nsg防火牆配置命令

⑴ 如何配置防火牆

XP系統防火牆的設置

步驟一：安裝程序時
許多程序在安裝時都要求關閉防火牆(如WPS Office 2003)。有些程序雖然並未直接明示，但若不及時關閉，就有可能造成安裝失敗，比如彈出「讀取錯誤」、「安裝*.exe出錯」等信息，或者乾脆死機，或者安裝上去之後不能正常使用。筆者在安裝金山影霸、Office XP等程序時已經屢經驗證。

步驟二：整理碎片時
在Windows XP中整理磁碟碎片時，屏幕保護程序已不再像在Windows 98那樣干擾碎片整理的正常進行(每次都得重新開始)，但病毒防火牆卻依舊起著干擾作用，尤其是金山毒霸防火牆，會使碎片整理根本無法進行，在整理列表中會不斷出現重復的磁碟圖標，並且用不了多久就彈出提示：磁碟碎片無法整理，某某錯誤。這時候試著關掉防火牆，再看看是不是已經正常了。

步驟三：系統還原時
Windows XP中的系統還原幾乎可以說是一劑萬能後悔葯，但可能會遇到下面的情況：在創建新的系統還原點時系統提示：無法完成新還原點的創建，請重新啟動計算機，再次運行系統還原。可是即使重新啟動之後仍舊無法完成新還原點的創建。其實罪魁禍首還是病毒防火牆，只要關掉它，就可恢復正常了。病毒防火牆對還原系統到過去某一時間的過程也有影響，表現為點擊「確定」按鈕後系統沒有反應，最可怕的是即使勉強完成了系統還原，有的程序也無法正常使用(如金山影霸)。

⑵ linux查看防火牆配置的命令

方法如下：
1、使用工具，鏈接Linux系統。
2、輸入用戶名，和密碼，連接到伺服器。
3、連接伺服器後，輸入語句「service iptables status」，回車，會顯示防火牆狀態。
4、輸入語句「chkconfig iptables on」，可以開啟防火牆。或者使用語句「chkconfig iptables off」，關閉防火牆，需要重啟後生效。
5、如果想要即可生效，可以使用語句「service iptables start」開啟防火牆，或者語句「service iptables stop」關閉，關閉或者開啟防火牆後，查詢防火牆狀態，可以看到相應的變化。

