防火墻的基本配置

1、防火墻配置目錄一 防火墻的基本配置原則 21.防火墻兩種情況配置 22.防火墻的配置中的三個(gè)基本原則 23.網(wǎng)絡(luò)拓?fù)鋱D 3二方案設(shè)計(jì)原則 41. 先進(jìn)性與成熟性 42. 實(shí)用性與經(jīng)濟(jì)性 43. 擴(kuò)展性與兼容性 44. 標(biāo)準(zhǔn)化與開(kāi)放性 55. 安全性與可維護(hù)性 56. 整合型好 5三防火墻的初始配置 61.簡(jiǎn)述 62.防火墻的具體配置步驟 6四 Cisco PIX防火墻的基本配置 81. 連接 82. 初始化配置 83. enable命令 84定義以太端口 85. clock 86. 指定接口的安全級(jí)別 97. 配置以太網(wǎng)接口IP地址 98. access-group 99配置訪問(wèn)列表 910.

2、 地址轉(zhuǎn)換（NAT） 1011. Port Redirection with Statics 101.命令 102實(shí)例 1112. 顯示與保存結(jié)果 12五過(guò)濾型防火墻的訪問(wèn)控制表（ACL）配置 131. access-list：用于創(chuàng)建訪問(wèn)規(guī)則 132. clear access-list counters：清除訪問(wèn)列表規(guī)則的統(tǒng)計(jì)信息 143. ip access-grou 154. show access-list 155. show firewall 16一 防火墻的基本配置原則1.防火墻兩種情況配置拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類(lèi)型。允許所有的流量，

3、這種情況需要你特殊指定要拒絕的流量的類(lèi)型?？烧撟C地，大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后，你需要打開(kāi)一些必要的端口來(lái)使防火墻內(nèi)的用戶在通過(guò)驗(yàn)證之后可以訪問(wèn)系統(tǒng)。換句話說(shuō)，如果你想讓你的員工們能夠發(fā)送和接收Email，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開(kāi)啟允許POP3和SMTP的進(jìn)程。 2.防火墻的配置中的三個(gè)基本原則 （1）. 簡(jiǎn)單實(shí)用：對(duì)防火墻環(huán)境設(shè)計(jì)來(lái)講，首要的就是越簡(jiǎn)單越好。其實(shí)這也是任何事物的基本原則。越簡(jiǎn)單的實(shí)現(xiàn)方式，越容易理解和使用。而且是設(shè)計(jì)越簡(jiǎn)單，越不容易出錯(cuò)，防火墻的安全功能越容易得到保證，管理也越可靠和簡(jiǎn)便。 每種產(chǎn)品在開(kāi)發(fā)前都會(huì)有其主要功能定位

4、，比如防火墻產(chǎn)品的初衷就是實(shí)現(xiàn)網(wǎng)絡(luò)之間的安全控制，入侵檢測(cè)產(chǎn)品主要針對(duì)網(wǎng)絡(luò)非法行為進(jìn)行監(jiān)控。但是隨著技術(shù)的成熟和發(fā)展，這些產(chǎn)品在原來(lái)的主要功能之外或多或少地增加了一些增值功能，比如在防火墻上增加了查殺病毒、入侵檢測(cè)等功能，在入侵檢測(cè)上增加了病毒查殺功能。但是這些增值功能并不是所有應(yīng)用環(huán)境都需要，在配置時(shí)我們也可針對(duì)具體應(yīng)用環(huán)境進(jìn)行配置，不必要對(duì)每一功能都詳細(xì)配置，這樣一則會(huì)大大增強(qiáng)配置難度，同時(shí)還可能因各方面配置不協(xié)調(diào)，引起新的安全漏洞，得不償失。 （2）. 全面深入：?jiǎn)我坏姆烙胧┦请y以保障系統(tǒng)的安全的，只有采用全面的、多層次的深層防御戰(zhàn)略體系才能實(shí)現(xiàn)系統(tǒng)的真正安全。在防火墻配置中，我們不要

