来源:蜘蛛抓取(WebSpider)
时间:2016-12-04 14:52
标签:
磊科防火墙
思科路由器防火墙如何配置的方法:
一、access-list
用于创建访问规则。
(1)创建标准访问列表
access-list [normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]
(2)创建扩展访问列表
access-list [normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask[ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] |icmp-type [ icmp-code ] ] [ log ]
(3) 删除访问列表
no access-list{ normal | special } { all | listnumber [ subitem ] }
【参数说明】
normal 指定规则加入普通时间段。
special 指定规则加入特殊时间段。
listnumber1 是<span style="color:#到<span style="color:#之间的一个数值,表示规则是标准访问列表规则。
listnumber2 是<span style="color:#0到<span style="color:#9之间的一个数值,表示规则是扩展访问列表规则。
permit 表明允许满足条件的报文通过。
deny 表明禁止满足条件的报文通过。
protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;
为IP时有特殊含义,代表所有的IP协议。
source-addr 为源地址。
source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为<span style="color:#.0.0.0.
dest-addr 为目的地址。
dest-mask 为目的地址通配位。
operator[可选]
端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);
如果操作符为range,
则后面需要跟两个端口。
port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或<span style="color:#~65535之间的一个数值。
port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或<span style="color:#~65535之间的一个数值。
icmp-type[可选]
在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是<span style="color:#~255之间的一个数值。
icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是<span style="color:#~255之间的一个数值。
log [可选]
表示如果报文符合条件,需要做日志。
listnumber 为删除的规则序号,是<span style="color:#~199之间的一个数值。
subitem[可选]
指定删除序号为listnumber的访问列表中规则的序号。
【缺省情况】
系统缺省不配置任何访问规则。
【命令模式】
全局配置模式
【使用指南】
同一个序号的规则可以看作一类规则;
所定义的规则不仅可以用来在接口上过滤报文,也可以被如DDR等用来判断一个报文是否是感兴趣的报文,此时,permit与deny表示是感兴趣的还是不感兴趣的。
使用协议域为IP的扩展访问列表来表示所有的IP协议。
同一个序号之间的规则按照一定的原则进行排列和选择,这个顺序可以通过 showaccess-list
命令看到。
【举例】
允许源地址为<span style="color:#.1.1.0
网络、目的地址为<span style="color:#.1.2.0网络的WWW访问,但不允许使用FTP.
Quidway(config)#access-list100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www
Quidway(config)#access-list100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp
【相关命令】
ip access-group
二、clearaccess-list counters
清除访问列表规则的统计信息。
clearaccess-list counters [ listnumber ]
【参数说明】
listnumber [可选]
要清除统计信息的规则的序号,如不指定,则清除所有的规则的统计信息。
【缺省情况】
任何时候都不清除统计信息。
【命令模式】
特权用户模式
【使用指南】
使用此命令来清除当前所用规则的统计信息,不指定规则编号则清除所有规则的统计信息。
【举例】
例<span style="color:#: 清除当前所使用的序号为<span style="color:#0的规则的统计信息。
Quidway#clearaccess-list counters 100
例<span style="color:#: 清除当前所使用的所有规则的统计信息。
Quidway#clearaccess-list counters
【相关命令】
access-list
三、firewall
启用或禁止防火墙。
firewall {enable | disable }
【参数说明】
enable 表示启用防火墙。
disable 表示禁止防火墙。
【缺省情况】
系统缺省为禁止防火墙。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止防火墙,可以通过show firewall命令看到相应结果。如果采用了时间段包过滤,则在防火墙被关闭时也将被关闭;该命令控制防火墙的总开关。在使用
firewall disable 命令关闭防火墙时,防火墙本身的统计信息也将被清除。
【举例】
启用防火墙。
Quidway(config)#firewallenable
【相关命令】
access-list, ipaccess-group
四、firewalldefault
配置防火墙在没有相应的访问规则匹配时,缺省的过滤方式。
firewalldefault { permit | deny }
【参数说明】
permit 表示缺省过滤属性设置为&允许&.
deny 表示缺省过滤属性设置为&禁止&.
【缺省情况】
在防火墙开启的情况下,报文被缺省允许通过。
【命令模式】
全局配置模式
【使用指南】
当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时,缺省的过滤属性将起作用;如果缺省过滤属性是&允许&,则报文可以通过,否则报文被丢弃。
【举例】
设置缺省过滤属性为&允许&.
