查看防火牆訪問控制策略命令_防火牆的配置命令是什麼

㈠防火牆默認應添加哪些服務及策略。

從防火牆產品和技術發展來看，分為三種類型：基於路由器的包過濾防火牆、基於通用操作系統的防火牆、基於專用安全操作系統的防火牆。

LAN介面

列出支持的 LAN介面類型：防火牆所能保護的網路類型，如乙太網、快速乙太網、千兆乙太網、ATM、令牌環及FDDI等。

支持的最大 LAN介面數：指防火牆所支持的區域網絡介面數目，也是其能夠保護的不同內網數目。

伺服器平台：防火牆所運行的操作系統平台（如 Linux、UNIX、Win NT、專用安全操作系統等）。

協議支持

支持的非 IP協議：除支持IP協議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等協議。

建立 VPN通道的協議：構建VPN通道所使用的協議，如密鑰分配等，主要分為IPSec，PPTP、專用協議等。

可以在 VPN中使用的協議：在VPN中使用的協議，一般是指TCP/IP協議。

加密支持

支持的 VPN加密標准：VPN中支持的加密演算法, 例如數據加密標准DES、3DES、RC4以及國內專用的加密演算法。

除了 VPN之外，加密的其他用途：加密除用於保護傳輸數據以外，還應用於其他領域，如身份認證、報文完整性認證，密鑰分配等。

提供基於硬體的加密：是否提供硬體加密方法，硬體加密可以提供更快的加密速度和更高的加密強度。

認證支持

支持的認證類型：是指防火牆支持的身份認證協議，一般情況下具有一個或多個認證方案，如 RADIUS、Kerberos、TACACS/TACACS＋、口令方式、數字證書等。防火牆能夠為本地或遠程用戶提供經過認證與授權的對網路資源的訪問，防火牆管理員必須決定客戶以何種方式通過認證。

列出支持的認證標准和 CA互操作性：廠商可以選擇自己的認證方案，但應符合相應的國際標准，該項指所支持的標准認證協議，以及實現的認證協議是否與其他CA產品兼容互通。

支持數字證書：是否支持數字證書。

訪問控制

通過防火牆的包內容設置：包過濾防火牆的過濾規則集由若干條規則組成，它應涵蓋對所有出入防火牆的數據包的處理方法，對於沒有明確定義的數據包，應該有一個預設處理方法；過濾規則應易於理解，易於編輯修改；同時應具備一致性檢測機制，防止沖突。 IP包過濾的依據主要是根據IP包頭部信息如源地址和目的地址進行過濾，如果IP頭中的協議欄位表明封裝協議為ICMP、TCP或UDP，那麼再根據 ICMP頭信息（類型和代碼值）、TCP頭信息（源埠和目的埠）或UDP頭信息（源埠和目的埠）執行過濾，其他的還有MAC地址過濾。應用層協議過濾要求主要包括FTP過濾、基於RPC的應用服務過濾、基於UDP的應用服務過濾要求以及動態包過濾技術等。

在應用層提供代理支持：指防火牆是否支持應用層代理，如 HTTP、FTP、TELNET、SNMP等。代理服務在確認客戶端連接請求有效後接管連接，代為向伺服器發出連接請求，代理伺服器應根據伺服器的應答，決定如何響應客戶端請求，代理服務進程應當連接兩個連接（客戶端與代理服務進程間的連接、代理服務進程與伺服器端的連接）。為確認連接的唯一性與時效性，代理進程應當維護代理連接表或相關資料庫（最小欄位集合），為提供認證和授權，代理進程應當維護一個擴展欄位集合。

在傳輸層提供代理支持：指防火牆是否支持傳輸層代理服務。

允許 FTP命令防止某些類型文件通過防火牆：指是否支持FTP文件類型過濾。

用戶操作的代理類型：應用層高級代理功能，如 HTTP、POP3 。

支持網路地址轉換 (NAT)：NAT指將一個IP地址域映射到另一個IP地址域，從而為終端主機提供透明路由的方法。NAT常用於私有地址域與公有地址域的轉換以解決IP 地址匱乏問題。在防火牆上實現NAT後，可以隱藏受保護網路的內部結構，在一定程度上提高了網路的安全性。