5、停留在幾個(gè)表面的防火墻語(yǔ)句上，而應(yīng)系統(tǒng)地看等整個(gè)網(wǎng)絡(luò)的安全防護(hù)體系，盡量使各方面的配置相互加強(qiáng)，從深層次上防護(hù)整個(gè)系統(tǒng)。這方面可以體現(xiàn)在兩個(gè)方面：一方面體現(xiàn)在防火墻系統(tǒng)的部署上，多層次的防火墻部署體系，即采用集互聯(lián)網(wǎng)邊界防火墻、部門(mén)邊界防火墻和主機(jī)防火墻于一體的層次防御；另一方面將入侵檢測(cè)、網(wǎng)絡(luò)加密、病毒查殺等多種安全措施結(jié)合在一起的多層安全體系。 （3）. 內(nèi)外兼顧：防火墻的一個(gè)特點(diǎn)是防外不防內(nèi)，其實(shí)在現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境中，80%以上的威脅都來(lái)自?xún)?nèi)部，所以我們要樹(shù)立防內(nèi)的觀念，從根本上改變過(guò)去那種防外不防內(nèi)的傳統(tǒng)觀念。對(duì)內(nèi)部威脅可以采取其它安全措施，比如入侵檢測(cè)、主機(jī)防護(hù)、漏洞掃描、病毒查殺。這

6、方面體現(xiàn)在防火墻配置方面就是要引入全面防護(hù)的觀念，最好能部署與上述內(nèi)部防護(hù)手段一起聯(lián)動(dòng)的機(jī)制。目前來(lái)說(shuō)，要做到這一點(diǎn)比較困難。3.網(wǎng)絡(luò)拓?fù)鋱D二方案設(shè)計(jì)原則1. 先進(jìn)性與成熟性采用當(dāng)今國(guó)內(nèi)、國(guó)際上先進(jìn)和成熟的計(jì)算機(jī)應(yīng)用技術(shù)，使搭建的硬件平臺(tái)能夠最大限度的適應(yīng)今后的辦公自動(dòng)化技術(shù)和系統(tǒng)維護(hù)的需要。從現(xiàn)階段的發(fā)展來(lái)看，系統(tǒng)的總體設(shè)計(jì)的先進(jìn)性原則主要體現(xiàn)在使用Thin-Client/Server計(jì)算機(jī)體系是先進(jìn)的、開(kāi)放的體系結(jié)構(gòu)，當(dāng)系統(tǒng)應(yīng)用量發(fā)生變化時(shí)具備良好的可伸縮性，避免瓶頸的出現(xiàn)。2. 實(shí)用性與經(jīng)濟(jì)性實(shí)用性就是能夠最大限度地滿足實(shí)際工作的要求，是每個(gè)系統(tǒng)平臺(tái)在搭建過(guò)程中必須考慮的一種系統(tǒng)性能，它

7、是對(duì)用戶最基本的承諾。辦公自動(dòng)化硬件平臺(tái)是為實(shí)際使用而建立，應(yīng)避免過(guò)度追求超前技術(shù)而浪費(fèi)投資。3. 擴(kuò)展性與兼容性系統(tǒng)設(shè)計(jì)除了可以適應(yīng)目前的應(yīng)用需要以外，應(yīng)充分考慮日后的應(yīng)用發(fā)展需要，隨著數(shù)據(jù)量的擴(kuò)大，用戶數(shù)的增加以及應(yīng)用范圍的拓展，只要相應(yīng)的調(diào)整硬件設(shè)備即可滿足需求。通過(guò)采用先進(jìn)的存儲(chǔ)平臺(tái)，保證對(duì)海量數(shù)據(jù)的存取、查詢(xún)以及統(tǒng)計(jì)等的高性能和高效率。同時(shí)考慮整個(gè)平臺(tái)的統(tǒng)一管理，監(jiān)控，降低管理成本。4. 標(biāo)準(zhǔn)化與開(kāi)放性系統(tǒng)設(shè)計(jì)應(yīng)采用開(kāi)放技術(shù)、開(kāi)放結(jié)構(gòu)、開(kāi)放系統(tǒng)組件和開(kāi)放用戶接口，以利于網(wǎng)絡(luò)的維護(hù)、擴(kuò)展升級(jí)及外界信息的溝通。計(jì)算機(jī)軟硬件和網(wǎng)絡(luò)技術(shù)有國(guó)際和國(guó)內(nèi)的標(biāo)準(zhǔn)，但技術(shù)標(biāo)準(zhǔn)不可能詳細(xì)得面面俱到，在一

