FWALLCREFWord格式文档下载.docx
- 文档编号:17578352
- 上传时间:2022-12-07
- 格式:DOCX
- 页数:20
- 大小:24.13KB
FWALLCREFWord格式文档下载.docx
《FWALLCREFWord格式文档下载.docx》由会员分享,可在线阅读,更多相关《FWALLCREFWord格式文档下载.docx(20页珍藏版)》请在冰豆网上搜索。
parameter:
可选参数有nameinspection_name:
限制只显示指定的审查规则
interface:
显示在路由器接口上激活的审查规则
all:
显示所有的信息
使用该命令查看关于(特殊)协议的审查规则的信息
下面的示例用来查看审查规则abc的信息:
Ruijie#showipinspectnameabc
Inspectionnameabc
ftp
mms
跟cisco类似,信息量少一些。
ipinspect
在接口上应用审查规则,该命令的no形式在该接口上禁用该条审查规则。
ipinspectinspection_name{in|out}
noipinspectinspection_name{in|out}
要激活的审查规则的名字
in|out:
审查作用在接口上的方向
接口配置模式。
使用该命令在接口上应用审查规则
如果在某个接口的同一个方向上应用多个审查规则,以最后一个规则为准(某个接口的一个方向上,只能有一个特殊协议审查规则,这个规则里面可以审查多个特殊协议)
将任意一个特殊协议审查规则应用到了某个接口(方向)上,防火墙特殊协议模块就启用了;
所有的接口(方向)上都没有应用特殊协议审查规则,防火墙特殊协议功能自动关闭。
下面的示例用来在以太网1/0口的入方向上激活abc审查规则:
Ruijie(conf)#interfaceethernet1/0
Ruijie(conf-if)#ipinspectabcin
跟cisco一样。
IPMAC绑定
ipmacbind
配置一个IPMAC地址的绑定规则。
该命令的no形式来删除该条绑定规则。
ipmacbindA.B.C.DH.H.Hlog
noipmacbindA.B.C.DH.H.Hlog
A.B.C.D:
要绑定的IP地址
H.H.H:
要绑定的MAC地址
log:
是否记录日志
防火墙IPMAC绑定功能缺省关闭
使用该命令配置一个绑定规则
配置了任意一个绑定规则后,防火墙IPMAC绑定功能就自动启用了
删除所有的绑定规则后,防火墙IPMAC绑定功能就自动关闭了
一个MAC地址上可以绑定多个IP地址,但一个IP地址只允许绑定一个MAC地址。
下面的示例配置了一个绑定规则:
Ruijie(config)#ipmacbind192.168.52.6652e1.5d33.aa21log
Cisco没有该命令
ipmacbindauto
从ARP表中导入IPMAC地址绑定规则。
ipmacbindautolog
使用该命令从ARP表导入IPMAC地址绑定规则,防火墙IPMAC绑定功能自动启用了。
下面的示例从ARP表中导入IPMAC地址绑定规则:
Ruijie(config)#ipmacbindauto
clearipmacbind
清除IPMAC地址绑定规则。
clearipmacbind{dynamic|all}
dynamic:
清除所有从ARP表导入的动态IPMAC绑定规则;
all:
清除所有的IPMAC绑定规则
如果IPMAC地址绑定规则全空了,防火墙IPMAC绑定功能也就自动关闭了。
下面的示例清除所有的从ARP表中导入的动态IPMAC绑定规则:
Ruijie#clearipmacbinddynamic
showipmacbind
查看关于IPMAC地址绑定规则的信息。
showipmacbindtable|hash|statistic
table:
查看IPMAC地址绑定规则表
hash:
查看IPMAC地址绑定规则哈希表
statistic:
查看IPMAC地址绑定的统计信息(丢包数量)
使用该命令查看关于IPMAC地址绑定规则的信息。
下面的示例查看关于IPMAC地址绑定规则的信息:
Ruijie#showipmacbindtable
No.TypeIPaddressMACaddressLog
1static192.168.52.6652e1.5d33.aa21on
2auto192.168.52.50112e.3ca4.3381off
<
--outputomitted-->
网络入口过滤
ipingress-filter
要启用网络入口过滤功能。
该命令的no形式关闭网络入口过滤功能。
ipingress-filterlog
noipingress-filter
网络入口过滤功能缺省关闭
缺省情况下,网络入口过滤功能是关闭的,故如果要启用此项功能,必须首先使用该命令。
如果不使用此项功能,可以使用该命令的no形式关闭。
下面的示例启用网络入口过滤功能:
Ruijie(config)#interfaceethernet1/0
Ruijie(conf-if)#ipingress-filterlog
showipingress-filter
查看关于网络入口过滤的信息(功能是否开启,阻断了多少条非法的流)。
下面的示例查看网络入口过滤功能的信息:
Ruijie#showipingress-filter
FirewallNetwork-ingress-filterisenable,blocked0flows
InterfaceGigabitEthernet1/0:
logison,blocked0flows
TCPSYN代理
iptcp-interceptlist
在某个接口的某个方向上对指定的网络流量启用TCPSYN代理功能。
该命令的no形式关闭该功能。
iptcp-interceptlistextended_ACL_#{in|out}<