⑶ 防火牆的配置命令有哪些

1、nameif

設置介面名稱，並指定安全級別，安全級別取值范圍為1～100，數字越大安全級別越高。
使用命令：

PIX525(config)#

PIX525(config)#

PIX525(config)#nameifethernet2dmzsecurity50

2、interface

配置以太口工作狀態，常見狀態有：auto、100full、shutdown。

auto：設置網卡工作在自適應狀態。

100full：設置網卡工作在100Mbit/s，全雙工狀態。

shutdown：設置網卡介面關閉，否則為激活。

命令：

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#

3、ipaddress

配置網路介面的IP地址
4、global

指定公網地址范圍：定義地址池。

Global命令的配置語法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中：

(if_name)：表示外網介面名稱，一般為outside。

nat_id：建立的地址池標識(nat要引用)。

ip_address-ip_address：表示一段ip地址范圍。

[netmarkglobal_mask]：表示全局ip地址的網路掩碼。
5、nat

地址轉換命令，將內網的私有ip轉換為外網公網ip。
6、route

route命令定義靜態路由。

語法：

route(if_name)00gateway_ip[metric]
7、static

配置靜態IP地址翻譯，使內部地址與外部地址一一對應。

語法：

static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit

管道conit命令用來設置允許數據從低安全級別的介面流向具有較高安全級別的介面。
語法：

conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、訪問控制列表ACL

訪問控制列表的命令與couit命令類似
10、偵聽命令fixup

作用是啟用或禁止一個服務或協議，

通過指定埠設置PIX防火牆要偵聽listen服務的埠。
11、telnet

當從外部介面要telnet到PIX防火牆時，telnet數據流需要用vpn隧道ipsec提供保護或

在PIX上配置SSH，然後用SSHclient從外部到PIX防火牆。
12、顯示命令：

showinterface；查看埠狀態。

showstatic；查看靜態地址映射。

showip；查看介面ip地址。

showconfig；查看配置信息。

showrun；顯示當前配置信息。

writeterminal；將當前配置信息寫到終端。

showcpuusage；顯示CPU利用率，排查故障時常用。

showtraffic；查看流量。

showblocks；顯示攔截的數據包。

showmem；顯示內存

13、DHCP服務

PIX具有DHCP服務功能。

⑷ 華為某個型號防火牆的基本配置命令

為路由器防火牆配置命令總結

一、access-list 用於創建訪問規則。
（1）創建標准訪問列表

access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

（2）創建 <-- Script Filtered/n/n-->擴展訪問列表

access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

（3）刪除訪問列表

no access-list { normal | special } { all | listnumber [ subitem ] }

【參數說明】

normal 指定規則加入普通時間段。

special 指定規則加入特殊時間段。

listnumber1 是1到99之間的一個數值，表示規則是標准訪問列表規則。

listnumber2 是100到199之間的一個數值，表示規則是擴展訪問列表規則。

permit 表明允許滿足條件的報文通過。

deny 表明禁止滿足條件的報文通過。

protocol 為協議類型，支持ICMP、TCP、UDP等，其它的協議也支持，此時沒有埠比較的概念；為IP時有特殊含義，代表所有的IP協議。

source-addr 為源地址。

source-mask 為源地址通配位，在標准訪問列表中是可選項，不輸入則代表通配位為0.0.0.0。

dest-addr 為目的地址。

dest-mask 為目的地址通配位。

operator[可選] 埠操作符，在協議類型為TCP或UDP時支持埠比較，支持的比較操作有：等於（eq）、大於（gt）、小於（lt）、不等於（neq）或介於（range）；如果操作符為range，則後面需要跟兩個埠。

port1 在協議類型為TCP或UDP時出現，可以為關鍵字所設定的預設值（如telnet）或0~65535之間的一個數值。

port2 在協議類型為TCP或UDP且操作類型為range時出現；可以為關鍵字所設定的預設值（如telnet）或0~65535之間的一個數值。

icmp-type[可選] 在協議為ICMP時出現，代表ICMP報文類型；可以是關鍵字所設定的預設值（如echo-reply）或者是0~255之間的一個數值。

icmp-code在協議為ICMP且沒有選擇所設定的預設值時出現；代表ICMP碼，是0~255之間的一個數值。

log [可選] 表示如果報文符合條件，需要做日誌。

listnumber 為刪除的規則序號，是1~199之間的一個數值。

subitem[可選] 指定刪除序號為listnumber的訪問列表中規則的序號。

【預設情況】

系統預設不配置任何訪問規則。

【命令模式】

全局配置模式
【使用指南】

同一個序號的規則可以看作一類規則；所定義的規則不僅可以用來在介面上過濾報文，也可以被如DDR等用來判斷一個報文是否是感興趣的報文，此時，permit與deny表示是感興趣的還是不感興趣的。

使用協議域為IP的擴展訪問列表來表示所有的IP協議。

同一個序號之間的規則按照一定的原則進行排列和選擇，這個順序可以通過 show access-list 命令看到。

【舉例】

允許源地址為10.1.1.0 網路、目的地址為10.1.2.0網路的WWW訪問，但不允許使用FTP。
Quidway(config)#access-list 100 permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq www

Quidway(config)#access-list 100 deny tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq ftp

【相關命令】

ip access-group

二、clear access-list counters 清除訪問列表規則的統計信息。

clear access-list counters [ listnumber ]

