuǎn)換成175

22、.1.1.34的外部地址池中的外部IP地址，其子網(wǎng)掩耳盜鈴碼為。 11. Port Redirection with Statics1.命令這是靜態(tài)端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允許外部用戶通過一個(gè)特殊的IP地址/端口通過防火墻傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。其中重定向后的地址可以是單一外部地址、共享的外部地址轉(zhuǎn)換端口（PAT），或者是共享的外部端口。這種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務(wù)器，這種方式并不是直接與內(nèi)部服務(wù)器連接，而是通過端口重定向連接的，所以可使內(nèi)部服務(wù)器很安全。命令格式有兩

23、種，分別適用于TCP/UDP通信和非TCP/UDP通信：(1). static(internal_if_name, external_if_name)global_ipinterfacelocal_ipnetmask mask max_conns emb_limitnorandomseq（2）. static (internal_if_name, external_if_name) tcpudpglobal_ipinterface global_port local_ip local_port netmask mask max_conns emb_limit norandomseq 此命令中的

24、以上各參數(shù)解釋如下：internal_if_name：內(nèi)部接口名稱；external_if_name：外部接口名稱；tcpudp：選擇通信協(xié)議類型；global_ipinterface：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；netmask mask：本地子網(wǎng)掩碼；max_conns：允許的最大TCP連接數(shù)，默認(rèn)為"0"，即不限制；emb_limit：允許從此端口發(fā)起的連接數(shù)，默認(rèn)也為"0"，即不限制；norandomseq：不對(duì)數(shù)據(jù)包排序，此參數(shù)通常不用選。2實(shí)例現(xiàn)在我們舉一個(gè)實(shí)例，實(shí)例要求如下外部用戶向172.18.124.

25、99的主機(jī)發(fā)出Telnet請(qǐng)求時(shí)，重定向到.6。外部用戶向9的主機(jī)發(fā)出FTP請(qǐng)求時(shí)，重定向到.3。外部用戶向08的端口發(fā)出Telnet請(qǐng)求時(shí)，重定向到.4。外部用戶向防火墻的外部地址16發(fā)出Telnet請(qǐng)求時(shí)，重定向到.5。外部用戶向防火墻的外部地址16發(fā)出HTTP請(qǐng)求時(shí)，重定向到.5。外部用戶向防火墻的外部地址08的8080端口發(fā)出HTTP請(qǐng)求時(shí)，重定向到.7的80號(hào)端口。以上重寫向過程要求如圖2所示，防火墻的內(nèi)部端口IP地址為.2，外部端口地址為1

26、6。 以上各項(xiàng)重定向要求對(duì)應(yīng)的配置語句如下：static (inside,outside) tcp 9 telnet .6 telnet netmask 55 0 0static (inside,outside) tcp 9 ft.3 ftp netmask 55 0 0 static (inside,outside) tcp 08 telnet .4 telnet netmask 55 0 0 static (inside,outside) t

27、cp interface telnet .5 telnet netmask 55 0 0 static (inside,outside) tcp interface www .5 www netmask 55 0 0static (inside,outside) tcp 08 8080 .7 www netmask 55 0 0 12. 顯示與保存結(jié)果 顯示結(jié)果所用命令為：show config；保存結(jié)果所用命令為：write memory。五過濾型防火墻的訪問控制表（ACL）配置1. acc

28、ess-list：用于創(chuàng)建訪問規(guī)則 這一訪問規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個(gè)序號(hào)的規(guī)則可以看作一類規(guī)則，同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過 show access-list 命令看到。在這個(gè)命令中，又有幾種命令格式，分別執(zhí)行不同的命令。（1）創(chuàng)建標(biāo)準(zhǔn)訪問列表 命令格式：access-list normal special listnumber1 permit deny source-addr source-mask （2）創(chuàng)建擴(kuò)展訪問列表 命令格式：access-list normal special listnumber2 permit de

29、ny protocol source-addr source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 icmp-type icmp-code log （3）刪除訪問列表命令格式：no access-list normal special all listnumber subitem 上述命令參數(shù)說明如下：normal：指定規(guī)則加入普通時(shí)間段。 special：指定規(guī)則加入特殊時(shí)間段。listnumber1：是1到99之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問列表規(guī)則。 listnumber2：是100到199