8、些技術(shù)細(xì)節(jié)上各個(gè)生產(chǎn)廠商按照自己的喜好設(shè)計(jì)開(kāi)發(fā)，結(jié)果造成一些產(chǎn)品只能在較低的層面上互通，在較高層面或某些具體方面不能互通。我們不但選用符合標(biāo)準(zhǔn)的產(chǎn)品，而且盡量選用市場(chǎng)占有率高、且發(fā)展前景好的產(chǎn)品，以提高系統(tǒng)互通性和開(kāi)放性。5. 安全性與可維護(hù)性隨著應(yīng)用的發(fā)展，系統(tǒng)需要處理的數(shù)據(jù)量將有較大的增長(zhǎng)，并且將涉及到各類(lèi)的關(guān)鍵性應(yīng)用，系統(tǒng)的穩(wěn)定性和安全性要求都相對(duì)較高，任意時(shí)刻系統(tǒng)故障都可能給用戶帶來(lái)不可估量的損失，建議采用負(fù)載均衡的服務(wù)器群組來(lái)提高系統(tǒng)整體的高可用。6. 整合型好當(dāng)前采用企業(yè)級(jí)的域控制管理模式，方便對(duì)所有公司內(nèi)所有終端用戶的管理，同時(shí)又可以將公司里計(jì)算機(jī)的納入管理范圍，極大地降低了網(wǎng)絡(luò)

9、維護(hù)量，并能整體提高當(dāng)前網(wǎng)絡(luò)安全管理！三防火墻的初始配置1.簡(jiǎn)述像路由器一樣，在使用之前，防火墻也需要經(jīng)過(guò)基本的初始配置。但因各種防火墻的初始配置基本類(lèi)似，所以在此僅以Cisco PIX防火墻為例進(jìn)行介紹。防火墻的初始配置也是通過(guò)控制端口（Console）與PC機(jī)（通常是便于移動(dòng)的筆記本電腦）的串口連接，再通過(guò)Windows系統(tǒng)自帶的超級(jí)終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣。防火墻除了以上所說(shuō)的通過(guò)控制端口（Console）進(jìn)行初始配置外，也可以通過(guò)telnet和Tffp配置方式進(jìn)行高級(jí)配置，但Telnet配置方式都

10、是在命令方式中配置，難度較大，而Tffp方式需要專(zhuān)用的Tffp服務(wù)器軟件，但配置界面比較友好。防火墻與路由器一樣也有四種用戶配置模式，即：普通模式（Unprivileged mode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），進(jìn)入這四種用戶模式的命令也與路由器一樣：普通用戶模式無(wú)需特別命令，啟動(dòng)后即進(jìn)入；進(jìn)入特權(quán)用戶模式的命令為"enable"；進(jìn)入配置模式的命令為"config terminal"；而進(jìn)入端口模式的命令為"interface eth