【參數說明】

listnumber [可選] 要清除統計信息的規則的序號，如不指定，則清除所有的規則的統計信息。

【預設情況】

任何時候都不清除統計信息。

【命令模式】

特權用戶模式

【使用指南】

使用此命令來清除當前所用規則的統計信息，不指定規則編號則清除所有規則的統計信息。

【舉例】

例1：清除當前所使用的序號為100的規則的統計信息。

Quidway#clear access-list counters 100

例2：清除當前所使用的所有規則的統計信息。

Quidway#clear access-list counters

【相關命令】

access-list

三、firewall 啟用或禁止防火牆。

firewall { enable | disable }

【參數說明】

enable 表示啟用防火牆。

disable 表示禁止防火牆。

【預設情況】

系統預設為禁止防火牆。

【命令模式】

全局配置模式

【使用指南】

使用此命令來啟用或禁止防火牆，可以通過show firewall命令看到相應結果。如果採用了時間段包過濾，則在防火牆被關閉時也將被關閉；該命令控制防火牆的總開關。在使用 firewall disable 命令關閉防火牆時，防火牆本身的統計信息也將被清除。

【舉例】

啟用防火牆。

Quidway(config)#firewall enable

【相關命令】
access-list，ip access-group

四、firewall default 配置防火牆在沒有相應的訪問規則匹配時，預設的過濾方式。

firewall default { permit | deny }

【參數說明】

permit 表示預設過濾屬性設置為「允許」。

deny 表示預設過濾屬性設置為「禁止」。

【預設情況】

在防火牆開啟的情況下，報文被預設允許通過。

【命令模式】

全局配置模式

【使用指南】

當在介面應用的規則沒有一個能夠判斷一個報文是否應該被允許還是禁止時，預設的過濾屬性將起作用；如果預設過濾屬性是「允許」，則報文可以通過，否則報文被丟棄。

【舉例】

設置預設過濾屬性為「允許」。

Quidway(config)#firewall default permit

五、ip access-group 使用此命令將規則應用到介面上。使用此命令的no形式來刪除相應的設置。

ip access-group listnumber { in | out }

[ no ] ip access-group listnumber { in | out }

【參數說明】

listnumber 為規則序號，是1~199之間的一個數值。

in 表示規則用於過濾從介面收上來的報文。

out 表示規則用於過濾從介面轉發的報文。

【預設情況】

沒有規則應用於介面。

【命令模式】

介面配置模式。

【使用指南】

使用此命令來將規則應用到介面上；如果要過濾從介面收上來的報文，則使用 in 關鍵字；如果要過濾從介面轉發的報文，使用out 關鍵字。一個介面的一個方向上最多可以應用20類不同的規則；這些規則之間按照規則序號的大小進行排列，序號大的排在前面，也就是優先順序高。對報文進行過濾時，將採用發現符合的規則即得出過濾結果的方法來加快過濾速度。所以，建議在配置規則時，盡量將對同一個網路配置的規則放在同一個序號的訪問列表中；在同一個序號的訪問列表中，規則之間的排列和選擇順序可以用show access-list命令來查看。

【舉例】

將規則101應用於過濾從乙太網口收上來的報文。

Quidway(config-if-Ethernet0)#ip access-group 101 in

【相關命令】

access-list

六、settr 設定或取消特殊時間段。

settr begin-time end-time

no settr

【參數說明】

begin-time 為一個時間段的開始時間。

end-time 為一個時間段的結束時間，應該大於開始時間。

【預設情況】
系統預設沒有設置時間段，即認為全部為普通時間段。

【命令模式】

全局配置模式

【使用指南】

使用此命令來設置時間段；可以最多同時設置6個時間段，通過show timerange 命令可以看到所設置的時間。如果在已經使用了一個時間段的情況下改變時間段，則此修改將在一分鍾左右生效（系統查詢時間段的時間間隔）。設置的時間應該是24小時制。如果要設置類似晚上9點到早上8點的時間段，可以設置成「settr 21:00 23:59 0:00 8:00」，因為所設置的時間段的兩個端點屬於時間段之內，故不會產生時間段內外的切換。另外這個設置也經過了2000問題的測試。

