思科路由器防火墻如何配置

時(shí)間：2016-03-21 16:17:47 權(quán)威724由分享

思科路由器防火墻如何配置

　　思科擁有豐富的行業(yè)經(jīng)驗(yàn)、先進(jìn)的技術(shù)，路由器功能也在世界遙遙領(lǐng)先，那么你知道思科路由器防火墻如何配置嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于思科路由器防火墻如何配置的相關(guān)資料，供你參考。

　　思科路由器防火墻如何配置的方法：

　　一、access-list 用于創(chuàng)建訪問(wèn)規(guī)則。

　　(1)創(chuàng)建標(biāo)準(zhǔn)訪問(wèn)列表

　　access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

　　(2)創(chuàng)建擴(kuò)展訪問(wèn)列表

　　access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

　　(3)刪除訪問(wèn)列表

　　no access-list { normal | special } { all | listnumber [ subitem ] }

　　【參數(shù)說(shuō)明】

　　normal 指定規(guī)則加入普通時(shí)間段。

　　special 指定規(guī)則加入特殊時(shí)間段。

　　listnumber1 是1到99之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問(wèn)列表規(guī)則。

　　listnumber2 是100到199之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問(wèn)列表規(guī)則。

　　permit 表明允許滿(mǎn)足條件的報(bào)文通過(guò)。

　　deny 表明禁止?jié)M足條件的報(bào)文通過(guò)。

　　protocol 為協(xié)議類(lèi)型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時(shí)沒(méi)有端口比較的概念;為IP時(shí)有特殊含義，代表所有的IP協(xié)議。

　　source-addr 為源地址。

　　source-mask 為源地址通配位，在標(biāo)準(zhǔn)訪問(wèn)列表中是可選項(xiàng)，不輸入則代表通配位為0.0.0.0.

　　dest-addr 為目的地址。

　　dest-mask 為目的地址通配位。

　　operator[可選] 端口操作符，在協(xié)議類(lèi)型為T(mén)CP或UDP時(shí)支持端口比較，支持的比較操作有：等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符為range,則后面需要跟兩個(gè)端口。

　　port1 在協(xié)議類(lèi)型為T(mén)CP或UDP時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值(如telnet)或0~65535之間的一個(gè)數(shù)值。

　　port2 在協(xié)議類(lèi)型為T(mén)CP或UDP且操作類(lèi)型為range時(shí)出現(xiàn);可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值(如telnet)或0~65535之間的一個(gè)數(shù)值。

　　icmp-type[可選] 在協(xié)議為ICMP時(shí)出現(xiàn)，代表ICMP報(bào)文類(lèi)型;可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值(如echo-reply)或者是0~255之間的一個(gè)數(shù)值。

　　icmp-code在協(xié)議為ICMP且沒(méi)有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn);代表ICMP碼，是0~255之間的一個(gè)數(shù)值。

　　log [可選] 表示如果報(bào)文符合條件，需要做日志。

　　listnumber 為刪除的規(guī)則序號(hào)，是1~199之間的一個(gè)數(shù)值。

　　subitem[可選] 指定刪除序號(hào)為listnumber的訪問(wèn)列表中規(guī)則的序號(hào)。

　　【缺省情況】

　　系統(tǒng)缺省不配置任何訪問(wèn)規(guī)則。

　　【命令模式】

　　全局配置模式

　　【使用指南】

　　同一個(gè)序號(hào)的規(guī)則可以看作一類(lèi)規(guī)則;所定義的規(guī)則不僅可以用來(lái)在接口上過(guò)濾報(bào)文，也可以被如DDR等用來(lái)判斷一個(gè)報(bào)文是否是感興趣的報(bào)文，此時(shí)，permit與deny表示是感興趣的還是不感興趣的。

　　使用協(xié)議域?yàn)镮P的擴(kuò)展訪問(wèn)列表來(lái)表示所有的IP協(xié)議。

　　同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過(guò) show access-list 命令看到。

　　【舉例】

　　允許源地址為10.1.1.0 網(wǎng)絡(luò)、目的地址為10.1.2.0網(wǎng)絡(luò)的WWW訪問(wèn)，但不允許使用FTP.