11、ernet（）"。不過(guò)因?yàn)榉阑饓Φ亩丝跊](méi)有路由器那么復(fù)雜，所以通常把端口模式歸為配置模式，統(tǒng)稱(chēng)為"全局配置模式"。2.防火墻的具體配置步驟1. 將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上。 2. 打開(kāi)PIX防火電源，讓系統(tǒng)加電初始化，然后開(kāi)啟與防火墻連接的主機(jī)。3. 運(yùn)行筆記本電腦Windows系統(tǒng)中的超級(jí)終端（HyperTerminal）程序（通常在"附件"程序組中）。對(duì)超級(jí)終端的配置與交換機(jī)或路由器的配置一樣，參見(jiàn)本教程前面有關(guān)介紹。 4. 當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示"pixfire

12、wall>"的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式?？梢赃M(jìn)行進(jìn)一步的配置了。5. 輸入命令：enable,進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。6. 輸入命令： configure terminal,進(jìn)入全局配置模式，對(duì)系統(tǒng)進(jìn)行初始化設(shè)置。（1）. 首先配置防火墻的網(wǎng)卡參數(shù)（以只有1個(gè)LAN和1個(gè)WAN接口的防火墻配置為例）Interface ethernet0 auto # 0號(hào)網(wǎng)卡系統(tǒng)自動(dòng)分配為WAN網(wǎng)卡，"auto"選項(xiàng)為系統(tǒng)自適應(yīng)網(wǎng)卡類(lèi)型Interface ethernet1 auto（2）. 配置防火墻內(nèi)

13、、外部網(wǎng)卡的IP地址IP address inside ip_address netmask # Inside代表內(nèi)部網(wǎng)卡 IP address outside ip_address netmask # outside代表外部網(wǎng)卡 （3）. 指定外部網(wǎng)卡的IP地址范圍：global 1 ip_address-ip_address （4）. 指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址 nat 1 ip_address netmask（5）. 配置某些控制選項(xiàng)：conduit global_ip port-port protocol foreign_ip netmask 其中，global_ip：指的是要控制的地址

14、；port：指的是所作用的端口，0代表所有端口；protocol：指的是連接協(xié)議，比如：TCP、UDP等；foreign_ip：表示可訪問(wèn)的global_ip外部IP地址；netmask：為可選項(xiàng)，代表要控制的子網(wǎng)掩碼。7. 配置保存：wr mem8. 退出當(dāng)前模式 9. 查看當(dāng)前用戶模式下的所有可用命令：show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡(jiǎn)單功能描述。10. 查看端口狀態(tài)：show interface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。11. 查看靜態(tài)地址映射:show static，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)

15、行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。四 Cisco PIX防火墻的基本配置1. 連接同樣是用一條串行電纜從電腦的COM口連到Cisco PIX 525防火墻的console口；2. 初始化配置開(kāi)啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的"超級(jí)終端"，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date(日期、time(時(shí)間、hostname(主機(jī)名稱(chēng)、inside ip address(內(nèi)部網(wǎng)卡IP地址、domain(主域等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pix255>。3. enable命令輸入enable命令，進(jìn)

16、入Pix 525特權(quán)用戶模式,默然密碼為空。如果要修改此特權(quán)用戶模式密碼，則可用enable password命令，命令格式為：enable password password encrypted，這個(gè)密碼必須大于16位。Encrypted選項(xiàng)是確定所加密碼是否需要加密。4定義以太端口先必須用enable命令進(jìn)入特權(quán)用戶模式，然后輸入configure terminal（可簡(jiǎn)稱(chēng)為config t）,進(jìn)入全局配置模式模式。 在默然情況下ethernet0是屬外部網(wǎng)卡outside, ethernet1是屬內(nèi)部網(wǎng)卡inside, inside在初始化配置成功的情況下已經(jīng)被激活生效了，但是outsi