【舉例】

例1：設置時間段為8:30 ~ 12:00，14:00 ~ 17:00。

Quidway(config)#settr 8:30 12:00 14:00 17:00

例2： 設置時間段為晚上9點到早上8點。

Quidway(config)#settr 21:00 23:59 0:00 8:0

【相關命令】

timerange，show timerange

七、show access-list 顯示包過濾規則及在介面上的應用。

show access-list [ all | listnumber | interface interface-name]
【參數說明】

all 表示所有的規則，包括普通時間段內及特殊時間段內的規則。

listnumber 為顯示當前所使用的規則中序號為listnumber的規則。

interface 表示要顯示在指定介面上應用的規則序號。

interface-name 為介面的名稱。

【命令模式】

特權用戶模式

【使用指南】

使用此命令來顯示所指定的規則，同時查看規則過濾報文的情況。每個規則都有一個相應的計數器，如果用此規則過濾了一個報文，則計數器加1；通過對計數器的觀察可以看出所配置的規則中，哪些規則是比較有效，而哪些基本無效。可以通過帶interface關鍵字的show access-list命令來查看某個介面應用規則的情況。

【舉例】

例1：顯示當前所使用的序號為100的規則。

Quidway#show access-list 100

Using normal packet-filtering access rules now.

100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect (3 matches,252 bytes -- rule 1)

100 permit icmp 10.1.0.0 0.0.255.255 any echo (no matches -- rule 2)

100 deny udp any any eq rip (no matches -- rule 3)

例2： 顯示介面Serial0上應用規則的情況。

Quidway#show access-list interface serial 0

Serial0:

access-list filtering In-bound packets : 120
access-list filtering Out-bound packets: None

【相關命令】

access-list

八、show firewall 顯示防火牆狀態。

show firewall

【命令模式】

特權用戶模式

【使用指南】

使用此命令來顯示防火牆的狀態，包括防火牆是否被啟用，啟用防火牆時是否採用了時間段包過濾及防火牆的一些統計信息。
【舉例】

顯示防火牆狀態。

Quidway#show firewall

Firewall is enable, default filtering method is 'permit'.

TimeRange packet-filtering enable.

InBound packets: None;

OutBound packets: 0 packets, 0 bytes, 0% permitted,

0 packets, 0 bytes, 0% denied,

2 packets, 104 bytes, 100% permitted defaultly,

0 packets, 0 bytes, 100% denied defaultly.

From 00:13:02 to 06:13:21: 0 packets, 0 bytes, permitted.

【相關命令】

firewall

九、show isintr 顯示當前時間是否在時間段之內。

show isintr

【命令模式】

特權用戶模式

【使用指南】

使用此命令來顯示當前時間是否在時間段之內。

【舉例】

顯示當前時間是否在時間段之內。

Quidway#show isintr

It is NOT in time ranges now.

【相關命令】

timerange，settr

十、show timerange 顯示時間段包過濾的信息。

show timerange

【命令模式】

特權用戶模式

【使用指南】

使用此命令來顯示當前是否允許時間段包過濾及所設置的時間段。

【舉例】

顯示時間段包過濾的信息。

Quidway#show timerange

TimeRange packet-filtering enable.

beginning of time range:

01:00 - 02:00

03:00 - 04:00

end of time range.

【相關命令】

timerange，settr

十一、timerange 啟用或禁止時間段包過濾功能。

timerange { enable | disable }

【參數說明】

enable 表示啟用時間段包過濾。

disable 表示禁止採用時間段包過濾。
【預設情況】

系統預設為禁止時間段包過濾功能。

【命令模式】

全局配置模式

【使用指南】

使用此命令來啟用或禁止時間段包過濾功能，可以通過show firewall命令看到，也可以通過show timerange命令看到配置結果。在時間段包過濾功能被啟用後，系統將根據當前的時間和設置的時間段來確定使用時間段內（特殊）的規則還是時間段外（普通）的規則。系統查詢時間段的精確度為1分鍾。所設置的時間段的兩個端點屬於時間段之內。

