注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

A small step

Judgement Must

 
 
 

日志

 
 
关于我

不要因为急着赶路,让自己的步伐杂乱。远方是既定的目标,但路上才是最重要的经历!

网易考拉推荐

Firewall 包过滤防火墙   

2015-04-05 23:03:00|  分类: Equipment |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

包过滤防火墙

1.1.1  display firewall packet-filter

【命令】

display firewall packet-filter { all | interface interface-type interface-number } [ inbound | outbound ] [ | { begin |exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

all查看所有接口的报文过滤信息

interface interface-type interface-number:查看指定接口的报文过滤信息。其中,interface-type interface-number示接口类型和接口编号

inbound:过滤接口接收的数据包。

outbound:过滤接口转发的数据包。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1256个字符的字符串,区分大小写。

【描述】

display firewall packet-filter命令用来显示接口的报文过滤信息。

相关配置可参考命令firewall packet-filterfirewall packet-filter ipv6

【举例】

查看接口的报文过滤信息。

<Sysname> display firewall packet-filter all

  Interface: GigabitEthernet4/1/6

  In-bound Policy:

    acl 3002, Successful

  Out-bound Policy:

 

  Interface: GigabitEthernet4/1/7

  In-bound Policy:

    acl 3001, Successful

  Out-bound Policy:

表1-1 display firewall packet-filter命令显示信息描述表

字段

描述

Interface

配置了报文过滤功能的接口

In-bound Policy

表示该接口上配置了入方向的ACL规则

Out-bound Policy

表示该接口上配置了出方向的ACL规则

 

1.1.2  display port-mapping

【命令】

display port-mapping [ application-name | port port-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

application-name:指定用于端口映射的应用的名称,其取值及含义如下:

·     ftp:表示FTP协议;

·     gtp-c:表示GTP-CGPRS Tunneling Protocol ControlGTP控制面)协议;

·     gtp-u:表示GTP-UGPRS Tunneling Protocol UserGTP用户面)协议;

·     gtp-v0:表示GTP-V0GPRS Tunneling Protocol V0)协议;

·     h323:表示H323协议;

·     http表示HTTP协议

·     rtsp:表示RTSP协议;

·     sccp:表示SCCP协议;

·     sip:表示SIP协议;

·     smtp:表示SMTP协议;

·     sqlnet:表示SQLNET协议

port port-number:指定应用协议映射的端口。其中port-number表示映射端口号取值范围为065535

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1256个字符的字符串,区分大小写。

【描述】

display port-mapping命令用来查看端口映射信息。

相关配置可参考命令port-mapping

【举例】

查看端口映射的所有信息。

<Sysname> display port-mapping

  SERVICE    PORT       ACL        TYPE

 -------------------------------------------------

  ftp          21                  system defined

  gtp-c      2123                  system defined

  gtp-u      2152                  system defined

  gtp-v0     3386                  system defined

  h323       1720                  system defined

  http         80                  system defined

  rtsp        554                  system defined

  sccp       2000                  system defined

  sip        5060                  system defined

  smtp         25                  system defined

  sqlnet     1521                  system defined

  http       8080                  user   defined

 

表1-2 display port-mapping命令显示信息描述表

字段

描述

SERVICE

进行端口映射的应用层协议

PORT

应用层协议映射的端口号

ACL

指定主机范围的ACL

TYPE

端口映射类型,包括系统预定义和用户自定义两种类型

 

1.1.3  firewall packet-filter

【命令】

firewall packet-filter { acl-number | name acl-name } { inbound | outbound }

undo firewall packet-filter { acl-number | name acl-name } { inbound | outbound }

【视图】

接口视图(二层以太网接口、三层以太网接口、VLAN接口、ATM接口、POS接口、串口、MP-GroupMFR

【缺省级别】

2:系统级

【参数】

acl-number:访问控制列表编号。支持:基本控制列表号,取值范围为20002999;高级控制列表号,取值范围为30003999;二层控制列表号,取值范围为40004999;用户自定义控制列表号,取值范围为50005999

name acl-name:指定基本或高级访问控制列表的名称。其中,acl-name表示IPv4 ACL的名称,为132个字符的字符串,不区分大小写,必须以英文字母azAZ开头。为避免混淆,IPv4 ACL的名称不可以使用英文单词all

inbound:过滤接口接收的数据包。

outbound:过滤接口转发的数据包。

【描述】

firewall packet-filter命令用来配置接口的IPv4报文过滤功能。undo firewall packet-filter命令用来取消接口的报文过滤功能。