　　Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www

　　Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

　　【相關(guān)命令】

　　ip access-group

　　二、clear access-list counters 清除訪問(wèn)列表規(guī)則的統(tǒng)計(jì)信息。

　　clear access-list counters [ listnumber ]

　　【參數(shù)說(shuō)明】

　　listnumber [可選] 要清除統(tǒng)計(jì)信息的規(guī)則的序號(hào)，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。

　　【缺省情況】

　　任何時(shí)候都不清除統(tǒng)計(jì)信息。

　　【命令模式】

　　特權(quán)用戶(hù)模式

　　【使用指南】

　　使用此命令來(lái)清除當(dāng)前所用規(guī)則的統(tǒng)計(jì)信息，不指定規(guī)則編號(hào)則清除所有規(guī)則的統(tǒng)計(jì)信息。

　　【舉例】

　　例1:清除當(dāng)前所使用的序號(hào)為100的規(guī)則的統(tǒng)計(jì)信息。

　　Quidway#clear access-list counters 100

　　例2:清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息。

　　Quidway#clear access-list counters

　　【相關(guān)命令】

　　access-list

　　三、firewall 啟用或禁止防火墻。

　　firewall { enable | disable }

　　【參數(shù)說(shuō)明】

　　enable 表示啟用防火墻。

　　disable 表示禁止防火墻。

　　【缺省情況】

　　系統(tǒng)缺省為禁止防火墻。

　　【命令模式】

　　全局配置模式

　　【使用指南】

　　使用此命令來(lái)啟用或禁止防火墻，可以通過(guò)show firewall命令看到相應(yīng)結(jié)果。如果采用了時(shí)間段包過(guò)濾，則在防火墻被關(guān)閉時(shí)也將被關(guān)閉;該命令控制防火墻的總開(kāi)關(guān)。在使用 firewall disable 命令關(guān)閉防火墻時(shí)，防火墻本身的統(tǒng)計(jì)信息也將被清除。

　　【舉例】

　　啟用防火墻。

　　Quidway(config)#firewall enable

　　【相關(guān)命令】

　　access-list,ip access-group

　　四、firewall default 配置防火墻在沒(méi)有相應(yīng)的訪問(wèn)規(guī)則匹配時(shí)，缺省的過(guò)濾方式。

　　firewall default { permit | deny }

　　【參數(shù)說(shuō)明】

　　permit 表示缺省過(guò)濾屬性設(shè)置為"允許".

　　deny 表示缺省過(guò)濾屬性設(shè)置為"禁止".

　　【缺省情況】

　　在防火墻開(kāi)啟的情況下，報(bào)文被缺省允許通過(guò)。

　　【命令模式】

　　全局配置模式

　　【使用指南】

　　當(dāng)在接口應(yīng)用的規(guī)則沒(méi)有一個(gè)能夠判斷一個(gè)報(bào)文是否應(yīng)該被允許還是禁止時(shí)，缺省的過(guò)濾屬性將起作用;如果缺省過(guò)濾屬性是"允許",則報(bào)文可以通過(guò)，否則報(bào)文被丟棄。

　　【舉例】

　　設(shè)置缺省過(guò)濾屬性為"允許".

　　Quidway(config)#firewall default permit

　　五、ip access-group 使用此命令將規(guī)則應(yīng)用到接口上。使用此命令的no形式來(lái)刪除相應(yīng)的設(shè)置。

　　ip access-group listnumber { in | out }

　　[ no ] ip access-group listnumber { in | out }

　　【參數(shù)說(shuō)明】

　　listnumber 為規(guī)則序號(hào)，是1~199之間的一個(gè)數(shù)值。

　　in 表示規(guī)則用于過(guò)濾從接口收上來(lái)的報(bào)文。

　　out 表示規(guī)則用于過(guò)濾從接口轉(zhuǎn)發(fā)的報(bào)文。

　　【缺省情況】

　　沒(méi)有規(guī)則應(yīng)用于接口。

　　【命令模式】

　　接口配置模式。

　　【使用指南】

　　使用此命令來(lái)將規(guī)則應(yīng)用到接口上;如果要過(guò)濾從接口收上來(lái)的報(bào)文，則使用 in 關(guān)鍵字;如果要過(guò)濾從接口轉(zhuǎn)發(fā)的報(bào)文，使用out 關(guān)鍵字。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類(lèi)不同的規(guī)則;這些規(guī)則之間按照規(guī)則序號(hào)的大小進(jìn)行排列，序號(hào)大的排在前面，也就是優(yōu)先級(jí)高。對(duì)報(bào)文進(jìn)行過(guò)濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過(guò)濾結(jié)果的方法來(lái)加快過(guò)濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問(wèn)列表中;在同一個(gè)序號(hào)的訪問(wèn)列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來(lái)查看。

