查看防火墙访问控制策略命令

㈠ 防火墙默认应添加哪些服务及策略。

从防火墙产品和技术发展来看，分为三种类型：基于路由器的包过滤防火墙、基于通用操作系统的防火墙、基于专用安全操作系统的防火墙。

LAN接口

列出支持的 LAN接口类型：防火墙所能保护的网络类型，如以太网、快速以太网、千兆以太网、ATM、令牌环及FDDI等。

支持的最大 LAN接口数：指防火墙所支持的局域网络接口数目，也是其能够保护的不同内网数目。

服务器平台：防火墙所运行的操作系统平台（如 Linux、UNIX、Win NT、专用安全操作系统等）。

协议支持

支持的非 IP协议：除支持IP协议之外，又支持AppleTalk、DECnet、IPX及NETBEUI等协议。

建立 VPN通道的协议： 构建VPN通道所使用的协议，如密钥分配等，主要分为IPSec，PPTP、专用协议等。

可以在 VPN中使用的协议：在VPN中使用的协议，一般是指TCP/IP协议。

加密支持

支持的 VPN加密标准：VPN中支持的加密算法, 例如数据加密标准DES、3DES、RC4以及国内专用的加密算法。

除了 VPN之外，加密的其他用途： 加密除用于保护传输数据以外，还应用于其他领域，如身份认证、报文完整性认证，密钥分配等。

提供基于硬件的加密： 是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密强度。

认证支持

支持的认证类型： 是指防火墙支持的身份认证协议，一般情况下具有一个或多个认证方案，如 RADIUS、Kerberos、TACACS/TACACS＋、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问，防火墙管理员必须决定客户以何种方式通过认证。

列出支持的认证标准和 CA互操作性：厂商可以选择自己的认证方案，但应符合相应的国际标准，该项指所支持的标准认证协议，以及实现的认证协议是否与其他CA产品兼容互通。

支持数字证书：是否支持数字证书。

访问控制

通过防火墙的包内容设置：包过滤防火墙的过滤规则集由若干条规则组成，它应涵盖对所有出入防火墙的数据包的处理方法，对于没有明确定义的数据包，应该有一个缺省处理方法；过滤规则应易于理解，易于编辑修改；同时应具备一致性检测机制，防止冲突。 IP包过滤的依据主要是根据IP包头部信息如源地址和目的地址进行过滤，如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP，那么再根据 ICMP头信息（类型和代码值）、TCP头信息（源端口和目的端口）或UDP头信息（源端口和目的端口）执行过滤，其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。

在应用层提供代理支持：指防火墙是否支持应用层代理，如 HTTP、FTP、TELNET、SNMP等。代理服务在确认客户端连接请求有效后接管连接，代为向服务器发出连接请求，代理服务器应根据服务器的应答，决定如何响应客户端请求，代理服务进程应当连接两个连接（客户端与代理服务进程间的连接、代理服务进程与服务器端的连接）。为确认连接的唯一性与时效性，代理进程应当维护代理连接表或相关数据库（最小字段集合），为提供认证和授权，代理进程应当维护一个扩展字段集合。

在传输层提供代理支持：指防火墙是否支持传输层代理服务。

允许 FTP命令防止某些类型文件通过防火墙：指是否支持FTP文件类型过滤。

用户操作的代理类型：应用层高级代理功能，如 HTTP、POP3 。

支持网络地址转换 (NAT)：NAT指将一个IP地址域映射到另一个IP地址域，从而为终端主机提供透明路由的方法。NAT常用于私有地址域与公有地址域的转换以解决IP 地址匮乏问题。在防火墙上实现NAT后，可以隐藏受保护网络的内部结构，在一定程度上提高了网络的安全性。

支持硬件口令、智能卡： 是否支持硬件口令、智能卡等，这是一种比较安全的身份认证技术。

防御功能

支持病毒扫描： 是否支持防病毒功能，如扫描电子邮件附件中的 DOC和ZIP文件，FTP中的下载或上载文件内容，以发现其中包含的危险信息。

提供内容过滤： 是否支持内容过滤，信息内容过滤指防火墙在 HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。过滤内容主要指URL、HTTP携带的信息：Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。

能防御的 DoS攻击类型：拒绝服务攻击(DoS)就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制，可在一定程度上防止或减轻DoS黑客攻击。