支持硬體口令、智能卡：是否支持硬體口令、智能卡等，這是一種比較安全的身份認證技術。

防禦功能

支持病毒掃描：是否支持防病毒功能，如掃描電子郵件附件中的 DOC和ZIP文件，FTP中的下載或上載文件內容，以發現其中包含的危險信息。

提供內容過濾：是否支持內容過濾，信息內容過濾指防火牆在 HTTP、FTP、SMTP等協議層，根據過濾條件，對信息流進行控制，防火牆控制的結果是：允許通過、修改後允許通過、禁止通過、記錄日誌、報警等。過濾內容主要指URL、HTTP攜帶的信息：Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。

能防禦的 DoS攻擊類型：拒絕服務攻擊(DoS)就是攻擊者過多地佔用共享資源，導致伺服器超載或系統資源耗盡，而使其他用戶無法享有服務或沒有資源可用。防火牆通過控制、檢測與報警等機制，可在一定程度上防止或減輕DoS黑客攻擊。

阻止 ActiveX、Java、Cookies、Javascript侵入：屬於HTTP內容過濾，防火牆應該能夠從HTTP頁面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測出危險代碼或病毒，並向瀏覽器用戶報警。同時，能夠過濾用戶上載的 CGI、ASP等程序，當發現危險代碼時，向伺服器報警。

安全特性

支持轉發和跟蹤 ICMP協議（ICMP 代理）：是否支持ICMP代理，ICMP為網間控制報文協議。

提供入侵實時警告：提供實時入侵告警功能，當發生危險事件時，是否能夠及時報警，報警的方式可能通過郵件、呼機、手機等。

提供實時入侵防範：提供實時入侵響應功能，當發生入侵事件時，防火牆能夠動態響應，調整安全策略，阻擋惡意報文。

識別 /記錄/防止企圖進行IP地址欺騙：IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對受保護網路進行攻擊，防火牆應該能夠禁止來自外部網路而源地址是內部IP地址的數據包通過。

管理功能

通過集成策略集中管理多個防火牆：是否支持集中管理，防火牆管理是指對防火牆具有管理許可權的管理員行為和防火牆運行狀態的管理，管理員的行為主要包括：通過防火牆的身份鑒別，編寫防火牆的安全規則，配置防火牆的安全參數，查看防火牆的日誌等。防火牆的管理一般分為本地管理、遠程管理和集中管理等。

提供基於時間的訪問控制：是否提供基於時間的訪問控制。

支持 SNMP監視和配置：SNMP是簡單網路管理協議的縮寫。

本地管理：是指管理員通過防火牆的 Console口或防火牆提供的鍵盤和顯示器對防火牆進行配置管理。

遠程管理：是指管理員通過乙太網或防火牆提供的廣域網介面對防火牆進行管理，管理的通信協議可以基於 FTP、TELNET、HTTP等。

支持帶寬管理：防火牆能夠根據當前的流量動態調整某些客戶端佔用的帶寬。

負載均衡特性：負載均衡可以看成動態的埠映射，它將一個外部地址的某一 TCP或UDP埠映射到一組內部地址的某一埠，負載均衡主要用於將某項服務（如HTTP）分攤到一組內部伺服器上以平衡負載。

失敗恢復特性（ failover)：指支持容錯技術，如雙機熱備份、故障恢復，雙電源備份等。

記錄和報表功能

防火牆處理完整日誌的方法：防火牆規定了對於符合條件的報文做日誌，應該提供日誌信息管理和存儲方法。

提供自動日誌掃描：指防火牆是否具有日誌的自動分析和掃描功能，這可以獲得更詳細的統計結果，達到事後分析、亡羊補牢的目的。

提供自動報表、日誌報告書寫器：防火牆實現的一種輸出方式，提供自動報表和日誌報告功能。

警告通知機制：防火牆應提供告警機制，在檢測到入侵網路以及設備運轉異常情況時，通過告警來通知管理員採取必要的措施，包括 E－mail、呼機、手機等。

提供簡要報表（按照用戶 ID或IP 地址）：防火牆實現的一種輸出方式，按要求提供報表分類列印。

提供實時統計：防火牆實現的一種輸出方式，日誌分析後所獲得的智能統計結果，一般是圖表顯示。

列出獲得的國內有關部門許可證類別及號碼：這是防火牆合格與銷售的關鍵要素之一，其中包括：公安部的銷售許可證、國家信息安全測評中心的認證證書、總參的國防通信入網證和國家保密局的推薦證明等。