17、de必須命令配置激活。5. clock 配置時(shí)鐘，這也非常重要，這主要是為防火墻的日志記錄而資金積累的，如果日志記錄時(shí)間和日期都不準(zhǔn)確，也就無(wú)法正確分析記錄中的信息。這須在全局配置模式下進(jìn)行。6. 指定接口的安全級(jí)別指定接口安全級(jí)別的命令為nameif，分別為內(nèi)、外部網(wǎng)絡(luò)接口指定一個(gè)適當(dāng)?shù)陌踩?jí)別。在此要注意，防火墻是用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)的，外部網(wǎng)絡(luò)是通過(guò)外部接口對(duì)內(nèi)部網(wǎng)絡(luò)構(gòu)成威脅的，所以要從根本上保障內(nèi)部網(wǎng)絡(luò)的安全，需要對(duì)外部網(wǎng)絡(luò)接口指定較高的安全級(jí)別，而內(nèi)部網(wǎng)絡(luò)接口的安全級(jí)別稍低，這主要是因?yàn)閮?nèi)部網(wǎng)絡(luò)通信頻繁、可信度高。在Cisco PIX系列防火墻中，安全級(jí)別的定義是由security（）這

18、個(gè)參數(shù)決定的，數(shù)字越小安全級(jí)別越高，所以security0是最高的，隨后通常是以10的倍數(shù)遞增，安全級(jí)別也相應(yīng)降低。7. 配置以太網(wǎng)接口IP地址8. access-group 這個(gè)命令是把訪問(wèn)控制列表綁定在特定的接口上。須在配置模式下進(jìn)行配置。命令格式為：access-group acl_ID in interface interface_name，其中的"acl_ID"是指訪問(wèn)控制列表名稱(chēng)，interface_name為網(wǎng)絡(luò)接口名稱(chēng)。9配置訪問(wèn)列表 所用配置命令為：access-list，合格格式比較復(fù)雜。 其中的100表示訪問(wèn)規(guī)則號(hào)，根據(jù)當(dāng)前已配置的規(guī)則條數(shù)來(lái)確定，不能

19、與原來(lái)規(guī)則的重復(fù)，也必須是正整數(shù)。關(guān)于這個(gè)命令還將在下面的高級(jí)配置命令中詳細(xì)介紹。10. 地址轉(zhuǎn)換（NAT）防火墻的NAT配置與路由器的NAT配置基本一樣，首先也必須定義供NAT轉(zhuǎn)換的內(nèi)部IP地址組，接著定義內(nèi)部網(wǎng)段。定義供NAT轉(zhuǎn)換的內(nèi)部地址組的命令是nat，它的格式為：nat (if_name nat_id local_ip netmask max_conns em_limit，其中if_name為接口名；nat_id參數(shù)代表內(nèi)部地址組號(hào)；而local_ip為本地網(wǎng)絡(luò)地址；netmask為子網(wǎng)掩碼；max_conns為此接口上所允許的最大TCP連接數(shù)，默認(rèn)為"0"，表示

20、不限制連接；em_limit為允許從此端口發(fā)出的連接數(shù)，默認(rèn)也為"0"，即不限制。地址組。 隨后再定義內(nèi)部地址轉(zhuǎn)換后可用的外部地址池，它所用的命令為global,基本命令格式為： global (if_name nat_id global_ip netmask max_conns em_limit ，各參數(shù)解釋同上。如：11. Port Redirection with Statics1.命令這是靜態(tài)端口重定向命令。在Cisco PIX版本6.0以上，增加了端口重定向的功能，允許外部用戶通過(guò)一個(gè)特殊的IP地址/端口通過(guò)防火墻傳輸?shù)絻?nèi)部指定的內(nèi)部服務(wù)器。其中重定向后的地址可以

21、是單一外部地址、共享的外部地址轉(zhuǎn)換端口（PAT），或者是共享的外部端口。這種功能也就是可以發(fā)布內(nèi)部WWW、FTP、Mail等服務(wù)器，這種方式并不是直接與內(nèi)部服務(wù)器連接，而是通過(guò)端口重定向連接的，所以可使內(nèi)部服務(wù)器很安全。命令格式有兩種，分別適用于TCP/UDP通信和非TCP/UDP通信：(1. static(internal_if_name, external_if_nameglobal_ipinterfacelocal_ipnetmask mask max_conns emb_limitnorandomseq（2）. static (internal_if_name, external_if

