选择区域语言: EN CN HK

10-安全命令参考

12-防火墙命令

本章节下载  (136.39 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_CR-R2420(V1.12)/10/201212/765593_30005_0.htm

12-防火墙命令


1 防火墙配置命令

1.1  包过滤防火墙配置命令

1.1.1  display firewall ipv6 statistics

【命令】

display firewall ipv6 statistics { all | interface interface-type interface-number }

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

all:查看IPv6防火墙的所有接口的过滤报文统计信息。

interface interface-type interface-number:查看IPv6防火墙的指定接口的过滤报文统计信息。其中,interface-type interface-number表示接口类型和接口编号。

【描述】

display firewall ipv6 statistics命令用来查看IPv6防火墙的过滤报文统计信息。

【举例】

# 查看IPv6防火墙的过滤报文统计信息。

<Sysname> display firewall ipv6 statistics interface GigabitEthernet 1/0/1

  Interface: GigabitEthernet1/0/1

  In-bound Policy: acl6 2000

  From 2008-06-04 10:25:21  to 2008-06-04 10:35:57

     0 packets, 0 bytes, 0% permitted

     0 packets, 0 bytes, 0% denied

     0 packets, 0 bytes, 0% permitted default

     0 packets, 0 bytes, 0% denied default

  Totally 0 packets, 0 bytes, 0% permitted

  Totally 0 packets, 0 bytes, 0% denied

表1-1 display firewall-statistics命令显示信息描述表

字段

描述

Interface

配置了IPv6包过滤功能的接口

In-bound Policy

表示该接口上配置了入方向的ACL规则

Out-bound Policy

表示该接口上配置了出方向的ACL规则

acl6

IPv6 ACL编号

0 packets, 0 bytes, 0% permitted

表示匹配到IPv6 ACL规则,且被允许通行的报文个数、字节数和比例

0 packets, 0 bytes, 0% denied

表示匹配到IPv6 ACL规则,且被拒绝通行的报文个数、字节数和比例

0 packets, 0 bytes, 0% permitted default

表示未匹配到任何IPv6 ACL规则,且根据缺省过滤规则被允许通行的报文个数、字节数和比例

0 packets, 0 bytes, 0% denied default

表示未匹配到任何IPv6 ACL规则,且根据缺省过滤规则被拒绝通行的报文个数、字节数和比例

Totally 0 packets, 0 bytes, 0% permitted

总计被允许通行的报文个数、字节数和比例

Totally 0 packets, 0 bytes, 0% denied

总计被拒绝通行的报文个数、字节数和比例

 

1.1.2  display firewall-statistics

【命令】

display firewall-statistics { all | interface interface-type interface-number }

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

all:查看IPv4防火墙的所有接口的过滤报文统计信息。

interface interface-type interface-number:查看IPv4防火墙的指定接口的过滤报文统计信息。其中,interface-type interface-number表示接口类型和接口编号。

【描述】

display firewall-statistics命令用来查看IPv4防火墙的过滤报文统计信息。

【举例】

# 查看所有接口的过滤报文统计信息。

<Sysname> display firewall-statistics all

1.1.3  firewall default

【命令】

集中式设备:

firewall default { deny | permit }

分布式设备:

firewall default { deny | permit } { all | slot slot-number }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

deny:过滤方式为禁止报文通过。

permit:过滤方式为允许报文通过。

all:指定所有接口板。

slot slot-number:指定接口板。其中,slot-number表示接口板所在槽位号。

【描述】

firewall default命令用来配置IPv4防火墙的缺省过滤方式。

缺省情况下,IPv4防火墙的缺省过滤方式为允许报文通过(permit)。

【举例】

# 配置IPv4防火墙的缺省过滤方式为允许报文通过。

<Sysname> system-view

[Sysname] firewall default deny

1.1.4  firewall enable

【命令】

集中式设备:

firewall enable

undo firewall enable

分布式设备:

firewall enable { all | slot slot-number }

undo firewall enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

all:指定所有接口板。

slot slot-number:指定接口板。其中,slot-number表示接口板所在槽位号。

【描述】

firewall enable命令用来启用IPv4防火墙功能。undo firewall enable命令用来关闭IPv4防火墙功能。

缺省情况下,IPv4防火墙功能处于关闭状态。

【举例】

# 启用IPv4防火墙功能。

<Sysname> system-view

[Sysname] firewall enable

1.1.5  firewall ipv6 default

【命令】

firewall ipv6 default { deny | permit }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

permit:过滤方式为允许报文通过。

deny:过滤方式为禁止报文通过。

【描述】

firewall ipv6 default命令用来配置IPv6防火墙的缺省过滤方式。对于未匹配到任何IPv6包过滤策略中引用的ACL规则的IPv6报文,防火墙使用默认的过滤方式对其进行过滤。

缺省情况下,IPv6防火墙的缺省过滤方式为允许报文通过(permit)。

【举例】

# 配置IPv6防火墙的缺省过滤方式为禁止报文通过。

<Sysname> system-view

[Sysname] firewall ipv6 default deny

1.1.6  firewall ipv6 enable

【命令】

firewall ipv6 enable

undo firewall ipv6 enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

firewall ipv6 enable命令用来启用IPv6防火墙功能。undo firewall enable命令用来关闭IPv6防火墙功能。

缺省情况下,IPv6防火墙功能处于关闭状态。

【举例】

# 启用IPv6防火墙功能。

<Sysname> system-view

[Sysname] firewall ipv6 enable

1.1.7  firewall packet-filter

【命令】

firewall packet-filter { acl-number | name acl-name } { inbound | outbound }

undo firewall packet-filter { acl-number | name acl-name } { inbound | outbound }

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

acl-number:基本或高级访问控制列表号,取值范围为2000~3999。

name acl-name:指定基本或高级访问控制列表的名称。其中,acl-name表示IPv4 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all。

inbound:过滤接口接收的数据包。

outbound:过滤接口转发的数据包。

【描述】

firewall packet-filter命令用来配置接口的IPv4报文过滤功能。undo firewall packet-filter命令用来取消接口的报文过滤功能。

缺省情况下,不对通过接口的报文进行过滤。

【举例】

# 使用ACL 2001在接口Serial2/0/1上进行报文过滤。

<Sysname> system-view

[Sysname] interface serial 2/0/1

[Sysname-Serial2/0/1] firewall packet-filter 2001 outbound

1.1.8  firewall packet-filter ipv6

【命令】

firewall packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound }

undo firewall packet-filter ipv6 { inbound | outbound }

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

acl6-number:基本或高级IPv6访问控制列表号,取值范围为2000~3999。

name acl6-name:指定基本或高级访问控制列表的名称。其中,acl6-name表示IPv6 ACL的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,IPv6 ACL的名称不可以使用英文单词all。

inbound:过滤接口接收的数据包。

outbound:过滤接口转发的数据包。

【描述】

firewall packet-filter ipv6命令用来配置接口的IPv6报文过滤功能。undo firewall packet-filter ipv6命令用来取消接口的IPv6报文过滤功能。

缺省情况下,不对通过接口的IPv6报文进行过滤。

【举例】

# 使用IPv6 ACL 2500在接口GigabitEthernet1/0/1上进行IPv6报文过滤。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] firewall packet-filter ipv6 2500 outbound

1.1.9  reset firewall ipv6 statistics

【命令】

reset firewall ipv6 statistics { all | interface interface-type interface-number }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

all:清除IPv6防火墙的所有接口的过滤报文统计信息。

interface interface-type interface-number:表示清除IPv6防火墙的指定接口的过滤报文统计信息。其中,interface-type interface-number表示接口类型和接口编号。

