01-防火墙命令
本章节下载 (161.82 KB)
目 录
1.1.1 display firewall ethernet-frame-filter
1.1.2 display firewall-statistics
1.1.5 firewall ethernet-frame-filter
1.1.6 firewall fragments-inspect
1.1.7 firewall fragments-inspect [ high | low ]
1.1.8 firewall ipv6 fragments-inspect
1.1.10 firewall packet-filter ipv6
1.1.11 reset firewall ethernet-frame-filter
1.1.12 reset firewall-statistics
【命令】
display firewall ethernet-frame-filter { all | dlsw | interface interface-type interface-number }
【视图】
任意视图
【参数】
all:查看所有的防火墙统计信息。
dlsw:查看数据流流经DLSw模块时的防火墙统计信息。
interface-type interface-number:指定接口类型和接口编号。
【描述】
display firewall ethernet-frame-filter命令用来查看以太网帧过滤情况的统计信息。
【举例】
# 查看接口GigabitEthernet0/0上以太网帧过滤情况的统计信息。
<VG> display firewall ethernet-frame-filter interface gigabitethernet 0/0
Interface: GigabitEthernet0/0
In-bound Policy: acl 4000
From 2005-06-07 14:46:59 to 2005-06-07 16:16:23
0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
0 packets, 0 bytes, 0% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 0 packets, 0 bytes, 0% permitted,
Totally 0 packets, 0 bytes, 0% denied.
Out-bound Policy: acl 4000
From 2005-06-07 15:59:23 to 2005-06-07 16:16:23
0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
0 packets, 0 bytes, 0% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 0 packets, 0 bytes, 0% permitted,
Totally 0 packets, 0 bytes, 0% denied.
表1-1 display firewall ethernet-frame-filter显示信息描述表
字段 |
描述 |
Interface |
配置了ACL规则的接口名称 |
In-bound Policy |
表示该接口上配置了入方向的ACL规则 |
Out-bound Policy |
表示该接口上配置了出方向的ACL规则 |
【命令】
display firewall-statistics { all | interface interface-type interface-number | fragments-inspect }
【视图】
任意视图
【参数】
all:查看显示所有接口的过滤报文统计信息。
interface-type interface-number:查看指定接口的过滤报文统计信息。
fragments-inspect:查看分片报文检测统计信息。
【描述】
display firewall-statistics命令用来查看防火墙的统计信息。
相关配置可参考命令firewall fragments-inspect。
& 说明:
可以记录的具有相同IP头16位标识的分片报文个数上限为50。
【举例】
# 查看分片报文检测信息。
<VG> display firewall-statistics fragments-inspect
Fragments inspection is enabled.
The high-watermark for clamping is 10000.
The low-watermark for clamping is 1000.
Current records for fragments inspection is 0.
表1-2 display firewall-statistics命令显示信息描述表
字段 |
描述 |
Fragments inspection is enabled |
防火墙分片报文检测功能开启 |
The high-watermark for clamping |
上限分片状态记录数目 |
The low-watermark for clamping |
下限分片状态记录数目 |
Current records for fragments inspection |
当前分片检测数 |
【命令】
firewall default { permit | deny }
【视图】
系统视图
【参数】
permit:默认过滤规则为允许。
deny:默认过滤规则为禁止。
【描述】
firewall default命令用来配置缺省过滤方式。
缺省情况下,缺省过滤方式为permit。
缺省过滤方式定义对访问控制列表以外数据包的处理方式。
【举例】
# 配置防火墙缺省过滤方式为deny。
<VG> system-view
[VG] firewall default deny
【命令】
firewall enable
undo firewall enable
【视图】
系统视图
【参数】
无
【描述】
firewall enable命令用来启用防火墙功能。undo firewall enable命令用来关闭防火墙功能。
缺省情况下,防火墙功能处于关闭状态。
【举例】
# 启用防火墙功能。
<VG> system-view
[VG] firewall enable
【命令】
firewall ethernet-frame-filter { acl-number | name acl-name } { inbound | outbound }