22、_name tcpudpglobal_ipinterface global_port local_ip local_port netmask mask max_conns emb_limit norandomseq 此命令中的以上各參數(shù)解釋如下：internal_if_name：內(nèi)部接口名稱(chēng)；external_if_name：外部接口名稱(chēng)；tcpudp：選擇通信協(xié)議類(lèi)型；global_ipinterface：重定向后的外部IP地址或共享端口；local_ip：本地IP地址；netmask mask：本地子網(wǎng)掩碼；max_conns：允許的最大TCP連接數(shù)，默認(rèn)為"0"，即不

23、限制；emb_limit：允許從此端口發(fā)起的連接數(shù)，默認(rèn)也為"0"，即不限制；norandomseq：不對(duì)數(shù)據(jù)包排序，此參數(shù)通常不用選。2實(shí)例現(xiàn)在我們舉一個(gè)實(shí)例，實(shí)例要求如下外部用戶向防火墻的外部地址的8080端口發(fā)出HTTP請(qǐng)求時(shí)，重定向到的80號(hào)端口。以上重寫(xiě)向過(guò)程要求如圖2所示，防火墻的內(nèi)部端口IP地址為，外部端口地址為。 以上各項(xiàng)重定向要求對(duì)應(yīng)的配置語(yǔ)句如下：12. 顯示與保存結(jié)果 顯示結(jié)果所用命令為：show config；保存結(jié)果所用命令為：write memory。五過(guò)濾型防火墻的訪問(wèn)控制表（ACL）配置1. access-list：用于創(chuàng)建訪問(wèn)規(guī)則 這一訪問(wèn)

24、規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個(gè)序號(hào)的規(guī)則可以看作一類(lèi)規(guī)則，同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過(guò) show access-list 命令看到。在這個(gè)命令中，又有幾種命令格式，分別執(zhí)行不同的命令。（1）創(chuàng)建標(biāo)準(zhǔn)訪問(wèn)列表 命令格式：access-list normal special listnumber1 permit deny source-addr source-mask （2）創(chuàng)建擴(kuò)展訪問(wèn)列表 命令格式：access-list normal special listnumber2 permit deny protocol source-add

25、r source-mask operator port1 port2 dest-addr dest-mask operator port1 port2 icmp-type icmp-code log （3）刪除訪問(wèn)列表命令格式：no access-list normal special all listnumber subitem 上述命令參數(shù)說(shuō)明如下：normal：指定規(guī)則加入普通時(shí)間段。 special：指定規(guī)則加入特殊時(shí)間段。listnumber1：是1到99之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問(wèn)列表規(guī)則。 listnumber2：是100到199之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問(wèn)列表規(guī)則。

26、permit：表明允許滿足條件的報(bào)文通過(guò)。 deny：表明禁止?jié)M足條件的報(bào)文通過(guò)。 protocol：為協(xié)議類(lèi)型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時(shí)沒(méi)有端口比較的概念；為IP時(shí)有特殊含義，代表所有的IP協(xié)議。 source-addr：為源IP地址。 dest-addr：為目的IP地址。dest-mask：為目的地址的子網(wǎng)掩碼。 operator：端口操作符，在協(xié)議類(lèi)型為T(mén)CP或UDP時(shí)支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個(gè)端口。port1 在協(xié)議類(lèi)型為T(mén)CP或U