㈡ cisco防火牆配置的基本配置

激活以太埠必須用enable進入，然後進入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默認情況下ethernet0是屬外部網卡outside, ethernet1是屬內部網卡inside,
inside在初始化配置成功的情況下已經被激活生效了，但是outside必須命令配置激活。採用命令nameif
PIX525(config)#nameif ethernet0 outside security0
security100
security0是外部埠outside的安全級別（100安全級別最高）
security100是內部埠inside的安全級別,如果中間還有以太口，則security10，security20等等命名，多個網卡組成多個網路，一般情況下增加一個以太口作為DMZ(Demilitarized Zones非武裝區域)。採用命令為：ip address
如：內部網路為：192.168.1.0 255.255.255.0
外部網路為：222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0 在默然情況下，PIX的以太埠是不允許telnet的，這一點與路由器有區別。Inside埠可以做telnet就能用了,但outside埠還跟一些安全配置有關。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
測試telnet
在[開始]->[運行]
telnet 192.168.1.1
PIX passwd:
輸入密碼：cisco 此功能與Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny兩個功能，網路協議一般有IP|TCP|UDP|ICMP等等，如：只允許訪問主機:222.20.16.254的www,埠為：80
PIX525(config)#access-list 100permit ip any host 222.20.16.254 eq www
deny ip any any
PIX525(config)#access-group 100 in interface outside NAT跟路由器基本是一樣的，
首先必須定義IP Pool，提供給內部IP地址轉換的地址段，接著定義內部網段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (inside) 1 192.168.0.0 255.255.255.0
如果是內部全部地址都可以轉換出去則：
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0
則某些情況下，外部地址是很有限的，有些主機必須單獨佔用一個IP地址，必須解決的是公用一個外部IP(222.20.16.201),則必須多配置一條命令，這種稱為（PAT），這樣就能解決更多用戶同時共享一個IP,有點像代理伺服器一樣的功能。配置如下：
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask
255.255.255.0
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0 在內部網路，為了維護的集中管理和充分利用有限IP地址，都會啟用動態主機分配IP地址伺服器（DHCP Server），Cisco Firewall PIX都具有這種功能，下面簡單配置DHCP Server,地址段為192.168.1.100—192.168.1.200
DNS: 主202.96.128.68 備202.96.144.47
主域名稱：
DHCP Client 通過PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain 靜態埠重定向(Port Redirection with Statics)
在PIX 版本6.0以上，增加了埠重定向的功能，允許外部用戶通過一個特殊的IP地址/埠通過Firewall PIX
傳輸到內部指定的內部伺服器。這種功能也就是可以發布內部WWW、FTP、Mail等伺服器了，這種方式並不是直接連接，而是通過埠重定向，使得內部伺服器很安全。
命令格式：
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用戶直接訪問地址222.20.16.99
telnet埠，通過PIX重定向到內部主機192.168.1.99的telnet埠（23）。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.99
FTP，通過PIX重定向到內部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.208
www(即80埠)，通過PIX重定向到內部192.168.123的主機的www(即80埠)。
www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.201
HTTP(8080埠)，通過PIX重定向到內部192.168.1.4的主機的www(即80埠)。
8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用戶直接訪問地址222.20.16.5
smtp(25埠)，通過PIX重定向到內部192.168.1.5的郵件主機的smtp(即25埠)
smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0 顯示命令show config
保存命令write memory

㈢如何配置防火牆

XP系統防火牆的設置

步驟一：安裝程序時
許多程序在安裝時都要求關閉防火牆(如WPS Office 2003)。有些程序雖然並未直接明示，但若不及時關閉，就有可能造成安裝失敗，比如彈出「讀取錯誤」、「安裝*.exe出錯」等信息，或者乾脆死機，或者安裝上去之後不能正常使用。筆者在安裝金山影霸、Office XP等程序時已經屢經驗證。

步驟二：整理碎片時
在Windows XP中整理磁碟碎片時，屏幕保護程序已不再像在Windows 98那樣干擾碎片整理的正常進行(每次都得重新開始)，但病毒防火牆卻依舊起著干擾作用，尤其是金山毒霸防火牆，會使碎片整理根本無法進行，在整理列表中會不斷出現重復的磁碟圖標，並且用不了多久就彈出提示：磁碟碎片無法整理，某某錯誤。這時候試著關掉防火牆，再看看是不是已經正常了。