undo firewall ethernet-frame-filter { inbound | outbound }
【视图】
接口视图
【参数】
acl-number:二层访问控制列表号,取值范围为4000~4999。
name acl-name:指定二层访问控制列表的名称。acl-name表示二层ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,二层ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
【描述】
firewall ethernet-frame-filter命令用来配置接口的以太网帧过滤功能。undo firewall ethernet-frame-filter命令用来取消接口的以太网帧过滤功能。
需要注意的是,只有接口工作在网桥组下时,本配置才生效。
【举例】
# 在接口GigabitEthernet 0/0接口上配置入方向上的以太网帧过滤规则。
<VG> system-view
[VG] bridge enable
[VG] bridge 1 enable
[VG] interface gigabitethernet 0/0
[VG-GigabitEthernet0/0] bridge-set 1
[VG-GigabitEthernet0/0] firewall ethernet-frame-filter 4001 inbound
【命令】
firewall fragments-inspect
undo firewall fragments-inspect
【视图】
系统视图
【参数】
无
【描述】
firewall fragments-inspect命令用来打开分片报文检测开关。undo firewall fragments-inspect命令用来关闭分片报文检测开关。
缺省情况下,分片检测开关处于关闭状态。
相关配置可参考命令display firewall-statistics fragments-inspect,firewall packet-filter。
【举例】
# 打开分片报文检测开关。
<VG> system-view
[VG] firewall fragments-inspect
【命令】
firewall fragments-inspect [ high | low ] { number | default }
undo firewall fragments-inspect [ high | low ]
【视图】
系统视图
【参数】
high:指定分片报文检测门限的上限阈值。
low:指定分片报文检测门限的下限阈值。
number:分片状态记录数目,取值范围为100~10000。
default:分片状态记录数目的缺省值。
【描述】
firewall fragments-inspect [ high | low ]命令用来配置分片报文检测门限。undo firewall fragments-inspect [ high | low ]命令用来恢复缺省情况。
缺省情况下,分片状态记录数目的上限阈值为2000,下限阈值为1500。
需要注意的是,下限阈值必须小于或等于上限阈值。
相关配置可参考命令display firewall-statistics fragments-inspect和firewall packet-filter。
【举例】
# 配置分片报文检测门限的上限阈值为3000,下限阈值为缺省值。
<VG> system-view
[VG] firewall fragments-inspect high 3000
[VG] firewall fragments-inspect low default
【命令】
firewall ipv6 fragments-inspect
undo firewall ipv6 fragments-inspect
【视图】
系统视图
【参数】
无
【描述】
firewall ipv6 fragments-inspect命令用来打开IPv6分片报文检测开关。undo firewall ipv6 fragments-inspect命令用来关闭IPv6分片报文检测开关。
缺省情况下,IPv6分片报文检测开关处于关闭状态。
【举例】
# 打开IPv6分片报文检测开关。
<VG> system-view
[VG] firewall ipv6 fragments-inspect
【命令】
firewall packet-filter { acl-number | name acl-name } { inbound | outbound } [ match-fragments { normally | exactly } ]
undo firewall packet-filter acl-number { inbound | outbound }
【视图】
接口视图
【参数】
acl-number:基本或高级访问控制列表号,取值范围为2000~3999。
name acl-name:指定基本或高级访问控制列表的名称。acl-name表示IPv4 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
match-fragments:指定分片的匹配模式,只有高级访问控制列表才有此参数。
normally:标准匹配模式,该模式为缺省模式。
exactly:精确匹配模式。
【描述】
firewall packet-filter命令用来配置接口的IPV4报文过滤功能。undo firewall packet-filter命令用来取消接口的报文过滤功能。
缺省情况下,不对通过接口的报文进行过滤。
相关配置可参考命令firewall fragments-inspect。
【举例】
# 使用ACL 2001在接口GigabitEthernet0/0上报文过滤。
<VG> system-view
[VG] interface gigabitethernet 0/0
[VG-GigabitEthernet0/0] firewall packet-filter 2001 outbound
【命令】
firewall packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound }
undo firewall packet-filter ipv6 { inbound | outbound }
【视图】
接口视图
【参数】
acl6-number:基本或高级IPv6访问控制列表号,取值范围为2000~3999。
