华为某个型号防火墙的基本配置命令

为路由器防火墙配置命令总结

一、access-list 用于创建访问规则。

（1）创建标准访问列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）创建 <-- Script Filtered/n/n-->扩展访问列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

（3）删除访问列表

no access-list { normal | special } { all | listnumber [ subitem ] }

参数说明

normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1 是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2 是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0000。

dest-addr 为目的地址。

dest-mask 为目的地址通配位。

operator[可选] 端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。

icmp-type[可选] 在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。

icmp-code在协议为ICMP且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。

log [可选] 表示如果报文符合条件，需要做日志。

listnumber 为删除的规则序号，是1~199之间的一个数值。

subitem[可选] 指定删除序号为listnumber的访问列表中规则的序号。

缺省情况

系统缺省不配置任何访问规则。

命令模式

全局配置模式

使用指南

同一个序号的规则可以看作一类规则；所定义的规则不仅可以用来在接口上过滤报文，也可以被如DDR等用来判断一个报文是否是感兴趣的报文，此时，permit与deny表示是感兴趣的还是不感兴趣的。

使用协议域为IP的扩展访问列表来表示所有的IP协议。

同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。

举例

允许源地址为10110 网络、目的地址为10120网络的WWW访问，但不允许使用FTP。

Quidway(config)#access-list 100 permit tcp 10110 000255 10120 000255 eq www

Quidway(config)#access-list 100 deny tcp 10110 000255 10120 000255 eq ftp

相关命令

ip access-group

二、clear access-list counters 清除访问列表规则的统计信息。

clear access-list counters [ listnumber ]

参数说明

listnumber [可选] 要清除统计信息的规则的序号，如不指定，则清除所有的规则的统计信息。

缺省情况

任何时候都不清除统计信息。

命令模式

特权用户模式

使用指南

使用此命令来清除当前所用规则的统计信息，不指定规则编号则清除所有规则的统计信息。

举例

例1：清除当前所使用的序号为100的规则的统计信息。

Quidway#clear access-list counters 100

例2：清除当前所使用的所有规则的统计信息。

Quidway#clear access-list counters

相关命令

access-list

三、firewall 启用或禁止防火墙。

firewall { enable | disable }

参数说明

enable 表示启用防火墙。

disable 表示禁止防火墙。

缺省情况

系统缺省为禁止防火墙。

命令模式

全局配置模式

使用指南

使用此命令来启用或禁止防火墙，可以通过show firewall命令看到相应结果。如果采用了时间段包过滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙的总开关。在使用 firewall disable 命令关闭防火墙时，防火墙本身的统计信息也将被清除。

举例

启用防火墙。

Quidway(config)#firewall enable

相关命令

access-list，ip access-group

四、firewall default 配置防火墙在没有相应的访问规则匹配时，缺省的过滤方式。

firewall default { permit | deny }

参数说明

permit 表示缺省过滤属性设置为“允许”。

deny 表示缺省过滤属性设置为“禁止”。

缺省情况

在防火墙开启的情况下，报文被缺省允许通过。

命令模式

全局配置模式

使用指南

当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时，缺省的过滤属性将起作用；如果缺省过滤属性是“允许”，则报文可以通过，否则报文被丢弃。

举例

设置缺省过滤属性为“允许”。

Quidway(config)#firewall default permit

五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。

ip access-group listnumber { in | out }

[ no ] ip access-group listnumber { in | out }

参数说明

listnumber 为规则序号，是1~199之间的一个数值。

in 表示规则用于过滤从接口收上来的报文。

out 表示规则用于过滤从接口转发的报文。

缺省情况

没有规则应用于接口。

命令模式

接口配置模式。

使用指南

使用此命令来将规则应用到接口上；如果要过滤从接口收上来的报文，则使用 in 关键字；如果要过滤从接口转发的报文，使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。

举例

将规则101应用于过滤从以太网口收上来的报文。

Quidway(config-if-Ethernet0)#ip access-group 101 in

相关命令

access-list

六、settr 设定或取消特殊时间段。

settr begin-time end-time

no settr

参数说明

begin-time 为一个时间段的开始时间。

end-time 为一个时间段的结束时间，应该大于开始时间。

缺省情况

系统缺省没有设置时间段，即认为全部为普通时间段。

命令模式

全局配置模式

使用指南

使用此命令来设置时间段；可以最多同时设置6个时间段，通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段，则此修改将在一分钟左右生效（系统查询时间段的时间间隔）。设置的时间应该是24小时制。如果要设置类似晚上9点到早上8点的时间段，可以设置成“settr 21:00 23:59 0:00 8:00”，因为所设置的时间段的两个端点属于时间段之内，故不会产生时间段内外的切换。另外这个设置也经过了2000问题的测试。

