防火墙基本配置任务列表

 

前面我们零星的介绍了Quidway 系列路由器配置防火墙的相关内容，本页所示为完成防火墙配置的步骤.

在实际的使用中，还可能用到以下的扩展应用：

1. 设置防火墙的缺省过滤模式；
2. 允许或禁止时间段；
3. 设定时间段；
4. 允许日志主机；
5. 指定日志主机；
6. 显示配置状况。

其中，2 和4 均在配置访问列表中设置，1、3、5 和6 由专门的命令完成。

防火墙的属性配置命令

属性命令中，首先是打开防火墙的操作：
firewall {enable | disable} 允许/ 禁止防火墙过滤；
其次，是设置防火墙的缺省过滤模式的操作：
firewall default {permit | disable } 缺省方式是禁止还是允许；
缺省过滤模式用以定义对访问列表控制以外的 IP 或者 TCP 等数据包的处理，
Quidway 系列路由器防火墙的默认过滤模式是允许。
用 show firewall 命令可以 显示防火墙状态信息.

.7.3 时间段包过滤

基于时间段，用户可以指定一天 24 小时中的任意时间段为特殊时间段（可以是多个），不在任何特殊时间段的其他时间称为普通时间段。用户在定义访问列表时，可以指定该规则是在特殊时间段还是在普通时间段生效。

timerange { enable|disable } 允许 | 禁止时间段
Quidway防火墙默认为禁止时间段。
settr begin-time end-time [ begin-time end-time ...... ] 设置特殊时间段
show isintr 显示当前时间是否在特殊时间段内
show timerange 显示配置的时间段

日志功能

日志功能的配置命令

日志功能是允许在特定的主机上记录下来防火墙的操作：

[no] loghost 命令

loghost ip-address

no loghost

show loghost 命令

日志功能用以记录下所有来犯防火墙的操作信息，在访问列表允许日志功能后，需再配置如下一条命令，以指定日志主机的位置，日志主机可以是一台普通的网络工作站，也可以是专用的服务器，它们之上需运行标准的日志程序，以接收路由器发回的日志记录。

loghost ip-address 指定日志主机的IP地址。
用 show loghost 命令可以显示当前日志主机状况