log>
noiptcp-interceptlistextended_ACL_#{in|out}<
extended_ACL_#:
指定网络流量
作用在接口上的方向
TCPSYN代理功能缺省关闭
注意必须在接口模式下配置。
下面的示例在eth1/0的入方向上对所有的TCP流进行TCPSYN代理:
Ruijie(config)#access-list100tcppermitanyany
Ruijie(config)#interfaceethernet1/0
Ruijie(config-if)#iptcp-interceptlist100inlog
跟cisco不一样,cisco不跟接口和方向相关。
showiptcp-intercept
查看TCPSYN代理的相关信息。
该命令查看TCPSYN代理的相关信息
主要包括:
被代理拒绝的连接数,通过代理的连接数,连接总数
下面的示例查看TCPSYN代理的信息:
Ruijie#showiptcp-intercept
Interceptingnewconnectionsusingaccess-list100atGigabitEthernet0/1in
12incomplete,5establishedconnections(total17)
跟cisco类似
TCP顺序号检查
ipinspectnametcp
配置tcp协议的审查规则(TCP顺序号检查)。
ipinspectnameinspection_nametcp
noipinspectnameinspection_nametcp
该审查规则的名字,类似于ACL中的名称
使用该命令配置一个tcp审查规则
tcp审查规则应用到接口上,采用ipinspect命令。
tcp审查规则的查看,采用showipinspect命令。
下面的示例配置了一个tcp审查规则tcp_inspec:
Ruijie(config)#ipinspectnametcp_inspectcp
是ipinspectname命令的另外一种情况。
也需要使用ipinspect命令来应用到接口上,使用showipinspect可以查看审查的相关信息。
url过滤
ipurlfilterrule
此命令用来增加或修改一个或若干个URL到一个类别中,
命令的no形式用来删除一个url及其对应的类别的关联。
ipurlfilterruleurl-categoryurl-addr
noipurlfilterruleurl-categoryurl-addr
url-categoryurl地址类别
url-addrurl地址
如果要对某个URL地址进行过滤,请先在全局模式下用URL命令将该地址及其所属的类别进行登记。
如果要删除某个已登记的URL地址,请用nourl命令。
比如,可以将等统一归为一个类别,porn。
说明:
url的第一个字符必须是一个“.”。
另外,通配符只能在规则的两端出现,不能在字符串中间出现。
登记的url地址必须为一级域名,不能是二级域名地址
下面的命令登记一个URL地址,然后再删除它:
Ruijie(config)#ipurlfilterruleporn
Ruijie(config)#noipurlfilterruleporn
下面的命令登记一个带有前置通配符的URL地址,然后再删除它:
Ruijie(config)#ipurlfilterruleporn.*
Ruijie(config)#noipurlfilterruleporn.*
下面的命令登记一个带有后置通配符URL地址,然后再删除它:
Ruijie(config)#ipurlfilterruleporn.sex*
Ruijie(config)#noipurlfilterruleporn.sex*
下面的命令登记一个前后都有通配符的URL地址,然后再删除它:
Ruijie(config)#ipurlfilterruleporn.*sex*
Ruijie(config)#noipurlfilterruleporn.*sex*
ipurlfiltercategory
设置url过滤规则的url类别,将一个或若干个url类别加入到一个规则中。
命令的no形式删除一个url类别。
ipurlfitercategoryurl-filter-nourl-category
noipurlfiltercategoryurl-filter-no<
url-category>
url-filter-nourl规则编号(ID)
url-categoryurl类别
无任何url类别
如果想在一条url过滤规则中增加或URL类别,请在全局安全策略模式下使用ipurlfiltercategory命令,
如果要删除URL类别过滤规则,请使用noipurlfiltercategory命令。
下面的命令在编号为10的url过滤规则中增加一个名为porn的url类别:
Ruijie(config)#ipurlfiltercategory10porn
ipurlfilterexclusive-domain
此命令用于增加或修改一条url过滤规则到接口上,
该命令的no形式用于在删除一条或全部的url过滤规则。
该命令被应用后,如果当前被处理的url请求能在过滤规则的类别中找到匹配项,则动作为action,否则以action相反的动作处理。
ipurlfilterexclusive-domainurl-filter-noacl-noaction{in|out}<
log>
noipurlfilterexclusive-domainurl-filter-noacl-noaction{in|out}<
url-filter-no:
url规则编号(ID)
acl-no:
acl规则号
action:
动作,block:
拒绝,permit:
接受
{in|out}:
方向,in:
入口方向,out:
