华为防火墙命令
华为防火墙命令是配置华为路由器和防火墙的重要命令,用于创建访问规则、管理访问列表、 Filter 报文等。下面将详细介绍华为防火墙命令的使用方法和参数解释。
access-list 命令
access-list 命令用于创建访问规则,管理访问列表和 Filter 报文。该命令的格式如下:
access-list [normal | special] listnumber {permit | deny} source-addr [source-mask] [protocol] [dest-addr] [dest-mask] [operator port1 [port2]] [icmp-type [icmp-code]] [log]
其中:
* normal:指定规则加入普通时间段。
* special:指定规则加入特殊时间段。
* listnumber:规则的序号,范围为 1-199。
* permit:允许满足条件的报文通过。
* deny:禁止满足条件的报文通过。
* source-addr:源地址。
* source-mask:源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为 0.0.0.0。
* protocol:协议类型,支持 ICMP、TCP、UDP 等。
* dest-addr:目的地址。
* dest-mask:目的地址通配位。
* operator [可选]:端口操作符,在协议类型为 TCP 或 UDP 时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range)。
* port1:在协议类型为 TCP 或 UDP 时出现,可以为关键字所设定的预设值(如telnet)或 0~65535 之间的一个数值。
* port2:在协议类型为 TCP 或 UDP 且操作类型为 range 时出现;可以为关键字所设定的预设值(如 telnet)或 0~65535 之间的一个数值。
* icmp-type [可选]:在协议为 ICMP 时出现,代表 ICMP 报文类型;可以是关键字所设定的预设值(如 echo-reply)或者是 0~255 之间的一个数值。
* icmp-code:在协议为 ICMP 且没有选择所设定的预设值时出现;代表 ICMP 码,是 0~255 之间的一个数值。
* log [可选]:表示如果报文符合条件,需要做日志。
clear access-list counters 命令
clear access-list counters 命令用于清除访问列表规则的统计信息。该命令的格式如下:
clear access-list counters [listnumber]
其中:
* listnumber [可选]:要清除统计信息的规则的序号,如不指定,则清除所有规则的统计信息。
使用指南
* 同一个序号的规则可以看作一类规则;所定义的规则不仅可以用来在接口上过滤报文,也可以被如 DDR 等用来判断一个报文是否是感兴趣的报文,此时,permit 与 deny 表示是感兴趣的还是不感兴趣的。
* 使用协议域为 IP 的扩展访问列表来表示所有的 IP 协议。
* 同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 show access-list 命令看到。
举例
允许源地址为 10.1.1.0 网络、目的地址为 10.1.2.0 网络的 WWW 访问,但不允许使用 FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