Quidway(config)#firewalldefault permit
五、ip access-group使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。
ip access-grouplistnumber { in | out }
[ no ] ipaccess-group listnumber { in | out }
【参数说明】
listnumber 为规则序号,是<span style="color:#~199之间的一个数值。
in 表示规则用于过滤从接口收上来的报文。
out 表示规则用于过滤从接口转发的报文。
【缺省情况】
没有规则应用于接口。
【命令模式】
接口配置模式。
【使用指南】
使用此命令来将规则应用到接口上;
如果要过滤从接口收上来的报文,则使用 in
如果要过滤从接口转发的报文,使用out
关键字。一个接口的一个方向上最多可以应用<span style="color:#类不同的规则;
这些规则之间按照规则序号的大小进行排列,序号大的排在前面,也就是优先级高。对报文进行过滤时,将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以,建议在配置规则时,尽量将对同一个网络配置的规则放在同一个序号的访问列表中;
在同一个序号的访问列表中,规则之间的排列和选择顺序可以用show access-list命令来查看。
【举例】
将规则<span style="color:#1应用于过滤从以太网口收上来的报文。
Quidway(config-if-Ethernet0)#ipaccess-group 101 in
【相关命令】
access-list
六、settr
设定或取消特殊时间段。
settrbegin-time end-time
【参数说明】
begin-time 为一个时间段的开始时间。
end-time 为一个时间段的结束时间,应该大于开始时间。
【缺省情况】
系统缺省没有设置时间段,即认为全部为普通时间段。
【命令模式】
全局配置模式
【使用指南】
使用此命令来设置时间段;可以最多同时设置<span style="color:#个时间段,通过show timerange
命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段,则此修改将在一分钟左右生效(系统查询时间段的时间间隔)。设置的时间应该是<span style="color:#小时制。如果要设置类似晚上<span style="color:#点到早上<span style="color:#点的时间段,可以设置成&settr
21:00 23:59 0:00 8:00&,因为所设置的时间段的两个端点属于时间段之内,故不会产生时间段内外的切换。另外这个设置也经过了<span style="color:#00问题的测试。
【举例】
例<span style="color:#: 设置时间段为<span style="color:#:30 ~ 12:00,14:00 ~ 17:00.
Quidway(config)#settr8:30 12:00 14:00 17:00
例<span style="color:#: 设置时间段为晚上<span style="color:#点到早上<span style="color:#点。
Quidway(config)#settr21:00 23:59 0:00 8:0
【相关命令】
timerange, show timerange
七、showaccess-list
显示包过滤规则及在接口上的应用。
showaccess-list [ all | listnumber | interface interface-name ]
【参数说明】
all 表示所有的规则,包括普通时间段内及特殊时间段内的规则。
listnumber 为显示当前所使用的规则中序号为listnumber的规则。
interface 表示要显示在指定接口上应用的规则序号。
interface-name 为接口的名称。
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示所指定的规则,同时查看规则过滤报文的情况。每个规则都有一个相应的计数器,如果用此规则过滤了一个报文,则计数器加<span style="color:#;通过对计数器的观察可以看出所配置的规则中,哪些规则是比较有效,而哪些基本无效。可以通过带interface关键字的show
access-list命令来查看某个接口应用规则的情况。
【举例】
例<span style="color:#: 显示当前所使用的序号为<span style="color:#0的规则。
Quidway#showaccess-list 100
Using normalpacket-filtering access rules now.
<span style="color:#0 deny icmp10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)
<span style="color:#0 permit icmp10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)
<span style="color:#0 deny udpany any eq rip (no matches -- rule 3)
例<span style="color:#: 显示接口Serial0上应用规则的情况。
Quidway#showaccess-list interface serial 0
access-listfiltering In-bound packets : 120
access-listfiltering Out-bound packets: None
【相关命令】
access-list
八、show firewall
显示防火墙状态。
show firewall
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示防火墙的状态,包括防火墙是否被启用,启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。
【举例】
显示防火墙状态。
Quidway#showfirewall
Firewall isenable, default filtering method is 'permit'.
TimeRangepacket-filtering enable.
InBoundpackets: N
OutBoundpackets: 0 packets, 0 bytes, 0% permitted,
<span style="color:# packets, 0bytes, 0% denied,
<span style="color:# packets, 104bytes, 100% permitted defaultly,
<span style="color:# packets, 0bytes, 100% denied defaultly.
From 00:13:02to 06:13:21: 0 packets, 0 bytes, permitted.
【相关命令】
九、show isintr
显示当前时间是否在时间段之内。
show isintr
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示当前时间是否在时间段之内。
【举例】
显示当前时间是否在时间段之内。
Quidway#showisintr
It is NOT intime ranges now.