步驟三：系統還原時
Windows XP中的系統還原幾乎可以說是一劑萬能後悔葯，但可能會遇到下面的情況：在創建新的系統還原點時系統提示：無法完成新還原點的創建，請重新啟動計算機，再次運行系統還原。可是即使重新啟動之後仍舊無法完成新還原點的創建。其實罪魁禍首還是病毒防火牆，只要關掉它，就可恢復正常了。病毒防火牆對還原系統到過去某一時間的過程也有影響，表現為點擊「確定」按鈕後系統沒有反應，最可怕的是即使勉強完成了系統還原，有的程序也無法正常使用(如金山影霸)。

㈣怎麼看自己電腦防火牆的設置以及訪問規則

目前已經發布的英文版windows xp service pack 2(sp2)包括了全新的windows防火牆，即以前所稱的internet連接防火牆(icf)。windows防火牆是一個基於主機的狀態防火牆，它丟棄所有未請求的傳入流量，即那些既沒有對應於為響應計算機的某個請求而發送的流量(請求的流量)，也沒有對應於已指定為允許的未請求的流量(異常流量)。windows防火牆提供某種程度的保護，避免那些依賴未請求的傳入流量來攻擊網路上的計算機的惡意用戶和程序。

在windows xp sp2中，windows防火牆有了許多新增特性，其中包括:

默認對計算機的所有連接啟用、應用於所有連接的全新的全局配置選項、用於全局配置的新增對話框集、全新的操作模式、啟動安全性、本地網路限制、異常流量可以通過應用程序文件名指定對internet協議第6版(ipv6)的內建支持

採用netsh和組策略的新增配置選項

本文將詳細描述用於手動配置全新的windows防火牆的對話框集。與windows xp(sp2之前的版本)中的icf不同，這些配置對話框可同時配置ipv4和ipv6流量。

windows xp(sp2之前的版本)中的icf設置包含單個復選框(在連接屬性的「高級」選項卡上「通過限制或阻止來自internet對此計算機的訪問來保護我的計算機和網路」復選框)和一個「設置」按鈕，您可以使用該按鈕來配置流量、日誌設置和允許的icmp流量。

在windows xp sp2中，連接屬性的「高級」選項卡上的復選框被替換成了一個「設置」按鈕，您可以使用該按鈕來配置常規設置、程序和服務的許可權、指定於連接的設置、日誌設置和允許的icmp流量。

「設置」按鈕將運行全新的windows防火牆控制面板程序(可在「網路和internet連接與安全中心」類別中找到)。

新的windows防火牆對話框包含以下選項卡:

「常規」「異常」「高級」「常規」選項卡

在「常規」選項卡上，您可以選擇以下選項:

「啟用(推薦)」

選擇這個選項來對「高級」選項卡上選擇的所有網路連接啟用windows防火牆。

windows防火牆啟用後將僅允許請求的和異常的傳入流量。異常流量可在「異常」選項卡上進行配置。
「不允許異常流量」

單擊這個選項來僅允許請求的傳入流量。這樣將不允許異常的傳入流量。「異常」選項卡上的設置將被忽略，所有的連接都將受到保護，而不管「高級」選項卡上的設置如何。

「禁用」

選擇這個選項來禁用windows防火牆。不推薦這樣做，特別是對於可通過internet直接訪問的網路連接。

注意對於運行windows xp sp2的計算機的所有連接和新創建的連接，windows防火牆的默認設置是「啟用(推薦)」。這可能會影響那些依賴未請求的傳入流量的程序或服務的通信。在這樣的情況下，您必須識別出那些已不再運作的程序，將它們或它們的流量添加為異常流量。許多程序，比如internet瀏覽器和電子郵件客戶端(如:outlook express)，不依賴未請求的傳入流量，因而能夠在啟用windows防火牆的情況下正確地運作。

如果您在使用組策略配置運行windows xp sp2的計算機的windows防火牆，您所配置的組策略設置可能不允許進行本地配置。在這樣的情況下，「常規」選項卡和其他選項卡上的選項可能是灰色的，而無法選擇，甚至本地管理員也無法進行選擇。

基於組策略的windows防火牆設置允許您配置一個域配置文件(一組將在您連接到一個包含域控制器的網路時所應用的windows防火牆設置)和標准配置文件(一組將在您連接到像internet這樣沒有包含域控制器的網路時所應用的windows防火牆設置)。這些配置對話框僅顯示當前所應用的配置文件的windows防火牆設置。要查看當前未應用的配置文件的設置，可使用netsh firewall show命令。要更改當前沒有被應用的配置文件的設置，可使用netsh firewall set命令。