27、DP時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或065535之間的一個(gè)數(shù)值。port2 在協(xié)議類(lèi)型為T(mén)CP或UDP且操作類(lèi)型為range時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或065535之間的一個(gè)數(shù)值。icmp-type：在協(xié)議為ICMP時(shí)出現(xiàn)，代表ICMP報(bào)文類(lèi)型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply）或者是0255之間的一個(gè)數(shù)值。icmp-code：在協(xié)議為ICMP，且沒(méi)有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表ICMP碼，是0255之間的一個(gè)數(shù)值。log：表示如果報(bào)文符合條件，需要做日志。listnumber：為刪除的規(guī)則序號(hào)，是1199之間的一個(gè)數(shù)值。su

28、bitem：指定刪除序號(hào)為listnumber的訪問(wèn)列表中規(guī)則的序號(hào)。2. clear access-list counters：清除訪問(wèn)列表規(guī)則的統(tǒng)計(jì)信息命令格式：clear access-list counters listnumber 這一命令必須在特權(quán)用戶模式下進(jìn)行配置。listnumber 參數(shù)是用指定要清除統(tǒng)計(jì)信息的規(guī)則號(hào)，如不指定，則清除所有的規(guī)則的統(tǒng)計(jì)信息。如要在華為的一款包過(guò)濾路由器上清除當(dāng)前所使用的規(guī)則號(hào)為100的訪問(wèn)規(guī)則統(tǒng)計(jì)信息。訪問(wèn)配置語(yǔ)句為：clear access-list counters 100 如有清除當(dāng)前所使用的所有規(guī)則的統(tǒng)計(jì)信息，則以上語(yǔ)句需改為：Quid

29、way#clear access-list counters3. ip access-group 使用此命令將訪問(wèn)規(guī)則應(yīng)用到相應(yīng)接口上。使用此命令的no形式來(lái)刪除相應(yīng)的設(shè)置，對(duì)應(yīng)格式為：ip access-group listnumber in out 此命令須在端口用戶模式下配置，進(jìn)入端口用戶模式的命令為：interface ethernet（），括號(hào)中為相應(yīng)的端口號(hào)，通常0為外部接口，而1為內(nèi)部接口。進(jìn)入后再用ip access-group 命令來(lái)配置訪問(wèn)規(guī)則。listnumber參數(shù)為訪問(wèn)規(guī)則號(hào)，是1199之間的一個(gè)數(shù)值（包括標(biāo)準(zhǔn)訪問(wèn)規(guī)則和擴(kuò)展訪問(wèn)規(guī)則兩類(lèi)）；in 表示規(guī)則應(yīng)用于過(guò)濾從接

30、口接收到的報(bào)文；而out表示規(guī)則用于過(guò)濾從接口轉(zhuǎn)發(fā)出去的報(bào)文。一個(gè)接口的一個(gè)方向上最多可以應(yīng)用20類(lèi)不同的規(guī)則；這些規(guī)則之間按照規(guī)則序號(hào)的大小進(jìn)行排列，序號(hào)大的排在前面，也就是優(yōu)先級(jí)高。對(duì)報(bào)文進(jìn)行過(guò)濾時(shí)，將采用發(fā)現(xiàn)符合的規(guī)則即得出過(guò)濾結(jié)果的方法來(lái)加快過(guò)濾速度。所以，建議在配置規(guī)則時(shí)，盡量將對(duì)同一個(gè)網(wǎng)絡(luò)配置的規(guī)則放在同一個(gè)序號(hào)的訪問(wèn)列表中；在同一個(gè)序號(hào)的訪問(wèn)列表中，規(guī)則之間的排列和選擇順序可以用show access-list命令來(lái)查看。例如將規(guī)則100應(yīng)用于過(guò)濾從外部網(wǎng)絡(luò)接口上接收到的報(bào)文，配置語(yǔ)句為（同樣為在傾為包過(guò)濾路由器上）：ip access-group 100 in 如果要?jiǎng)h除某個(gè)訪問(wèn)控制表列綁定設(shè)置，則可用no ip access-group listnumber in out 命令。4. show access-list 此配置命令用于顯示包過(guò)濾規(guī)則在