　　【舉例】

　　將規(guī)則101應(yīng)用于過(guò)濾從以太網(wǎng)口收上來(lái)的報(bào)文。

　　Quidway(config-if-Ethernet0)#ip access-group 101 in

　　【相關(guān)命令】

　　access-list

　　六、settr 設(shè)定或取消特殊時(shí)間段。

　　settr begin-time end-time

　　no settr

　　【參數(shù)說(shuō)明】

　　begin-time 為一個(gè)時(shí)間段的開(kāi)始時(shí)間。

　　end-time 為一個(gè)時(shí)間段的結(jié)束時(shí)間，應(yīng)該大于開(kāi)始時(shí)間。

　　【缺省情況】

　　系統(tǒng)缺省沒(méi)有設(shè)置時(shí)間段，即認(rèn)為全部為普通時(shí)間段。

　　【命令模式】

　　全局配置模式

　　【使用指南】

　　使用此命令來(lái)設(shè)置時(shí)間段;可以最多同時(shí)設(shè)置6個(gè)時(shí)間段，通過(guò)show timerange 命令可以看到所設(shè)置的時(shí)間。如果在已經(jīng)使用了一個(gè)時(shí)間段的情況下改變時(shí)間段，則此修改將在一分鐘左右生效(系統(tǒng)查詢(xún)時(shí)間段的時(shí)間間隔)。設(shè)置的時(shí)間應(yīng)該是24小時(shí)制。如果要設(shè)置類(lèi)似晚上9點(diǎn)到早上8點(diǎn)的時(shí)間段，可以設(shè)置成"settr 21:00 23:59 0:00 8:00",因?yàn)樗O(shè)置的時(shí)間段的兩個(gè)端點(diǎn)屬于時(shí)間段之內(nèi)，故不會(huì)產(chǎn)生時(shí)間段內(nèi)外的切換。另外這個(gè)設(shè)置也經(jīng)過(guò)了2000問(wèn)題的測(cè)試。

　　【舉例】

　　例1:設(shè)置時(shí)間段為8:30 ~ 12:00,14:00 ~ 17:00.

　　Quidway(config)#settr 8:30 12:00 14:00 17:00

　　例2: 設(shè)置時(shí)間段為晚上9點(diǎn)到早上8點(diǎn)。

　　Quidway(config)#settr 21:00 23:59 0:00 8:0

　　【相關(guān)命令】

　　timerange,show timerange

　　七、show access-list 顯示包過(guò)濾規(guī)則及在接口上的應(yīng)用。

　　show access-list [ all | listnumber | interface interface-name ]

　　【參數(shù)說(shuō)明】

　　all 表示所有的規(guī)則，包括普通時(shí)間段內(nèi)及特殊時(shí)間段內(nèi)的規(guī)則。

　　listnumber 為顯示當(dāng)前所使用的規(guī)則中序號(hào)為listnumber的規(guī)則。

　　interface 表示要顯示在指定接口上應(yīng)用的規(guī)則序號(hào)。

　　interface-name 為接口的名稱(chēng)。

　　【命令模式】

　　特權(quán)用戶(hù)模式

　　【使用指南】

　　使用此命令來(lái)顯示所指定的規(guī)則，同時(shí)查看規(guī)則過(guò)濾報(bào)文的情況。每個(gè)規(guī)則都有一個(gè)相應(yīng)的計(jì)數(shù)器，如果用此規(guī)則過(guò)濾了一個(gè)報(bào)文，則計(jì)數(shù)器加1;通過(guò)對(duì)計(jì)數(shù)器的觀察可以看出所配置的規(guī)則中，哪些規(guī)則是比較有效，而哪些基本無(wú)效。可以通過(guò)帶interface關(guān)鍵字的show access-list命令來(lái)查看某個(gè)接口應(yīng)用規(guī)則的情況。

　　【舉例】

　　例1:顯示當(dāng)前所使用的序號(hào)為100的規(guī)則。

　　Quidway#show access-list 100

　　Using normal packet-filtering access rules now.