「異常」選項卡

在「異常」選項卡上，您可以啟用或禁用某個現有的程序或服務，或者維護用於定義異常流量的程序或服務的列表。當選中「常規」選項卡上的「不允許異常流量」選項時，異常流量將被拒絕。

對於windows xp(sp2之前的版本)，您只能根據傳輸控制協議(tcp)或用戶數據報協議(udp)埠來定義異常流量。對於windows xp sp2，您可以根據tcp和udp埠或者程序或服務的文件名來定義異常流量。在程序或服務的tcp或udp埠未知或需要在程序或服務啟動時動態確定的情況下，這種配置靈活性使得配置異常流量更加容易。

已有一組預先配置的程序和服務，其中包括:

文件和列印共享、遠程助手(默認啟用)、遠程桌面、upnp框架，這些預定義的程序和服務不可刪除。

如果組策略允許，您還可以通過單擊「添加程序」，創建基於指定的程序名稱的附加異常流量，以及通過單擊「添加埠」，創建基於指定的tcp或udp埠的異常流量。

當您單擊「添加程序」時，將彈出「添加程序」對話框，您可以在其上選擇一個程序或瀏覽某個程序的文件名。

當您單擊「添加埠」時，將彈出「添加埠」對話框，您可以在其中配置一個tcp或udp埠。

全新的windows防火牆的特性之一就是能夠定義傳入流量的范圍。范圍定義了允許發起異常流量的網段。在定義程序或埠的范圍時，您有兩種選擇:

「任何計算機」

允許異常流量來自任何ip地址。

「僅只是我的網路(子網)」

僅允許異常流量來自如下ip地址，即它與接收該流量的網路連接所連接到的本地網段(子網)相匹配。例如，如果該網路連接的ip地址被配置為 192.168.0.99，子網掩碼為255.255.0.0，那麼異常流量僅允許來自192.168.0.1到192.168.255.254范圍內的 ip地址。

當您希望允許本地家庭網路上全都連接到相同子網上的計算機以訪問某個程序或服務，但是又不希望允許潛在的惡意internet用戶進行訪問，那麼「僅只是我的網路(子網)」設定的地址范圍很有用。

一旦添加了某個程序或埠，它在「程序和服務」列表中就被默認禁用。

在「異常」選項卡上啟用的所有程序或服務對「高級」選項卡上選擇的所有連接都處於啟用狀態。

「高級」選項卡

「高級」選項卡包含以下選項:

網路連接設置、安全日誌、icmp、默認設置

「網路連接設置」

在「網路連接設置」中，您可以:
1、指定要在其上啟用windows防火牆的介面集。要啟用windows防火牆，請選中網路連接名稱後面的復選框。要禁用windows防火牆，則清除該復選框。默認情況下，所有網路連接都啟用了windows防火牆。如果某個網路連接沒有出現在這個列表中，那麼它就不是一個標準的網路連接。這樣的例子包括internet服務提供商(isp)提供的自定義撥號程序。

2、通過單擊網路連接名稱，然後單擊「設置」，配置單獨的網路連接的高級配置。

如果清除「網路連接設置」中的所有復選框，那麼windows防火牆就不會保護您的計算機，而不管您是否在「常規」選項卡上選中了「啟用(推薦)」。如果您在「常規」選項卡上選中了「不允許異常流量」，那麼「網路連接設置」中的設置將被忽略，這種情況下所有介面都將受到保護。

當您單擊「設置」時，將彈出「高級設置」對話框。

在「高級設置」對話框上，您可以在「服務」選項卡中配置特定的服務(僅根據tcp或udp埠來配置)，或者在「icmp」選項卡中啟用特定類型的icmp流量。

這兩個選項卡等價於windows xp(sp2之前的版本)中的icf配置的設置選項卡。

「安全日誌」

在「安全日誌」中，請單擊「設置」，以便在「日誌設置」對話框中指定windows防火牆日誌的配置，

在「日誌設置」對話框中，您可以配置是否要記錄丟棄的數據包或成功的連接，以及指定日誌文件的名稱和位置(默認設置為systemrootpfirewall.log)及其最大容量。