name acl6-name:指定基本或高级访问控制列表的名称。acl-name表示IPv6 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv6 ACL的名称不可以使用英文单词all。
inbound:过滤接口接收的数据包。
outbound:过滤接口转发的数据包。
【描述】
firewall packet-filter ipv6命令用来配置接口的IPv6报文过滤功能。undo firewall packet-filter ipv6命令用来取消接口的IPv6报文过滤功能。
缺省情况下,不对通过接口的IPv6报文进行过滤。
【举例】
# 使用IPv6 ACL 2500在接口GigabitEthernet0/0上进行IPv6报文过滤。
<VG> system-view
[VG] interface gigabitethernet 0/0
[VG-GigabitEthernet0/0] firewall packet-filter ipv6 2500 outbound
【命令】
reset firewall ethernet-frame-filter { all | dlsw | interface interface-type interface-number }
【视图】
用户视图
【参数】
all:清除所有的防火墙统计信息。
dlsw:清除DLSw的防火墙统计信息。
interface-type interface-number:指定接口类型和接口编号。
【描述】
reset firewall ethernet-frame-filter命令用来清除以太网帧过滤情况的统计信息。
【举例】
#清除所有以太网帧过滤情况的统计信息。
<VG> reset firewall ethernet-frame-filter all
【命令】
reset firewall-statistics { all | interface interface-type interface-number }
【视图】
用户视图
【参数】
all:清除所有接口的过滤报文统计信息。
interface-type interface-number:表示清除指定接口的过滤报文统计信息。
【描述】
reset firewall-statistics命令用来清除防火墙的统计信息。
【举例】
# 清除接口GigabitEthernet0/0上防火墙的统计信息。
<VG> reset firewall-statistics interface gigabitethernet 0/0
【命令】
aging-time { syn | fin | tcp | udp } seconds
undo aging-time { syn | fin | tcp | udp }
【视图】
ASPF策略视图
【参数】
syn:防火墙检测到报文中的SYN标志后,在指定的时间内如TCP会话未达到建立状态将切断会话。
fin:防火墙检测到报文中的FIN标志后,等待指定的时间后将切断TCP会话。
tcp:指定TCP会话的空闲超时时间。
udp:指定UDP会话的空闲超时时间。
seconds:指定超时时间,取值范围为5~43200,单位为秒。
【描述】
aging-time命令用来配置SYN、FIN 、TCP和UDP的超时时间。undo aging-time命令用来恢复缺省情况。
缺省情况下,SYN、FIN、TCP和UDP的超时时间分别为30秒、5秒、3600秒和30秒。
在超时时间以内,系统会保留所建立的会话。
相关配置可参考命令display aspf all、display aspf policy、display aspf session和display aspf interface。
【举例】
# 创建ASPF策略,策略号为1。
<VG> system-view
[VG] aspf-policy 1
# 配置TCP的SYN状态等待时间超时值为20秒。
[VG-aspf-policy-1] aging-time syn 20
# 配置TCP的FIN状态等待时间超时值为10秒。
[VG-aspf-policy-1] aging-time fin 10
# 配置TCP空闲时间超时值为3000秒。
[VG-aspf-policy-1] aging-time tcp 3000
# 配置UDP空闲时间超时值为110秒。
[VG-aspf-policy-1] aging-time udp 110
【命令】
aspf-policy aspf-policy-number
undo aspf-policy aspf-policy-number
【视图】
系统视图
【参数】
aspf-policy-number:ASPF策略号,取值范围为1~99。
【描述】
aspf-policy命令用来创建ASPF策略,并进入ASPF策略视图。undo aspf-policy命令用来删除ASPF策略。
对于一个已定义的ASPF策略,可通过策略号对该策略进行应用。
【举例】
# 创建ASPF策略1,并进入该ASPF策略视图。
<VG> system-view
[VG] aspf-policy 1
[VG-aspf-policy-1]
【命令】
detect protocol [ java-blocking acl-number ] [ aging-time seconds ]
undo detect protocol
【视图】
ASPF策略视图
【参数】
protocol:ASPF支持的协议名称,其取值及含义如下:
l ftp:表示FTP协议,属于应用层协议;
l http:表示HTTP协议,属于应用层协议;
l h323:表示H.323协议,属于应用层协议;
l smtp:表示SMTP协议,属于应用层协议;
l rtsp:表示RTSP协议,属于应用层协议;
l tcp:表示TCP协议,属于传输层协议;
l udp:表示UDP协议,属于传输层协议。
java-blocking:仅对HTTP协议有效,表示阻断指定网段报文的Java Applets。
acl-number:基本访问控制列表号,取值范围为2000~2999。
seconds:协议空闲的超时时间,取值范围为5~43200,单位为秒。
【描述】
detect命令用来为应用层协议和传输层协议配置ASPF检测。undo detect命令用来恢复缺省情况。
缺省情况下,应用层协议的超时时间为3600秒;TCP协议的超时时间为3600秒;UDP协议的超时时间为30秒。
需要注意的是:
l 当协议类型为HTTP时,允许Java阻断。
l 如果同时配置了应用层协议检测和通用TCP/UDP检测,应用层协议检测优先于通用TCP/UDP检测。