阻止 ActiveX、Java、Cookies、Javascript侵入：属于HTTP内容过滤，防火墙应该能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的 CGI、ASP等程序，当发现危险代码时，向服务器报警。

安全特性

支持转发和跟踪 ICMP协议（ICMP 代理）：是否支持ICMP代理，ICMP为网间控制报文协议。

提供入侵实时警告：提供实时入侵告警功能，当发生危险事件时，是否能够及时报警，报警的方式可能通过邮件、呼机、手机等。

提供实时入侵防范：提供实时入侵响应功能，当发生入侵事件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。

识别 /记录/防止企图进行IP地址欺骗：IP地址欺骗指使用伪装的IP地址作为IP包的源地址对受保护网络进行攻击，防火墙应该能够禁止来自外部网络而源地址是内部IP地址的数据包通过。

管理功能

通过集成策略集中管理多个防火墙：是否支持集中管理，防火墙管理是指对防火墙具有管理权限的管理员行为和防火墙运行状态的管理，管理员的行为主要包括：通过防火墙的身份鉴别，编写防火墙的安全规则，配置防火墙的安全参数，查看防火墙的日志等。防火墙的管理一般分为本地管理、远程管理和集中管理等。

提供基于时间的访问控制：是否提供基于时间的访问控制。

支持 SNMP监视和配置：SNMP是简单网络管理协议的缩写。

本地管理：是指管理员通过防火墙的 Console口或防火墙提供的键盘和显示器对防火墙进行配置管理。

远程管理：是指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理，管理的通信协议可以基于 FTP、TELNET、HTTP等。

支持带宽管理：防火墙能够根据当前的流量动态调整某些客户端占用的带宽。

负载均衡特性：负载均衡可以看成动态的端口映射，它将一个外部地址的某一 TCP或UDP端口映射到一组内部地址的某一端口，负载均衡主要用于将某项服务（如HTTP）分摊到一组内部服务器上以平衡负载。

失败恢复特性（ failover)：指支持容错技术，如双机热备份、故障恢复，双电源备份等。

记录和报表功能

防火墙处理完整日志的方法：防火墙规定了对于符合条件的报文做日志，应该提供日志信息管理和存储方法。

提供自动日志扫描：指防火墙是否具有日志的自动分析和扫描功能，这可以获得更详细的统计结果，达到事后分析、亡羊补牢的目的。

提供自动报表、日志报告书写器：防火墙实现的一种输出方式，提供自动报表和日志报告功能。

警告通知机制：防火墙应提供告警机制，在检测到入侵网络以及设备运转异常情况时，通过告警来通知管理员采取必要的措施，包括 E－mail、呼机、手机等。

提供简要报表（按照用户 ID或IP 地址）：防火墙实现的一种输出方式，按要求提供报表分类打印。

提供实时统计：防火墙实现的一种输出方式，日志分析后所获得的智能统计结果，一般是图表显示。

列出获得的国内有关部门许可证类别及号码：这是防火墙合格与销售的关键要素之一，其中包括：公安部的销售许可证、国家信息安全测评中心的认证证书、总参的国防通信入网证和国家保密局的推荐证明等。