「icmp」

在「icmp」中，請單擊「設置」以便在「icmp」對話框中指定允許的icmp流量類型，

在「icmp」對話框中，您可以啟用和禁用windows防火牆允許在「高級」選項卡上選擇的所有連接傳入的icmp消息的類型。icmp消息用於診斷、報告錯誤情況和配置。默認情況下，該列表中不允許任何icmp消息。

診斷連接問題的一個常用步驟是使用ping工具檢驗您嘗試連接到的計算機地址。在檢驗時，您可以發送一條icmp echo消息，然後獲得一條icmp echo reply消息作為響應。默認情況下，windows防火牆不允許傳入icmp echo消息，因此該計算機無法發回一條icmp echo reply消息作為響應。為了配置windows防火牆允許傳入的icmp echo消息，您必須啟用「允許傳入的echo請求」設置。

「默認設置」

單擊「還原默認設置」，將windows防火牆重設回它的初始安裝狀態。

當您單擊「還原默認設置」時，系統會在windows防火牆設置改變之前提示您核實自己的決定。

㈤如何通過公網IP經過防火牆訪問內網伺服器

1、首先登錄防火牆後台，找的源nat選項新建一條源NAT策略。

㈥ FTP 伺服器SERV-U 改了默認埠後連不上了！求高人指點，防火牆是關了的。

你需要先看看serverU所在的機器，3021埠是否已經打開了（在serverU所在機器使用telnet命令查看），如果沒有啟動則重啟一下serverU服務。然後再確認穿越防火牆是否可以訪問這個埠（還是使用telnet）。最後再防火牆的訪問控制策略里看看，是否有針對相關協議的控制策略，可以先將所有的包全部放開，如果通過了，則說明有規則限制了ftp對3021埠的訪問，這就要仔細排查規則了。

㈦華為交換機開啟三層路由的命令

三層交換機默認是已開啟的，如果不通的話應該是其他問題，可以看下配置

㈧防火牆的配置命令有哪些

1、nameif

設置介面名稱，並指定安全級別，安全級別取值范圍為1～100，數字越大安全級別越高。
使用命令：

PIX525(config)#

PIX525(config)#

PIX525(config)#nameifethernet2dmzsecurity50

2、interface

配置以太口工作狀態，常見狀態有：auto、100full、shutdown。

auto：設置網卡工作在自適應狀態。

100full：設置網卡工作在100Mbit/s，全雙工狀態。

shutdown：設置網卡介面關閉，否則為激活。

命令：

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#

3、ipaddress

配置網路介面的IP地址
4、global

指定公網地址范圍：定義地址池。

Global命令的配置語法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中：

(if_name)：表示外網介面名稱，一般為outside。

nat_id：建立的地址池標識(nat要引用)。

ip_address-ip_address：表示一段ip地址范圍。

[netmarkglobal_mask]：表示全局ip地址的網路掩碼。
5、nat

地址轉換命令，將內網的私有ip轉換為外網公網ip。
6、route

route命令定義靜態路由。

語法：

route(if_name)00gateway_ip[metric]
7、static

配置靜態IP地址翻譯，使內部地址與外部地址一一對應。

語法：

static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit

管道conit命令用來設置允許數據從低安全級別的介面流向具有較高安全級別的介面。
語法：

conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、訪問控制列表ACL

訪問控制列表的命令與couit命令類似
10、偵聽命令fixup

作用是啟用或禁止一個服務或協議，

通過指定埠設置PIX防火牆要偵聽listen服務的埠。
11、telnet

當從外部介面要telnet到PIX防火牆時，telnet數據流需要用vpn隧道ipsec提供保護或

在PIX上配置SSH，然後用SSHclient從外部到PIX防火牆。
12、顯示命令：

showinterface；查看埠狀態。

showstatic；查看靜態地址映射。

showip；查看介面ip地址。

showconfig；查看配置信息。

showrun；顯示當前配置信息。

writeterminal；將當前配置信息寫到終端。

showcpuusage；顯示CPU利用率，排查故障時常用。

showtraffic；查看流量。

showblocks；顯示攔截的數據包。

showmem；顯示內存

13、DHCP服務

PIX具有DHCP服務功能。

㈨防火牆的配置命令是什麼

㈩ win2008伺服器防火牆如何加ip地址的白名單

已經存在的例外條目不建議修改，否則會導致個別程序不可用。

導航:首頁 > 程序命令 > 查看防火牆訪問控制策略命令

查看防火牆訪問控制策略命令

與查看防火牆訪問控制策略命令相關的資料