【相关命令】
timerange, settr
十、show timerange
显示时间段包过滤的信息。
show timerange
【命令模式】
特权用户模式
【使用指南】
使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。
【举例】
显示时间段包过滤的信息。
Quidway#showtimerange
TimeRangepacket-filtering enable.
beginning oftime range:
<span style="color:#:00 - 02:00
<span style="color:#:00 - 04:00
end of timerange.
【相关命令】
timerange, settr
十一、timerange
启用或禁止时间段包过滤功能。
timerange {enable | disable }
【参数说明】
enable 表示启用时间段包过滤。
disable 表示禁止采用时间段包过滤。
【缺省情况】
系统缺省为禁止时间段包过滤功能。
【命令模式】
全局配置模式
【使用指南】
使用此命令来启用或禁止时间段包过滤功能,可以通过show firewall命令看到,也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后,系统将根据当前的时间和设置的时间段来确定使用时间段内(特殊)的规则还是时间段外(普通)的规则。系统查询时间段的精确度为<span style="color:#分钟。所设置的时间段的两个端点属于时间段之内。
【举例】
启用时间段包过滤功能。
Quidway(config)#timerangeenable
【相关命令】
settr, showtimerange
参考知识库
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:357次
排名:千里之外您现在的位置:
JCG无线路由器的防火墙过滤设置方法图解
作者: admin 来源:
阅读:Lording…次
使用无线路由器的家庭用户多半不怎么熟悉设置方法,需要看说明书和相关教程才行,今天我们来详细为大家介绍一下无线路由器的防火墙过滤设置,我们这里以JCG品牌无线路由产品为例。
在无线路由器的设置页面,点击&过滤设置&,进入防火墙过滤设置页面。&过滤设置&是IP地址过滤、MAC地址过滤、网址关键字过滤、域名关键字过滤和应用程序过滤的总开关。如果选择禁用,那就是不使用路由器的防火墙功能。只有启用过滤控制之后,才能实现过滤功能。如下图:
1、IP地址过滤
局域网IP是控制局域网对因特网的访问,广域网IP是控制对远端 IP 地址的访问。它们可以分开使用,也可以组合运用。(如控制局域网IP地址为192.168.1.10&192.168.1.100,新的广域网的IP地址为58.63.236.1&58.63.236.1.63。这样就可以控制局域网IP地址为192.168.1.10到192.168.1.100的电脑不能访问新浪网。)这些说明了我们可以控制这个区域内的任何一个IP地址(PC终端)的上网和上网行为;局域网可以控制上网,广域网可以控制我们访问某个网站;首先,进入IP地址过滤页面,点击&马上设置&,进入&NTP设置&,点击&与主机同步&&&&应用&,(注:下面的每个过滤设置必须首先进行该设置才能正常生效)如下图:
其次,返回到&过滤设置&,选择&IP地址过滤&(IP地址过滤的日期和时间可以自定义),把要控制的IP地址和定义的规则名称填入进去,然后确定;如下图:
2.MAC地址过滤
根据 MAC 地址控制局域网主机对因特网的访问;填入要控制的局域网主机的MAC地址。在&过滤规则设置&处选择&启用&,填写&规则名称&及&MAC地址&,并设置好日期及具体时间段,如下图所示:
相关内容扩展阅读:。
3.网址过滤
根据网址的关键字进行过滤。如:想过滤掉所有&新浪&的网站,请输入关键字&sina&,就会过滤掉所有包含&sina&等有关字样的网站;如下图:
4.域名过滤
根据域名的关键字过滤掉要过滤的关键字,如:关键字qq.com会过滤所含有qq.com等字样;如下图:
5.应用程序过滤
根据MAC地址或IP地址过滤某些计算机上的应用程序,也可以过滤所有计算机上的应用程序,这时仅指定要过滤的应用程序即可。如:上班时间不许上QQ,我们可以通过指定MAC地址或者控制IP段(192.168.1.1&&192.168.1.254,控制该网段的用户不能够上QQ),应用程序选择&Tencent QQ Protocol&(QQ,腾讯公司即时通信软件;qq.com),日期、时间可以自定义(如:星期一--星期五的每天早上8:30--下午18:00,如下图:
到这里,具体操作就完成了,你可以根据自己的需求来进行JCG无线路由器防火墙过滤设置,达到有效的目的。帮您轻松过滤IP地址、MAC地址、端口、域名和网址,简单管理您的无线网络。用户如果使用的是其它品牌无线路由器也可以参考以上内容设置防火墙,一般家用路由器不用另外设置防火墙也可以上网的,并不会影响正常使用,当用户有需要用到防火墙功能的时候,可以按照对用户需求来设置防火墙。请问怎么利用防火墙禁止访问路由器设置页面IP192.168.1.1_windows8吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名:今日本吧第个签到,本吧因你更精彩,明天继续来努力!