【描述】

reset firewall ipv6 statistics命令用来清除IPv6防火墙的过滤报文统计信息。

相关配置可参考命令display firewall ipv6 statistics

【举例】

# 清除接口GigabitEthernet1/0/1上IPv6防火墙的过滤报文统计信息。

<Sysname> reset firewall ipv6 statistics interface GigabitEthernet 1/0/1

1.1.10  reset firewall-statistics

【命令】

reset firewall-statistics { all | interface interface-type interface-number }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

all:清除IPv4防火墙的所有接口的过滤报文统计信息。

interface interface-type interface-number:表示清除IPv4防火墙的指定接口的过滤报文统计信息。其中,interface-type interface-number表示接口类型和接口编号。

【描述】

reset firewall-statistics命令用来清除IPv4防火墙的过滤报文统计信息。

【举例】

# 清除接口GigabitEthernet1/0/1上IPv4防火墙的过滤报文统计信息。

<Sysname> reset firewall-statistics interface gigabitethernet 1/0/1

1.2  ASPF配置命令

1.2.1  aspf-policy

【命令】

aspf-policy aspf-policy-number

undo aspf-policy aspf-policy-number

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~99。

【描述】

aspf-policy命令用来创建ASPF策略,并进入ASPF策略视图。undo aspf-policy命令用来删除ASPF策略。

对于一个已定义的ASPF策略,可通过策略号对该策略进行应用。

【举例】

# 创建ASPF策略1,并进入该ASPF策略视图。

<Sysname> system-view

[Sysname] aspf-policy 1

[Sysname-aspf-policy-1]

1.2.2  display aspf all

【命令】

display aspf all

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

【描述】

display aspf all命令用来查看所有的ASPF策略和会话信息。

【举例】

# 查看所有的ASPF策略信息。

<Sysname> display aspf all

[ASPF Policy Configuration]

  Policy Number 1:

    icmp-error drop

    tcp syn-check

  Policy Number 2:

    undo icmp-error drop

    undo tcp syn-check

 

[Interface Configuration]

   Interface                      InboundPolicy   OutboundPolicy

 ---------------------------------------------------------------

   GigabitEthernet1/0/1                    1               2

表1-2 display aspf all命令显示信息描述表

字段

描述

[ASPF Policy Configuration]

ASPF策略的配置信息

Policy Number

ASPF策略号

icmp-error drop

丢弃ICMP差错报文

tcp syn-check

丢弃非SYN的TCP首报文

undo icmp-error drop

不丢弃ICMP差错报文

undo tcp syn-check

不丢弃非SYN的TCP首报文

[Interface Configuration]

接口下应用ASPF策略的配置信息

Interface

应用ASPF策略的接口

InboundPolicy

入方向的ASPF策略

OutboundPolicy

出方向的ASPF策略

 

1.2.3  display aspf interface

【命令】

display aspf interface

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

【描述】

display aspf interface命令用来查看接口上的ASPF策略信息。

【举例】

# 查看接口上的ASPF策略信息。

<Sysname> display aspf interface

[Interface Configuration]

   Interface                      InboundPolicy   OutboundPolicy

 ---------------------------------------------------------------

   Serial2/0/1                    1               0

表1-3 display aspf interface命令显示信息描述表

字段

描述

InboundPolicy

入方向的ASPF策略

OutboundPolicy

出方向的ASPF策略

 

1.2.4  display aspf policy

【命令】

display aspf policy aspf-policy-number

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~99。

【描述】

display aspf policy命令用来查看指定ASPF策略的信息。

【举例】

# 查看策略号为1的ASPF策略的信息。

<Sysname> display aspf policy 1

[ASPF Policy Configuration]

  Policy Number 1:

    icmp-error drop

    tcp syn-check

表1-4 display aspf policy命令显示信息描述表

字段

描述

[ASPF Policy Configuration]

ASPF策略的配置信息

Policy Number

ASPF策略号

icmp-error drop

丢弃ICMP差错报文

tcp syn-check

丢弃非SYN的TCP首报文

undo icmp-error drop

不丢弃ICMP差错报文

undo tcp syn-check

不丢弃非SYN的TCP首报文

 