30、之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問列表規(guī)則。permit：表明允許滿足條件的報(bào)文通過。 deny：表明禁止?jié)M足條件的報(bào)文通過。 protocol：為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時(shí)沒有端口比較的概念；為IP時(shí)有特殊含義，代表所有的IP協(xié)議。 source-addr：為源IP地址。 source-mask：為源IP地址的子網(wǎng)掩碼，在標(biāo)準(zhǔn)訪問列表中是可選項(xiàng)，不輸入則代表通配位為.0。 dest-addr：為目的IP地址。dest-mask：為目的地址的子網(wǎng)掩碼。 operator：端口操作符，在協(xié)議類型為TCP或UDP時(shí)支持端口比較，支持的比較操作有：等于（eq）、

31、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個(gè)端口。port1 在協(xié)議類型為TCP或UDP時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或065535之間的一個(gè)數(shù)值。port2 在協(xié)議類型為TCP或UDP且操作類型為range時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或065535之間的一個(gè)數(shù)值。icmp-type：在協(xié)議為ICMP時(shí)出現(xiàn)，代表ICMP報(bào)文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply）或者是0255之間的一個(gè)數(shù)值。icmp-code：在協(xié)議為ICMP，且沒有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表IC

32、MP碼，是0255之間的一個(gè)數(shù)值。log：表示如果報(bào)文符合條件，需要做日志。listnumber：為刪除的規(guī)則序號(hào)，是1199之間的一個(gè)數(shù)值。subitem：指定刪除序號(hào)為listnumber的訪問列表中規(guī)則的序號(hào)。例如，現(xiàn)要在華為的一款防火墻上配置一個(gè)"允許源地址為.0 網(wǎng)絡(luò)、目的地址為網(wǎng)絡(luò)的WWW訪問，但不允許使用FTP"的訪問規(guī)則。相應(yīng)配置語句只需兩行即可，如下：Quidway (config)#access-list 100 permit tc.0 eq www Quidway (co

33、nfig)#access-list 100 deny tc.0 eq ftp 2. clear access-list counters：清除訪問列表規(guī)則的統(tǒng)計(jì)信息命令格式：clear access-list counters listnumber 這一命令必須在特權(quán)用戶模式下進(jìn)行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號(hào)，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。如要在華為的一款包過濾路由器上清除當(dāng)前所使用的規(guī)則號(hào)為100的訪問規(guī)則統(tǒng)計(jì)信息。訪問配置語句為：clear access-list counters 10

34、0 如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息，則以上語句需改為：Quidway#clear access-list counters3. ip access-group 使用此命令將訪問規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來刪除相應(yīng)的設(shè)置，對(duì)應(yīng)格式為：ip access-group listnumber in out 此命令須在端口用戶模式下配置，進(jìn)入端口用戶模式的命令為：interface ethernet（），括號(hào)中為相應(yīng)的端口號(hào)，通常0為外部接口，而1為內(nèi)部接口。進(jìn)入后再用ip access-group 命令來配置訪問規(guī)則。listnumber參數(shù)為訪問規(guī)則號(hào)，是1199之間的一個(gè)數(shù)

35、值（包括標(biāo)準(zhǔn)訪問規(guī)則和擴(kuò)展訪問規(guī)則兩類）；in 表示規(guī)則應(yīng)用于過濾從接口接收到的報(bào)文；而out表示規(guī)則用于過濾從接口轉(zhuǎn)發(fā)出去的報(bào)文。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號(hào)的大小進(jìn)行排列，序號(hào)大的排在前面，也就是優(yōu)先級(jí)高。對(duì)報(bào)文進(jìn)行過濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過濾結(jié)果的方法來加快過濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問列表中；在同一個(gè)序號(hào)的訪問列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來查看。例如將規(guī)則100應(yīng)用于過濾從外部網(wǎng)絡(luò)接口上接收到的報(bào)文，配置語句為（同樣為在傾為包過濾路由器上）：ip access-group 100 in 如果要?jiǎng)h除某個(gè)訪問控制表列綁定設(shè)置，則可用no ip access-group listnumber in out 命令。4. show access-list 此配