本吧签到人数:0成为超级会员,使用一键签到本月漏签0次!成为超级会员,赠送8张补签卡连续签到:天&&累计签到:天超级会员单次开通12个月以上,赠送连续签到卡3张
关注:393,975贴子:
请问怎么利用防火墙禁止访问路由器设置页面IP192.168.1.1收藏
由于在路由器上设置上网控制规则在路由器重置之后就失效了,我现在是想即使路由器被重置了也无法通过电脑设置路由器,所以想请问下防火墙要怎么设置才能阻止本机访问路由器IP192.168.1.1
好的话剧,坚决不能错过,价格也很重要!
得路由器支持吧。
登录百度帐号推荐应用
为兴趣而生,贴吧更懂你。或查看: 2352|回复: 3
路由器和防火墙之间的连接问题
在线时间 小时
阅读权限40
一个路由器和防火墙直连,之间没有跑动态协议,防火墙上有个指向外部网络的却省路由:route outside 0.0.0.0 0.0.0.0 202.96.26.172
路由器要不要指条默认路由到防火墙了?
我在防火墙上做了pat&&:
global(outside) 1 interface
nat(inside)1 0 0
访问列表也做了 :access-list acl-inside permit ip 192.168.0.0 255.255.0 0 any
& && && && && && && && && & access-list acl-inside permit tcp192.168.0.0 255.255.0 0 any
& && && && && && && && && &access-list acl-inside permit icmp 192.168.0.0 255.255.0 0 any
& && && && && && && && && &access-group acl-inside in interface inside
& && && && && && && && && & access-list acl-outside permit tcp any 192.168.1.100 eq telnet
& && && && && && && && && & access-group acl-outside in interface outside
现在两边都不通。请问哪里错了。
在线时间 小时
阅读权限20
防火墙上连接要制定一条内网网段回到路由器上的路由。
在线时间 小时
阅读权限40
1.先确定在防火墙上的pat做成功,
2,在路由上指定静态路由的下一跳为防火墙
3.防火墙指定去内网地址的路由为路由器和防火墙连接的端口
在线时间 小时
阅读权限40
防火墙上我设置了条路由 : router inside 192.168.0.0 255.255.0.0 192.168.1.1(这个是inside口)
还要别的设置吗&&?我加了这条命令后还是不通
Powered by水星路由器防火墙设置详解
水星防火墙设置详解
为了保证网络的安全,防火墙是必不可少的,下面我就以水星路由器为例,给大家介绍一下防火墙的设置。
一、防火墙里的IP地址过滤用于通过IP地址设置内网主机对外网的访问权限,在某个时间段,禁止/允许内网某个IP段所有或部分端口和外网IP的所有或部分端口的通信。
二、开启IP地址过滤功能时,必须要开启防火墙总开关,并明确IP地址过滤的缺省过滤规则。
三、假设我们不允许内网192.168.1.100-192.168.1.102的IP地址访问外网所有IP地址,允许192.168.1.103完全不受限制的访问外网的所有IP地址。
(1)选择缺省过滤规则
这里所用的过滤规则为凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器。
(2)添加IP地址过滤新条目:
因默认规则为禁止不符合IP过滤规则的数据包通过路由器,所以内网电脑IP地址段:192.168.1.100-192.168.1.102不需要进行添加,默认禁止其通过。
(3)设置允许内网的192.168.1.103访问外网的所有IP地址
保存后效,如下图所示,就完成了我们想要的设置。
四、假设内网192.168.1.100-192.168.1.102的IP地址在任何时候都只能浏览外网网页,192.168.1.103从上午8点到下午6点只允在外网219.134.132.62邮件服务器上收发邮件,其余时间不能和对外网通信。
在网上浏览网页需使用到80端口,收发电子邮件使用25与110,同时域名服务器端口号53。
(1)选择缺省过滤规则为
这里所用的过滤规则为凡是不符合已设IP地址过滤规则的数据包,禁止通过本路由器。
(2)设置生成如下条目后即能达到预期目的。
以上就是水星由器防火墙设置的方法,希望对大家有所帮助。
本文来自于路由人网
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'