举例

例1：设置时间段为8:30 ~ 12:00，14:00 ~ 17:00。

Quidway(config)#settr 8:30 12:00 14:00 17:00

例2： 设置时间段为晚上9点到早上8点。

Quidway(config)#settr 21:00 23:59 0:00 8:0

相关命令

timerange，show timerange

七、show access-list 显示包过滤规则及在接口上的应用。

show access-list [ all | listnumber | interface interface-name]

参数说明

all 表示所有的规则，包括普通时间段内及特殊时间段内的规则。

listnumber 为显示当前所使用的规则中序号为listnumber的规则。

interface 表示要显示在指定接口上应用的规则序号。

interface-name 为接口的名称。

命令模式

特权用户模式

使用指南

使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1；通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。可以通过带interface关键字的show access-list命令来查看某个接口应用规则的情况。

举例

例1：显示当前所使用的序号为100的规则。

Quidway#show access-list 100

Using normal packet-filtering access rules now

100 deny icmp 10100 00255255 any host-redirect (3 matches,252 bytes -- rule 1)

100 permit icmp 10100 00255255 any echo (no matches -- rule 2)

100 deny udp any any eq rip (no matches -- rule 3)

例2： 显示接口Serial0上应用规则的情况。

Quidway#show access-list interface serial 0

Serial0:

access-list filtering In-bound packets : 120

access-list filtering Out-bound packets: None

相关命令

access-list

八、show firewall 显示防火墙状态。

show firewall

命令模式

特权用户模式

使用指南

使用此命令来显示防火墙的状态，包括防火墙是否被启用，启用防火墙时是否采用了时间段包过滤及防火墙的一些统计信息。

举例

显示防火墙状态。

Quidway#show firewall

Firewall is enable, default filtering method is 'permit'

TimeRange packet-filtering enable

InBound packets: None;

OutBound packets: 0 packets, 0 bytes, 0% permitted,

0 packets, 0 bytes, 0% denied,

2 packets, 104 bytes, 100% permitted defaultly,

0 packets, 0 bytes, 100% denied defaultly

From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted

相关命令

firewall

九、show isintr 显示当前时间是否在时间段之内。

show isintr

命令模式

特权用户模式

使用指南

使用此命令来显示当前时间是否在时间段之内。

举例

显示当前时间是否在时间段之内。

Quidway#show isintr

It is NOT in time ranges now

相关命令

timerange，settr

十、show timerange 显示时间段包过滤的信息。

show timerange

命令模式

特权用户模式

使用指南

使用此命令来显示当前是否允许时间段包过滤及所设置的时间段。

举例

显示时间段包过滤的信息。

Quidway#show timerange

TimeRange packet-filtering enable

beginning of time range:

01:00 - 02:00

03:00 - 04:00

end of time range

相关命令

timerange，settr

十一、timerange 启用或禁止时间段包过滤功能。

timerange { enable | disable }

参数说明

enable 表示启用时间段包过滤。

disable 表示禁止采用时间段包过滤。

缺省情况

系统缺省为禁止时间段包过滤功能。

命令模式

全局配置模式

使用指南

使用此命令来启用或禁止时间段包过滤功能，可以通过show firewall命令看到，也可以通过show timerange命令看到配置结果。在时间段包过滤功能被启用后，系统将根据当前的时间和设置的时间段来确定使用时间段内（特殊）的规则还是时间段外（普通）的规则。系统查询时间段的精确度为1分钟。所设置的时间段的两个端点属于时间段之内。

举例

启用时间段包过滤功能。

Quidway(config)#timerange enable

相关命令

settr，show timerange

华为防火墙usg6000,我需要配置某一段端口的映射,但不成功,哪位大神帮我

端口映射是华为防火墙中的一个常用功能，举个例子就是你内网有一台服务器，想让外网的访问者能够直接访问到这台服务器。

首先检查您设置的端口影射是否正确映射到您内网的服务器。即您设置的转发规则的IP地址是否为您服务器的IP地址。无法访问内网的服务器，请检查服务器是否开启了。

在防火墙的界面里面，找到“端口映射”，进行配置就可以了。有些路由器管这个功能叫做“虚拟服务器”。

修改防火墙登陆密码。查看、保存和删除防火墙配置。在防火墙上配置vlan、地址接口、测试基本连通性修改防火墙登陆密码。查看、保存和删除防火墙配置。

进入防火墙命令视图创建监视接口配置端口镜像，将被监视接口的流量镜像到特定接口保存配置并启用镜像功能详细方法可以参考华为防火墙的官方文档或者技术支持人员的指导。

1、方法到安装目录下的tools文件夹下运行TerminateRunningexe以关闭所有残留的进程，若无效请尝试方法二方法重置系统计数器请参照http：//support。huawei。

