华为防火墙常用命令

本文格式为Word版，下载可任意编辑——华为防火墙常用命令

华为路由器和防火墙配置命令总结

一、access-list用于创立访问规则。

（1）创立标准访问列表

access-list[normal|special]listnumber1{permit|deny}source-addr[source-mask]

（2）创立扩展访问列表

access-list[normal|special]listnumber2{permit|deny}protocolsource-addrsource-mask[operatorport1[port2]]dest-addrdest-mask[operatorport1[port2]|icmp-type[icmp-code]][log]

（3）删除访问列表

noaccess-list{normal|special}{all|listnumber[subitem]}

normal指定规则参与普通时间段。special指定规则参与特别时间段。

listnumber1是1到99之间的一个数值，表示规则是标准访问列表规则。listnumber2是100到199之间的一个数值，表示规则是扩展访问列表规则。permit说明允许满足条件的报文通过。deny说明阻止满足条件的报文通过。

protocol为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特别含义，代表所有的IP协议。source-addr为源地址。

source-mask为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为。

dest-addr为目的地址。

dest-mask为目的地址通配位。

operator[可选]端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；假使操作符为range，则后面需要跟两个端口。port1在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

port2在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

icmp-type[可选]在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。

icmp-code在协议为ICMP且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。

log[可选]表示假使报文符合条件，需要做日志。

listnumber为删除的规则序号，是1~199之间的一个数值。

subitem[可选]指定删除序号为listnumber的访问列表中规则的序号。

系统缺省不配置任何访问规则。全局配置模式

同一个序号的规则可以看作一类规则；所定义的规则不仅可以用来在接口上过滤报文，也可以被如DDR等用来判断一个报文是否是感兴趣的报文，此时，permit与deny表示是感兴趣的还是不感兴趣的。

使用协议域为IP的扩展访问列表来表示所有的IP协议。

同一个序号之间的规则依照一定的原则进行排列和选择，这个顺序可以通过showaccess-list命令看到。

允许源地址为网络、目的地址为网络的访问，但不允许使用FTP。

Quidway(config)#access-list100permittcp5555eq

Quidway(config)#access-list100denytcp5555eqftp

ipaccess-group

二、clearaccess-listcounters清除访问列表规则的统计信息。clearaccess-listcounters[listnumber]

listnumber[可选]要清除统计信息的规则的序号，如不指定，则清除所有的规则的

统计信息。

任何时候都不清除统计信息。

特权用户模式

使用此命令来清除当前所用规则的统计信息，不指定规则编号则清除所有规则的统计信息。

例1：清除当前所使用的序号为100的规则的统计信息。Quidway#clearaccess-listcounters100

例2：清除当前所使用的所有规则的统计信息。Quidway#clearaccess-listcounters

access-list

三、firewall启用或阻止防火墙。

firewall{enable|disable}

enable表示启用防火墙。disable表示阻止防火墙。

系统缺省为阻止防火墙。

全局配置模式

使用此命令来启用或阻止防火墙，可以通过showfirewall命令看到相应结果。假使采用了时间段包过滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙的总开关。在使用firewalldisable命令关闭防火墙时，防火墙本身的统计信息也将被清除。

启用防火墙。

Quidway(config)#firewallenable

access-list，ipaccess-group

四、firewalldefault配置防火墙在没有相应的访问规则匹配时，缺省的过滤方式。

firewalldefault{permit|deny}

permit表示缺省过滤属性设置为“允许〞。

deny表示缺省过滤属性设置为“阻止〞。

在防火墙开启的状况下，报文被缺省允许通过。

全局配置模式

当在接口应用的规则没有一个能够判断一个报文是否应当被允许还是阻止时，缺省的过滤属性将起作用；假使缺省过滤属性是“允许〞，则报文可以通过，否则报文被丢弃。

设置缺省过滤属性为“允许〞。

Quidway(config)#firewalldefaultpermit五、ipaccess-group使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。

ipaccess-grouplistnumber{in|out}

[no]ipaccess-grouplistnumber{in|out}