不少网友都关注了路由器如何设置防火墙和一些关于路由器设置防火墙关闭的话题,但是都不是特别了解,那接下来听小编的讲解吧!
路由器如何设置防火墙
一.access-list 用于建立会见策划啦。
(1)建立标-准会见列表
access-list [ normal | special ] listnumber1 source-addr [ source-mask ](2)建立扩大会见列表
access-list [ normal | special ] listnumber2 protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]
(3)删除会见列表
no access-list
【参数讲明】
normal 指定策划参加平凡时间段拉。
special 指定策划参加特别时间段啦。
listnumber1 是1到99之中的一位数值,表现策划是标-准会见列表策划啦。
listnumber2 是100到199之中的一位数值,表现策划是扩大会见列表策划拉。
permit 讲明同意满足条件的报文经过呢。
deny 讲明不准满足条件的报文经过呀。
protocol 为协定类别,支撑ICMP.TCP.UDP等,其余的协定也支撑,这个时候有无端口对比的观点;为IP时有特别含意,代表一切的IP协定呀。
source-addr 为源地址啦。
source-mask 为源地址通配位,在标-准会见列表中是可选项,不输出则代表通配位为0.0.0.0了。
dest-addr 为目标位置拉。
dest-mask 为目标位置通配位啦。
operator[可选] 端口操作符,在协定类别为TCP或者UDP时支撑端口对比,支撑的对比操纵有即是(eq).大于(gt).小于(lt).不即是(neq)或者介于(range);假如操作符为range,则以后须要跟2个端口了。
port1 在协定类别为TCP或者UDP时出-现,能够为关键字所设定的预设值(如telnet)或者0~65535之中的一位数值呢。
port2 在协定类别为TCP或者UDP且操纵类别为range时出-现;能够为关键字所设定的预设值(如telnet)或者0~65535之中的一位数值呀。
icmp-type[可选] 在协定为ICMP时出-现,代表ICMP报文类别;能够是关键字所设定的预设值(如echo-reply)或许是0~255之中的一位数值呢。
icmp-code在协定为ICMP且有无挑选所设定的预设值时出-现;代表ICMP码,是0~255之中的一位数值呀。
log [可选] 表现假如报文符合条件,须要作日记呢。
listnumber 为删除的策划序号,是1~199之中的一位数值呀。
subitem[可选] 指定删除序号为listnumber的会见列表中策划的序号拉。
【缺省情形】
体系缺省不设置任何会见策划啦。
【下令形式】
全局设置形式
【使用指南】
同一个序号的策划能够看做一类策划;所界说的策划不单能够用来在接口上过滤报文,也能够被如DDR等用来推断一位报文是还是不是感兴趣的报文,这个时候,permit与deny表现是感兴趣的仍然不感兴趣的呢。
运用协定域为IP的扩大会见列表来表现一切的IP协定了。
同一个序号之中的策划根据必定的准则举行系列和挑选,这一个顺着规律能够经过 show access-list 下令看到拉。
【举例】
同意源地址为10.1.1.0 互联网.目标位置为10.1.2.0互联网的WWW会见,但不同意运用FTP了。
Quidway(config)access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相干下令】
ip access-group 两.clear access-list counters 消除会见列表策划的统计信息呀。
clear access-list counters [ listnumber ]
【参数讲明】
listnumber [可选] 要消除统计信息的策划的序号,如不指定,则消除全部的策划的统计信息啦。
【缺省情形】
任何时刻都不消除统计信息拉。
【下令形式】
特权用户形式
【使用指南】
运用此下令来消除现在所用策划的统计信息,不指定策划编号则消除全部策划的统计信息啦。
【举例】
例1消除现在所运用的序号为100的策划的统计信息拉。
Quidwayclear access-list counters
【相干下令】
access-list 三.firewall 启用或者不准防火墙拉。
firewall
【参数讲明】
enable 表现启用防火墙呢。
disable 表现不准防火墙呢。
【缺省情形】
体系缺省为不准防火墙呢。
【下令形式】
全局设置形式
【使用指南】
运用此下令来启用或者不准防火墙,能够经过show firewall下令看到响应结局拉。假如选用了时间段包过滤,则在防火墙被封闭时也将被封闭;该下令掌控防火墙的总开关了。在运用 firewall disable 下令封闭防火墙时,防火墙自身的统计信息也将被消除啦。