l ASPF使用超时时间去管理协议的会话状态信息,以便决定何时终结一个会话状态信息的管理或删除一个不能正常建立的会话。设置超时时间是一个全局的配置,适用于所有的会话,可以保护系统资源不被恶意占用。
l detect命令配置的协议空闲的超时时间,其优先级大于aging-time命令的配置。
相关配置可参考命令display aspf all、display aspf policy、display aspf session和display aspf interface。
【举例】
# 为HTTP协议指定ASPF策略1进行检测。同时,设置ACL 2000使ASPF策略能够过滤来自服务器10.1.1.1上的Java Applets。
<VG> system-view
[VG] acl number 2000
[VG-acl-basic-2000] rule permit source 10.1.1.1 0
[VG-acl-basic-2000] rule deny source any
[VG-acl-basic-2000] quit
[VG] aspf-policy 1
[VG-aspf-policy-1] detect http java-blocking 2000
【命令】
display aspf all
【视图】
任意视图
【参数】
无
【描述】
display aspf all命令用来查看所有的ASPF策略和会话信息。
【举例】
# 查看所有的ASPF策略和会话信息。
<VG> display aspf all
Policy Number 1:
Log: disable
SYN timeout: 30 s
FIN timeout: 5 s
TCP timeout: 3600 s
UDP timeout: 30 s
Detect Protocols:
ftp timeout 3600 s
tcp timeout 3600 s
[Interface Configuration]
Interface InboundPolicy OutboundPolicy
---------------------------------------------------------------
GigabitEthernet 0/0 none 1
[Established Sessions]
Session Initiator Responder Application Status
--------------------------------------------------------------------------
73A4844 1.1.1.50:1025 2.2.2.1:21 ftp FTP_CONXN_UP
表1-3 display aspf all命令显示信息描述表
字段 |
描述 |
SYN timeout |
TCP连接的SYN状态超时值 |
FIN timeout |
TCP会话的FIN状态超时值 |
TCP timeout |
TCP会话的空闲时间超时值 |
UDP timeout |
UDP会话的空闲时间超时值 |
Detect Protocols |
检测协议 |
InboundPolicy |
入方向的ASPF策略 |
OutboundPolicy |
出方向的ASPF策略 |
Session |
会话ID |
Initiator |
发起方的IP地址及端口号 |
Responder |
响应方的IP地址及端口号 |
Application |
应用协议 |
Status |
会话状态 |
【命令】
display aspf interface
【视图】
任意视图
【参数】
无
【描述】
display aspf interface命令用来查看接口上的ASPF策略信息。
【举例】
# 查看接口上的ASPF信息。
<VG> display aspf interface
[Interface Configuration]
Interface InboundPolicy OutboundPolicy
---------------------------------------------------------------
GigabitEthernet 0/0 1 none
表1-4 display aspf interface命令显示信息描述表
字段 |
描述 |
InboundPolicy |
入方向的ASPF策略 |
OutboundPolicy |
出方向的ASPF策略 |
【命令】
display aspf policy aspf-policy-number
【视图】
任意视图
【参数】
aspf-policy-number:ASPF策略号,取值范围为1~99。
【描述】
display aspf policy命令用来查看指定ASPF策略的信息。
【举例】
# 查看策略号为1的ASPF策略的配置信息。
<VG> display aspf policy 1
[ASPF Policy Configuration]
Policy Number 1:
Log: disable
SYN timeout: 30 s
FIN timeout: 5 s
TCP timeout: 3600 s
UDP timeout: 30 s
Detect Protocols:
ftp timeout 120 s
tcp timeout 3600 s
【命令】
display aspf session [ verbose ]
【视图】
任意视图
【参数】
verbose:查看会话的详细信息。
【描述】
display aspf session命令用来查看ASPF的会话信息。
【举例】
# 查看当前ASPF的会话信息。
<VG> display aspf session
[Established Sessions]
Session Initiator Responder Application Status
212BA84 169.254.1.121:1427 169.254.1.52:0 ftp-data TCP_DOWN
7148124 100.1.1.1:1027 200.1.1.2:21 ftp FTP_CONXN_UP
# 查看ASPF会话的详细信息。
<VG> display aspf session verbose
[Session 0x7148124]
Initiator: 100.1.1.1:1027 Responder: 200.1.1.2:21
Application protocol: ftp Status: FTP_CONXN_UP
Transport protocol: 6 Port: 21
Child: 0x0 Parent: 0x0