【舉例】

啟用時間段包過濾功能。

Quidway(config)#timerange enable

【相關命令】

settr，show timerange

⑸ 防火牆的配置命令是什麼

1、nameif

設置介面名稱，並指定安全級別，安全級別取值范圍為1～100，數字越大安全級別越高。
使用命令：

PIX525(config)#

PIX525(config)#

PIX525(config)#nameifethernet2dmzsecurity50

2、interface

配置以太口工作狀態，常見狀態有：auto、100full、shutdown。

auto：設置網卡工作在自適應狀態。

100full：設置網卡工作在100Mbit/s，全雙工狀態。

shutdown：設置網卡介面關閉，否則為激活。

命令：

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#

3、ipaddress

配置網路介面的IP地址
4、global

指定公網地址范圍：定義地址池。

Global命令的配置語法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中：

(if_name)：表示外網介面名稱，一般為outside。

nat_id：建立的地址池標識(nat要引用)。

ip_address-ip_address：表示一段ip地址范圍。

[netmarkglobal_mask]：表示全局ip地址的網路掩碼。
5、nat

地址轉換命令，將內網的私有ip轉換為外網公網ip。
6、route

route命令定義靜態路由。

語法：

route(if_name)00gateway_ip[metric]
7、static

配置靜態IP地址翻譯，使內部地址與外部地址一一對應。

語法：

static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit

管道conit命令用來設置允許數據從低安全級別的介面流向具有較高安全級別的介面。
語法：

conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、訪問控制列表ACL

訪問控制列表的命令與couit命令類似
10、偵聽命令fixup

作用是啟用或禁止一個服務或協議，

通過指定埠設置PIX防火牆要偵聽listen服務的埠。
11、telnet

當從外部介面要telnet到PIX防火牆時，telnet數據流需要用vpn隧道ipsec提供保護或

在PIX上配置SSH，然後用SSHclient從外部到PIX防火牆。
12、顯示命令：

showinterface；查看埠狀態。

showstatic；查看靜態地址映射。

showip；查看介面ip地址。

showconfig；查看配置信息。

showrun；顯示當前配置信息。

writeterminal；將當前配置信息寫到終端。

showcpuusage；顯示CPU利用率，排查故障時常用。

showtraffic；查看流量。

showblocks；顯示攔截的數據包。

showmem；顯示內存

13、DHCP服務

PIX具有DHCP服務功能。

⑹ 如何應用命令行配置Windows防火牆的方法

首先，進入cmd命令行界面：依次點擊「開始」，「運行」，輸入cmd命令即可。

接著，輸入命令：netsh /?
查看netsh系統命令的幫助文件。

netsh命令的子參數中有兩個命令是防火牆相關的：
firewall：防火牆配置的簡單模式
advfirewall：防火牆配置的高級模式

先來看看防火牆配置的簡單模式：firewall參數。
的確是簡單模式，僅有幾個參數。

假設要添加本地的TCP的3389埠對外開放，那麼執行命令：
netsh firewall set portopening TCP 3389 ENABLE
成功執行命令之後，系統提示不贊成使用這個簡單模式firewall，而是使用高級模式advfirewall。

接著把上面的測試防火牆設置刪除掉：
netsh firewall delete portopening protocol=TCP port=3389
當然，系統會同樣出現相同的提示。

既然系統都建議使用advfirewall這個參數了，下面來看看這個參數：

同樣的，假設添加本地的TCP的3389埠對外開放：
netsh advfirewall firewall add rule name=jingyan dir=in action=allow protocol=TCP localport=3389
這次系統僅僅提示了一個OK。

接下來，來查看界面里的入站規則，可以發現和手動添加的效果是一樣的。

然後，刪掉前面添加的規則，只要執行命令：netsh advfirewall firewall delete rule name=jingyan protocol=tcp localport=3389

⑺ 網神防火期基礎命令

咨詢記錄 · 回答於2021-12-11