【举例】
启用防火墙了。
Quidway(config)firewall default permit 五.ip access-group 运用此下令将策划使用到接口上呀。运用此下令的no情势来删除响应的配置了。
ip access-group listnumber
[ no ] ip access-group listnumber
【参数讲明】
listnumber 为策划序号,是1~199之中的一位数值呢。
in 表现策划用于过滤从接口收上来的报文呢。
out 表现策划用于过滤从接口转发的报文啦。
【缺省情形】
有无策划运用于接口呀。
【下令形式】
接口设置形式拉。
【使用指南】
运用此下令来将策划运用到接口上;假如要过滤从接口收上来的报文,则运用 in 关键字;假如要过滤从接口转发的报文,运用out 关键字啦。一位接口的一位方位上最多能够运用20类区别的策划;这一些策划之中根据策划序号的长短举行系列,序号大的排在前边,也便是优先级高呀。对报文举行过滤时,将选用发觉吻合的策划即得出过滤结局的办法来加速过滤速率呢。因此,倡议在设置策划时,尽力将对同一个互联网设置的策划放在同一个序号的会见列表中;在同一个序号的会见列表中,策划之中的系列和抉择顺着规律能够用show access-list下令来检察啦。
【举例】
将策划101使用于过滤从以太网口收上来的报文呢。
Quidway(config-if-Ethernet0)settr 8:30 12:00 14:00 17:00
例2 配置时间段为夜晚9点到凌晨8点啦。
Quidway(config)show access-list 100
Using normal packet-filtering access rules now.
100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)
100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)
100 deny udp any any eq rip (no matches -- rule 3)
例2 显现接口Serial0上运用策划的情形了。
Quidwayshow firewall
Firewall is enable, default filtering method is 'permit'.
TimeRange packet-filtering enable.
InBound packets: None;
OutBound packets: 0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
2 packets, 104 bytes, 100% permitted defaultly,
0 packets, 0 bytes, 100% denied defaultly.
From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.
【相干下令】
firewall 九.show isintr 显现现在时候能否在时间段以内了。
show isintr
【下令形式】
特权用户形式
【使用指南】
运用此下令来显现现在时候是不是在时间段以内啦。
【举例】
显现现在时候能否在时间段以内啦。
Quidwayshow timerange
TimeRange packet-filtering enable.
beginning of time range:
01:00 - 02:00
03:00 - 04:00
end of time range.
【相干下令】
timerange,settr 十一.timerange 启用或者不准时间段包过滤功效拉。
timerange
【参数讲明】
enable 表现启用时间段包过滤呀。
disable 表现不准选用时间段包过滤啦。
【缺省情形】
体系缺省为不准时间段包过滤功效呢。
【下令形式】
全局设置形式
【使用指南】
运用此下令来启用或者不准时间段包过滤功效,能够经过show firewall下令看到,也能够经过show timerange下令看到设置结局拉。在时间段包过滤功效被启用后,体系将依照现在的时候和配置的时间段来肯定运用时间段内(特别)的策划仍然时间段外(平凡)的策划呢。体系查时间段的精确度为1分钟呀。所配置的时间段的2个端点属于时间段以内呢。
【举例】
启用时间段包过滤功效了。
Quidway(config)#timerange enable
【相干下令】
settr,show timerange
本篇对于路由器如何设置防火墙和路由器设置防火墙关闭的题解完毕,希望能对大家有所帮助。
No Comment