Interface: GigabitEthernet 0/0 Direction: outbound
Timeout 01:00:00 Time left 01:00:00
Initiator Bytes/Packets sent: 350/8
Responder Bytes/Packets sent: 324/6
Initiator tcp SeqNumber/AckNumber: 141385146/134665684
Responder tcp SeqNumber/AckNumber: 134665683/141385146
表1-5 display aspf session命令显示信息描述表
描述 |
|
Initiator |
发起方的IP地址及端口号 |
Responder |
响应方的IP地址及端口号 |
Application protocol |
应用协议 |
Status |
状态 |
Transport protocol |
传输层的协议号 |
Port |
应用层协议使用的端口号 |
Child |
子会话 |
Parent |
父会话 |
Interface: GigabitEthernet 0/0 Direction: outbound |
ASPF策略应用在接口GigabitEthernet 0/0的出方向 |
Timeout |
为该协议设置的超时时间 |
Time left |
超时剩余时间 |
Initiator Bytes/Packets sent |
源发起方已发送字节/分组 |
Responder Bytes/Packets sent |
响应方已发送字节/分组 |
Initiator tcp SeqNumber/AckNumber |
源发起方TCP序列号/确认序列号 |
Responder tcp SeqNumber/AckNumber |
响应方TCP序列号/确认序列号 |
【命令】
display port-mapping [ application-name | port port-number ]
【视图】
任意视图
【参数】
application-name:指定用于端口映射的应用的名称,其取值及含义如下:
l ftp:表示FTP协议;
l http:表示HTTP协议;
l h323:表示H.323协议;
l smtp:表示SMTP协议;
l rtsp:表示RTSP协议。
port-number:端口号,取值范围为0~65535。
【描述】
display port-mapping命令用来查看端口映射信息。
相关配置可参考命令port-mapping。
【举例】
# 查看端口映射的所有信息。
<VG> display port-mapping
SERVICE PORT ACL TYPE
-------------------------------------------------
ftp 21 system defined
smtp 25 system defined
http 80 system defined
rtsp 554 system defined
h323 1720 system defined
http 8080 user defined
【命令】
firewall aspf aspf-policy-number { inbound | outbound }
undo firewall aspf aspf-policy-number { inbound | outbound }
【视图】
接口视图
【参数】
aspf-policy-number: ASPF策略号,取值范围为1~99。
inbound:对接口入方向的报文应用ASPF策略。
outbound:对接口出方向的报文应用ASPF策略。
【描述】
firewall aspf命令用来在接口上应用ASPF策略。undo firewall aspf命令用来删除接口上的ASPF策略。
缺省情况下,接口上没有应用ASPF策略。
【举例】
# 在接口GigabitEthernet0/0的出方向上配置ASPF策略。
<VG> system-view
[VG] interface gigabitethernet 0/0
[VG- GigabitEthernet0/0] firewall aspf 1 outbound
【命令】
log enable
undo log enable
【视图】
ASPF策略视图
【参数】
无
【描述】
log enable命令用来使能ASPF会话日志功能。undo log enable命令用来关闭ASPF会话日志功能。
缺省情况下,ASPF会话日志功能处于关闭状态。
相关配置可参考命令display aspf all、display aspf policy、display aspf session和display aspf interface。
【举例】
# 使能ASPF会话日志功能。
<VG> system-view
[VG] aspf-policy 1
[VG-aspf-policy-1] log enable
【命令】
port-mapping application-name port port-number [ acl acl-number ]
undo port-mapping [ application-name port port-number [ acl acl-number ] ]
【视图】
系统视图
【参数】
application-name:端口映射的应用名称,其取值及含义如下:
l ftp:表示FTP协议;
l http:表示HTTP协议;
l h323:表示H.323协议;
l smtp:表示SMTP协议;
l rtsp:表示RTSP协议。
port-number:端口号,取值范围为0~65535。
acl-number:基本访问控制列表号,用来指定主机的范围,取值范围为2000~2999。
【描述】
port-mapping命令用来配置端口到应用层协议的映射。undo port-mapping命令用来删除端口映射项。
缺省情况下,没有端口到应用层协议的映射关系。
相关配置可参考命令display port-mapping。
【举例】
# 建立端口3456到FTP协议的映射。
<VG> system-view
[VG] port-mapping ftp port 3456
【命令】
reset aspf session
【视图】
用户视图
【参数】
无
【描述】
reset aspf session命令用来清除ASPF的会话。
【举例】
# 清除ASPF的会话。
<VG> reset aspf session
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!