2、检查电脑中是否安装QQ管家、百度杀毒、卡巴斯基等软件，此类软件阻止了模拟设备间的通信，导致模拟设备间的心跳报文无法互通。如有安装，请卸载。重启eNSP工具后再次尝试。

3、打开vbox，将所有_Base删除打开vbox中右上角全局工具—虚拟介质管理，将里面的文件全部删除。（如果为虚拟介质管理为空则跳过致下一步）然后打开eNSP安装目录下的vboxsever文件夹，找到下图五个文件夹并删除。

4、如果是引导设备启动文件错误，请编辑BOOT文件如果添加硬件后产生，请移除；如果新增加驱动后产生，请卸载或禁用。如无法进入系统，请重新启动机器，按F8进入“最后一次正确配置模式”。使用最新版本的杀毒软件杀毒。

5、卸载vbox重启安装ensp目录下tools文件夹内vbox。

1、(1)开始—》附件—》右击命令提示符，以管理员方式运行cmd。(2)在cmd里面敲lodctr/R（win7）或lodctr/R：PerfStringBackupini（xp）来重启计数器。然后重启eNSP。

2、找到eNSP_VboxServer前面打了“√”的那项，然后将该项在“公用”那列下打上勾。这样单击“确定”后，重新打开eNSP，就可以启动AR路由器了。

3、如果是引导设备启动文件错误，请编辑BOOT文件如果添加硬件后产生，请移除；如果新增加驱动后产生，请卸载或禁用。如无法进入系统，请重新启动机器，按F8进入“最后一次正确配置模式”。使用最新版本的杀毒软件杀毒。

如果你的是卡在启动界面的话，可能是版本信息需要升级，或者是和路由器连接不兼容。

关掉系统自带的防火墙，或者在防火墙规则里面允许ensp的数据通过。如果安装了安全软件之类的，你可以关掉安全软件后在尝试重新打开ensp。

一般eNSP设备无法启动的状况都是出现在路由器上，一直跳#号，其他设备基本都可以正常启动，路由器出现这种情况大多是因为防火墙的缘故。

如果是引导设备启动文件错误，请编辑BOOT文件如果添加硬件后产生，请移除；如果新增加驱动后产生，请卸载或禁用。如无法进入系统，请重新启动机器，按F8进入“最后一次正确配置模式”。使用最新版本的杀毒软件杀毒。

这个错误对话框是系统在提示内存错误，但是具体原因不清楚，当时我和我几个同学装这个都出现了这个问题，解决方法都不一样，你可以都试试：安装一个版本高点的DirectX。

(2)在cmd里面敲lodctr/R（win7）或lodctr/R：PerfStringBackupini（xp）来重启计数器。然后重启eNSP。

1、如果是引导设备启动文件错误，请编辑BOOT文件如果添加硬件后产生，请移除；如果新增加驱动后产生，请卸载或禁用。如无法进入系统，请重新启动机器，按F8进入“最后一次正确配置模式”。使用最新版本的杀毒软件杀毒。

2、在右侧找到“NetworkConnections”右击-“重新启动”。再找到“WindowsManagementInstrumentation”右击-“重新启动”。然后会出现以下界面，就可以看到防火墙开启了，如图所示。

3、启动AR设备之后，设备命令行无法接收输入，在长时间等待后一直输出“###”。启动AR/WLAN设备时，提示“错误代码40”。处理步骤检查虚拟网卡设置。

4、如果你在第一次运行eNSP时，稀里糊涂的没有勾选“公用网络，例如XXX”导致AR设备启动后，一直无法连接到设备的命令行，此时我们还可以对windows防火墙进行设置。

5、首先，请确保您已正确安装enspar软件，并按照要求操作。如果您安装了旧版本的enspar，请尝试更新并重新安装最新版本。其次，如果您的计算机不具备足够的RAM、磁盘空间或图形处理能力，可能会导致enspar启动失败40错误。

6、一般eNSP设备无法启动的状况都是出现在路由器上，一直跳#号，其他设备基本都可以正常启动，路由器出现这种情况大多是因为防火墙的缘故。