ne16e08e05路由器维护手册vrp311-包过滤防火墙

1、目 目录1概1滤1.1 简1.2 规目 目录1概1滤1.1 简1.2 规. 2-实实施ACL策略的基本方2.2 命2.4 2.4.1 3411i1滤第1滤概 滤的控IP滤考虑和s control 控制列表。每一条 ACL 规则由若干条一种规则，ACL作 址、源/、承载的上层协议等）ACL的网络和数据免遭外来者1滤第1滤概 滤的控IP滤考虑和s control 控制列表。每一条 ACL 规则由若干条一种规则，ACL作 址、源/、承载的上层协议等）ACL的网络和数据免遭外来者。控址、源/。滤1-1滤表1-表1-1-支持的标准数字支持的扩展数字每个ACL1支持标准1滤表1-表1-1-支持的标准数字支

2、持的扩展数字每个ACL1支持标准2支持扩展34支持命名2.1 图2- 2被保护的网络，受限制的网络，大部分场合被保护网络就是企业的3局域网而言， erneternet2-2.1 图2- 2被保护的网络，受限制的网络，大部分场合被保护网络就是企业的3局域网而言， erneternet2-45的方向，一般可以遵守以下原则：为不信任erneternet。6.根据网络情况配置合适控制列表控制列表（ACL），ACL滤12312ernet3按照上述的方法认定网络1 是被保护网络，网络2 是不信任网络。Eth245的方向，一般可以遵守以下原则：为不信任erneternet。6.根据网络情况配置合适控制列表控

3、制列表（ACL），ACL滤12312ernet3按照上述的方法认定网络1 是被保护网络，网络2 是不信任网络。Eth2。2PC21Eth2不希望网络1中的Server1对2网络2Eth2同样3Server1，Eth3。2-ACL图2-3PC的。PC1-PC2 的连接PC2-PC1 的连接。对于一个完整的 。也是如此311 21 。1 2 控制列表控制表是针对连接的（就是针对图 3 中的连接 1、连接 2）如果，PC2 ACL图2-3PC的。PC1-PC2 的连接PC2-PC1 的连接。对于一个完整的 。也是如此311 21 。1 2 控制列表控制表是针对连接的（就是针对图 3 中的连接 1、连

4、接 2）如果，PC2 处于不信任网络，PC1 PC1施2 2 PC1IP地址为：，PC2IPPC1、PC2 之间2ruledenyipsourcedestination（从PC2-PC1 ）将如上控制列表应用在接口2 的入方向上2-连接连接如果，PC2 处于不信任网络，PC1 PC1 PC2根据上个小节介绍的内容，选定了需要在接口2的出1 为PC1、PC2 之间的1ruledenytcpeqQuidway firewall如果，PC2 处于不信任网络，PC1 PC1 PC2根据上个小节介绍的内容，选定了需要在接口2的出1 为PC1、PC2 之间的1ruledenytcpeqQuidway fi

5、rewallenableQuidway firewall eny当displaycurfirewallenable。debugip packetIPIPVe= 4, HdrLen = 5, TOS = 0, Total Len = ID = 6918, Offset = 0, TTL = 32, Protocol = 1, Chksum = 1090 s = 8, d = 0, i f = Ethernet1/0/0, Received的的debug firewall 2-debug firewall Show s-list命令查控制列表，观Qui dwaydi splay acl 100 A

6、dvanced ACL100, 3 rules,rudebug firewall Show s-list命令查控制列表，观Qui dwaydi splay acl 100 Advanced ACL100, 3 rules,rul e 0 deny ip (0 times ma tchedrul e 1 permit ip source 0 des tination 0 (0 times matched) rul e 2 permit tcp source 0 .0.255. 255 destination 0.0. 255.255 (0 times matched例如如上的显示信息配控制列表的

7、本意是想允许从到 Deny ip any any22 控TCP/UDP TCP/UDP 控制列表带 TCP/UDP 端口都使用在口方向。一般配置的 2-2.2 1.displayfirewall-2-debuggingfirewallpacket-filterall|icmp|tcp|udp|others2.2 1.displayfirewall-2-debuggingfirewallpacket-filterall|icmp|tcp|udp|others erface-name 打滤调试信息开displayfirewall-isticsall erface-name显的统计信dis fire

8、wall-sisticsall erface: Ethernet2/2/0Out-bound Policy: acl 100 Fragments matched From 2001-02-18 21:03:47 to 2001-02-19 0 packets, 0 bytes, 0% 0 packets, 0 bytes, 0% 0 packets, 0 bytes, 0% permitted 0packets,0bytes,0%denieddefault, Totally0packets,0bytes,0%permitted, Totally 0 packets, 0 bytes, 0% d

9、enied.2.3 日志/2-日志/告警格%Feb 19 16:56:03 2001 Quidway FILTER/5/IPFILTER:Slot=2;Ethernet2/2/0 OutBound List 100 denyicmp2.3 日志/2-日志/告警格%Feb 19 16:56:03 2001 Quidway FILTER/5/IPFILTER:Slot=2;Ethernet2/2/0 OutBound List 100 denyicmp11-79(00)1Packet fromerface说的某个规则必须要求在ACL规则中配置logging 选项。参数说icmp：有关ICMPtcp

10、：有关TCPudp：有关UDPothers：除了 ICMP、TCP、UDP 外其它所有类型的报文调试信息all：有关全部数据包的调试信息显示说*0.83341075 Quidway FILTER/8/FOutBound List 100 denyicmp11-79(00)60byteserface*0.83342495 Quidway FILTER/8/FOutBound List 100 denyicmp11-79(00)60byteserface*0.83343995 Quidway FILTER/8/FOutBound List 100 denyicmp11-79(00)60bytese

11、rface*0.83345495 Quidway FILTER/8/FOutBound List 100 denyicmp11-79(00)60byteserface使用说2.4 2-命令格内使用说DebugipDebugfirewall2.4 2-命令格内使用说DebugipDebugfirewallDisplayDisplayip3章 第3章 典型组网应用QuidwayEthernet0/0/0FTP 服务器地址为WWW 子网为 ，其中net 为 ，公司对外地址为 。在路由器上配置了地址转换这PC机可ernetPC 3章 第3章 典型组网应用QuidwayEthernet0/0/0FTP

12、服务器地址为WWW 子网为 ，其中net 为 ，公司对外地址为 。在路由器上配置了地址转换这PC机可ernetPC 特定图3-滤3-FTP FTP WWW4章 第4章 基本配置方法# Quidway。Quidwayfirewall enable al# Quidwayfirewall de4章 第4章 基本配置方法# Quidway。Quidwayfirewall enable al# Quidwayfirewall default permi# 控制列表 101Quidwayacl number # 配置规所有IP包通过Qui dway-ac l-adv-101rudeny # Quidwa

13、y-acl-adv-101 Quidway-acl -adv-101 Quidway-acl -adv-101 Quidway-acl -adv-101 rule rule ruru permipermi source source sourcesource129.38 .1 129.38 .1 129.38 .1 129.38 .1 0000# 创控制列表 102Quidway acl number # Qui dway-ac l-adv-102202. 38.160. 1 rule permitcp source 202 .39.2.3 0 dest inat配置规则允许特定用户从外部网取得数据（1024的包）Qu