缺省情况下,不对通过接口的报文进行过滤。

每个接口的单方向可配置多个包过滤命令同时生效。

说明

·     MPE单板上的POS接口加入HDLC捆绑后,该接口出方向上配置的报文过滤功能不生效。

·     如果firewall packet-filter引用的ACL已经生效,在已生效ACL中执行添加rule的操作,新添加的rule可能会不生效(原因可能是ACL资源不够或firewall packet-filter不支持此rule)。通过display acl { acl-number | all | name acl-name } slot slot-number查询ACL的配置和运行情况时,不生效的rule会被标识成“uncompleted”。如果后续有了足够的ACL资源,需要删除不生效的rule并重新配置,此rule才能生效。关于ACL的详细介绍请参见“ACLQOS配置指导”中的“ACL”。

 

【举例】

使用ACL 2001在接口Serial 3/1/9/1:2上对出方向的报文进行过滤。

<Sysname> system-view

[Sysname] interface serial 3/1/9/1:2

[Sysname-Serial3/1/9/1:2] firewall packet-filter 2001 outbound

1.1.4  firewall packet-filter ipv6

【命令】

firewall packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound }

undo firewall packet-filter ipv6 { acl-number | name acl-name } { inbound | outbound }

【视图】

接口视图(二层以太网接口、三层以太网接口、VLAN接口、ATM接口、POS接口、串口、MP-GroupMFR

【缺省级别】

2:系统级

【参数】

acl6-number:基本或高级IPv6访问控制列表号,取值范围为20003999

name acl6-name:指定基本或高级访问控制列表的名称。其中,acl6-name表示IPv6 ACL的名称,为132个字符的字符串,不区分大小写,必须以英文字母azAZ开头。为避免混淆,IPv6 ACL的名称不可以使用英文单词all

inbound:过滤接口接收的数据包。

outbound:过滤接口转发的数据包。

【描述】

firewall packet-filter ipv6命令用来配置接口的IPv6报文过滤功能。undo firewall packet-filter ipv6命令用来取消接口的IPv6报文过滤功能。

缺省情况下,不对通过接口的IPv6报文进行过滤。

每个接口的单方向可配置多个包过滤命令同时生效。

说明

·     MPE单板上的POS接口加入HDLC捆绑后,该接口出方向上配置的报文过滤功能不生效。

·     如果firewall packet-filter ipv6引用的ACL已经生效,在已生效ACL中执行添加rule的操作,新添加的rule可能会不生效(原因可能是ACL资源不够或firewall packet-filter ipv6不支持此rule)。通过display acl { acl-number | all | name acl-name } slot slot-number查询ACL的配置和运行情况时,不生效的rule会被标识成“uncompleted”。如果后续有了足够的ACL资源,需要删除不生效的rule并重新配置,此rule才能生效。关于ACL的详细介绍请参见“ACLQOS配置指导”中的“ACL”。

 

【举例】

使用IPv6 ACL 2500在接口GigabitEthernet3/1/1上进行IPv6报文过滤。

<Sysname> system-view

[Sysname] interface gigabitEthernet 3/1/1

[Sysname- GigabitEthernet3/1/1] firewall packet-filter ipv6 2500 outbound

1.1.5  port-mapping

【命令】

port-mapping application-name port port-number [ acl acl-number ]

undo port-mapping [ application-name port port-number [ acl acl-number ] ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

application-name:端口映射的应用名称,其取值及含义如下:

·     ftp:表示FTP协议;

·     gtp-c:表示GTP-CGPRS Tunneling Protocol ControlGTP控制面)协议;

·     gtp-u:表示GTP-UGPRS Tunneling Protocol UserGTP用户面)协议;

·     gtp-v0:表示GTP-V0GPRS Tunneling Protocol V0)协议;

·     h323:表示H323协议;

·     http表示HTTP协议

·     rtsp:表示RTSP协议;

·     sccp:表示SCCP协议;

·     sip:表示SIP协议;

·     smtp:表示SMTP协议;

·     sqlnet:表示SQLNET协议

port port-number:应用层协议的端口。其中port-number表示端口号取值范围为065535

acl acl-number用来指定主机范围的IPv4访问控制列表。其中acl-number表示基本访问控制列表号取值范围为20002999

【描述】

port-mapping命令用来配置端口到应用层协议的映射。undo port-mapping命令用来删除端口映射项。

缺省情况下,没有端口到应用层协议的映射关系。

相关配置可参考命令display port-mapping

【举例】

建立端口3456FTP协议的映射。

<Sysname> system-view

[Sysname] port-mapping ftp port 3456


  评论这张
 
阅读(24)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018