1.2.5  display port-mapping

【命令】

display port-mapping [ application-name | port port-number ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

application-name:指定用于端口映射的应用的名称,其取值及含义如下:

l              ftp:表示FTP协议;

l              h323:表示H323协议;

l              http:表示HTTP协议;

l              rtsp:表示RTSP协议;

l              smtp:表示SMTP协议;

l              sqlnet:表示SQLNET协议。

port port-number:指定应用协议映射的端口。其中,port-number表示映射端口号,取值范围为065535

【描述】

display port-mapping命令用来查看端口映射信息。

相关配置可参考命令port-mapping

【举例】

# 查看端口映射的所有信息。

<Sysname> display port-mapping

  SERVICE    PORT       ACL        TYPE

 -------------------------------------------------

  ftp          21                  system defined

  smtp         25                  system defined

  http         80                  system defined

  rtsp        554                  system defined

  h323       1720                  system defined

  sqlnet     1521                  system defined

  http       8080                  user   defined

表1-5 display port-mapping命令显示信息描述表

字段

描述

SERVICE

进行端口映射的应用层协议

PORT

应用层协议映射的端口号

ACL

指定主机范围的ACL号

TYPE

端口映射类型,包括系统预定义和用户自定义两种类型

 

1.2.6  firewall aspf

【命令】

firewall aspf aspf-policy-number { inbound | outbound }

undo firewall aspf aspf-policy-number { inbound | outbound }

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

aspf-policy-number:ASPF策略号,取值范围为1~99。

inbound:对接口入方向的报文应用ASPF策略。

outbound:对接口出方向的报文应用ASPF策略。

【描述】

firewall aspf命令用来在接口上应用ASPF策略。undo firewall aspf命令用来删除接口上的ASPF策略。

缺省情况下,接口上没有应用ASPF策略。

【举例】

# 在接口GigabitEthernet1/0/1的出方向上配置ASPF策略。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] firewall aspf 1 outbound

1.2.7  icmp-error drop

【命令】

icmp-error drop

undo icmp-error drop

【视图】

ASPF策略视图

【缺省级别】

2:系统级

【参数】

【描述】

icmp-error drop命令用来配置ICMP差错报文丢弃功能。undo icmp-error drop命令用来恢复缺省情况。

缺省情况下,不丢弃ICMP差错报文。

相关配置可参考命令aspf-policy

【举例】

# 设置ASPF策略1丢弃ICMP差错报文。

<Sysname> system-view

[Sysname] aspf-policy 1

[Sysname-aspf-policy-1] icmp-error drop

1.2.8  port-mapping

【命令】

port-mapping application-name port port-number [ acl acl-number ]

undo port-mapping [ application-name port port-number [ acl acl-number ] ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

application-name:端口映射的应用名称,其取值及含义如下:

l              ftp:表示FTP协议;

l              h323:表示H323协议;

l              http:表示HTTP协议;

l              rtsp:表示RTSP协议;

l              smtp:表示SMTP协议;

l              sqlnet:表示SQLNET协议。

port port-number:应用层协议的端口。其中port-number表示端口号,取值范围为065535

acl acl-number:用来指定主机的范围的访问控制列表。其中,acl-number表示基本访问控制列表号,取值范围为20002999

【描述】

port-mapping命令用来配置端口到应用层协议的映射。undo port-mapping命令用来删除端口映射项。

缺省情况下,没有端口到应用层协议的映射关系。

相关配置可参考命令display port-mapping

【举例】

# 建立端口3456到FTP协议的映射。

<Sysname> system-view

[Sysname] port-mapping ftp port 3456

1.2.9  tcp syn-check

【命令】

tcp syn-check

undo tcp syn-check

【视图】

ASPF策略视图

【缺省级别】

2:系统级

【参数】

【描述】

tcp syn-check命令用来配置非SYN的TCP首报文丢弃功能。undo tcp  syn-check命令用来恢复缺省情况。

缺省情况下,不丢弃非SYN的TCP首报文。

相关配置可参考命令aspf-policy

【举例】

# 设置ASPF策略1丢弃非SYN的TCP首报文。

<Sysname> system-view

[Sysname] aspf-policy 1

[Sysname-aspf-policy-1] tcp syn-check

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!