出口方向
Log:
记录url过滤日志
如果想增加或修改对URL过滤规则,请在全局安全策略模式下使用url-filter命令,如果要删除URL过滤规则,请使用noipurlfilter命令。
设备按过滤规则创建的次序将报文与规则进行比较,找到匹配的规则后,便不再检查其他规则。
下面的命令增加一条编号为10,acl为100的URL过滤规则,动作为拒绝,缺省动作为允许,规则作用在接口的出口方向,记录日志。
Ruijie(config-if)#ipurlfilterexclusive-domain10100blockoutlog
showipurlfilter
使用该命令来监控url过滤模块。
可以使用下面三条命令来监控:
showipurlfilterconfig{address|rule|setting}显示路由器上url过滤得配置。
showipurlfilterstatistics显示该模块的审查统计信息,包括发送到和从内容服务器受到的允许的数目、以及被阻塞连接的数目。
addressurl地址配置信息
ruleurl规则配置信息
settingurl过滤接口应用信息
showipurlfilterconfigsetting命令使用在接口配置下显示当前接口规则应用情况,全局模式下显示为最后一次进入接口模式端口配置情况。
下面看一些这些命令输出的例子。
使用showipurlfilterconfigaddress命令
shoipurlfilterconfaddress
================[Urlwithoutwildcard]===============
cls_namecls-idurl-addressaaa1
===========[Urlno-wildcardend]=====================
================[RelativeCLICommand]==============
ipurlfilterruleaaa
===[RelativeCLICommandToDeltheRules]==========
noipurlfilterruleaaa
使用showipurlfilterconfigrule命令
IpUrlFilterRuleconfigure
IdAttributeDetails
------------------------------------------------
1contain-class:
aaa
================[RelativeCLICommand]============
ipurlfiltercategory1aaa
======[RelativeCLICommandToDeltheRules]==========
noipurlfiltercategory1aaa
使用showipurlfilterconfigsetting命令
=====[UrlFilterRulesOngigabitEthernet0/0]========
RulesOnInput
IdAclActionClass-nameUrl-address
----------------------------------------------------
11blockaaa
RelativeCLICommand
ipurlfilterexclusive-domain11blockinlog
RelativeCLICommandtoDelRules
noipurlfilterexclusive-domain11blockinlog
=====[UrlFilterRulesOngigabitEthernet0/0End]=======
使用showipurlfilterstatistic命令
showipurlfilterstatistics
urlfilterstatistics
therule1
Totalrequestsallowed:
0
Totalrequestsblocked:
0
会话限制
session-limit
配置对指定用户范围内所有用户总连接数限制功能
session-limitaccess-groupacl_noraterateconcurrentsession_no{in|out}<
nosession-limitaccess-groupacl_noraterateconcurrentsession_no{in|out}<
acl_no规则对应访问列表号
rate新建连接数率
session_no最大并发连接数
in|out连接方向
不做限制
流量管理命令配置在出接口
配置访问列表内用户最大并发连接数1000,,每秒允许新建100条连接
session-limitaccess-group1rate100concurrent10000inlog
该命令必须配合在出接口,否则不生效。
该功能对整体效率影响不大。
流量管理
iprate-control
配置对指定用户范围内每个用户流量限制功能
iprate-controlacl_nobandwidth{both|up|down}rate<
sessiontotalsession_no>
<
raterate_no>
noiprate-controlacl_nobandwidth{both|up|down}rate<
acl_no:
规则对应访问列表号
rate:
带宽速率,单位kBps
session_no:
最大并发连接数
rate_no:
新建连接数率
带宽控制配置上下行一样的情况系统默认调整为both
配置访问列表内用户最大带宽200kBps,并发500条流,每秒允许新建100条连接
iprate-control1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- FWALLCREF