　　100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)

　　100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)

　　100 deny udp any any eq rip (no matches -- rule 3)

　　例2: 顯示接口Serial0上應(yīng)用規(guī)則的情況。

　　Quidway#show access-list interface serial 0

　　Serial0:

　　access-list filtering In-bound packets : 120

　　access-list filtering Out-bound packets: None

　　【相關(guān)命令】

　　access-list

　　八、show firewall 顯示防火墻狀態(tài)。

　　show firewall

　　【命令模式】

　　特權(quán)用戶(hù)模式

　　【使用指南】

　　使用此命令來(lái)顯示防火墻的狀態(tài)，包括防火墻是否被啟用，啟用防火墻時(shí)是否采用了時(shí)間段包過(guò)濾及防火墻的一些統(tǒng)計(jì)信息。

　　【舉例】

　　顯示防火墻狀態(tài)。

　　Quidway#show firewall

　　Firewall is enable, default filtering method is 'permit'.

　　TimeRange packet-filtering enable.

　　InBound packets: None;

　　OutBound packets: 0 packets, 0 bytes, 0% permitted,

　　0 packets, 0 bytes, 0% denied,

　　2 packets, 104 bytes, 100% permitted defaultly,

　　0 packets, 0 bytes, 100% denied defaultly.

　　From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.

　　【相關(guān)命令】

　　firewall

　　九、show isintr 顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。

　　show isintr

　　【命令模式】

　　特權(quán)用戶(hù)模式

　　【使用指南】

　　使用此命令來(lái)顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。

　　【舉例】

　　顯示當(dāng)前時(shí)間是否在時(shí)間段之內(nèi)。

　　Quidway#show isintr

　　It is NOT in time ranges now.

　　【相關(guān)命令】

　　timerange,settr

　　十、show timerange 顯示時(shí)間段包過(guò)濾的信息。

　　show timerange

　　【命令模式】

　　特權(quán)用戶(hù)模式

　　【使用指南】

　　使用此命令來(lái)顯示當(dāng)前是否允許時(shí)間段包過(guò)濾及所設(shè)置的時(shí)間段。

　　【舉例】

　　顯示時(shí)間段包過(guò)濾的信息。

　　Quidway#show timerange

　　TimeRange packet-filtering enable.

　　beginning of time range:

　　01:00 - 02:00

　　03:00 - 04:00

　　end of time range.

　　【相關(guān)命令】

　　timerange,settr

　　十一、timerange 啟用或禁止時(shí)間段包過(guò)濾功能。

　　timerange { enable | disable }

　　【參數(shù)說(shuō)明】

　　enable 表示啟用時(shí)間段包過(guò)濾。

　　disable 表示禁止采用時(shí)間段包過(guò)濾。

　　【缺省情況】

　　系統(tǒng)缺省為禁止時(shí)間段包過(guò)濾功能。

　　【命令模式】

　　全局配置模式

　　【使用指南】

　　使用此命令來(lái)啟用或禁止時(shí)間段包過(guò)濾功能，可以通過(guò)show firewall命令看到，也可以通過(guò)show timerange命令看到配置結(jié)果。在時(shí)間段包過(guò)濾功能被啟用后，系統(tǒng)將根據(jù)當(dāng)前的時(shí)間和設(shè)置的時(shí)間段來(lái)確定使用時(shí)間段內(nèi)(特殊)的規(guī)則還是時(shí)間段外(普通)的規(guī)則。系統(tǒng)查詢(xún)時(shí)間段的精確度為1分鐘。所設(shè)置的時(shí)間段的兩個(gè)端點(diǎn)屬于時(shí)間段之內(nèi)。

　　【舉例】

　　啟用時(shí)間段包過(guò)濾功能。

　　Quidway(config)#timerange enable

　　【相關(guān)命令】

　　settr,show timerange

　　看過(guò)文章“思科路由器防火墻如何配置"的人還看了：

　　1.利用腳本配置思科路由器教程

　　2.思科配置常見(jiàn)問(wèn)題及其解決方法

　　3.思科路由器怎么阻斷局域網(wǎng)病毒傳播

　　4.當(dāng)代防火墻技術(shù)到底有什么問(wèn)題

　　5.如何設(shè)置思科路由器密碼

　　6.思科IOS防止遭受IP地址欺騙攻擊的三種辦法