㈡ cisco防火墙配置的基本配置

激活以太端口必须用enable进入，然后进入configure模式
PIX525>enable
Password:
PIX525#config t
PIX525(config)#interface ethernet0 auto
PIX525(config)#interface ethernet1 auto
在默认情况下ethernet0是属外部网卡outside, ethernet1是属内部网卡inside,
inside在初始化配置成功的情况下已经被激活生效了，但是outside必须命令配置激活。 采用命令nameif
PIX525(config)#nameif ethernet0 outside security0
security100
security0是外部端口outside的安全级别（100安全级别最高）
security100是内部端口inside的安全级别,如果中间还有以太口，则security10，security20等等命名，多个网卡组成多个网络，一般情况下增加一个以太口作为DMZ(Demilitarized Zones非武装区域)。 采用命令为：ip address
如：内部网络为：192.168.1.0 255.255.255.0
外部网络为：222.20.16.0 255.255.255.0
PIX525(config)#ip address inside 192.168.1.1 255.255.255.0
PIX525(config)#ip address outside 222.20.16.1 255.255.255.0 在默然情况下，PIX的以太端口是不允许telnet的，这一点与路由器有区别。Inside端口可以做telnet就能用了,但outside端口还跟一些安全配置有关。
PIX525(config)#telnet 192.168.1.1 255.255.255.0 inside
PIX525(config)#telnet 222.20.16.1 255.255.255.0 outside
测试telnet
在[开始]->[运行]
telnet 192.168.1.1
PIX passwd:
输入密码：cisco 此功能与Cisco IOS基本上是相似的，也是Firewall的主要部分，有permit和deny两个功能，网络协议一般有IP|TCP|UDP|ICMP等等，如：只允许访问主机:222.20.16.254的www,端口为：80
PIX525(config)#access-list 100permit ip any host 222.20.16.254 eq www
deny ip any any
PIX525(config)#access-group 100 in interface outside NAT跟路由器基本是一样的，
首先必须定义IP Pool，提供给内部IP地址转换的地址段，接着定义内部网段。
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#nat (inside) 1 192.168.0.0 255.255.255.0
如果是内部全部地址都可以转换出去则：
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0
则某些情况下，外部地址是很有限的，有些主机必须单独占用一个IP地址，必须解决的是公用一个外部IP(222.20.16.201),则必须多配置一条命令，这种称为（PAT），这样就能解决更多用户同时共享一个IP,有点像代理服务器一样的功能。配置如下：
PIX525(config)#global (outside) 1 222.20.16.100-222.20.16.200 netmask 255.255.255.0
PIX525(config)#global (outside) 1 222.20.16.201 netmask
255.255.255.0
PIX525(config)#nat (inside) 1 0.0.0.0 0.0.0.0 在内部网络，为了维护的集中管理和充分利用有限IP地址，都会启用动态主机分配IP地址服务器（DHCP Server），Cisco Firewall PIX都具有这种功能，下面简单配置DHCP Server,地址段为192.168.1.100—192.168.1.200
DNS: 主202.96.128.68 备202.96.144.47
主域名称：
DHCP Client 通过PIX Firewall
PIX525(config)#ip address dhcp
DHCP Server配置
PIX525(config)#dhcpd address 192.168.1.100-192.168.1.200
inside
PIX525(config)#dhcp dns 202.96.128.68 202.96.144.47
PIX525(config)#dhcp domain 静态端口重定向(Port Redirection with Statics)
在PIX 版本6.0以上，增加了端口重定向的功能，允许外部用户通过一个特殊的IP地址/端口通过Firewall PIX
传输到内部指定的内部服务器。这种功能也就是可以发布内部WWW、FTP、Mail等服务器了，这种方式并不是直接连接，而是通过端口重定向，使得内部服务器很安全。
命令格式：
static
[(internal_if_name,external_if_name)]{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
static
[(internal_if_name,external_if_name)]{tcp|udp}{global_ip|interface}
local_ip
[netmask
mask][max_cons[max_cons[emb_limit[norandomseq]]]
!----外部用户直接访问地址222.20.16.99
telnet端口，通过PIX重定向到内部主机192.168.1.99的telnet端口（23）。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
telnet 192.168.1.99 telnet netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.99
FTP，通过PIX重定向到内部192.168.1.3的FTP Server。
PIX525(config)#static (inside,outside) tcp 222.20.16.99
ftp 192.168.1.3 ftp netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.208
www(即80端口)，通过PIX重定向到内部192.168.123的主机的www(即80端口)。
www 192.168.1.2 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.201
HTTP(8080端口)，通过PIX重定向到内部192.168.1.4的主机的www(即80端口)。
8080 192.168.1.4 www netmask 255.255.255.255 0 0
!----外部用户直接访问地址222.20.16.5
smtp(25端口)，通过PIX重定向到内部192.168.1.5的邮件主机的smtp(即25端口)
smtp 192.168.1.4 smtp netmask 255.255.255.255 0 0 显示命令show config
保存命令write memory

㈢ 如何配置防火墙

XP系统防火墙的设置

步骤一：安装程序时
许多程序在安装时都要求关闭防火墙(如WPS Office 2003)。有些程序虽然并未直接明示，但若不及时关闭，就有可能造成安装失败，比如弹出“读取错误”、“安装*.exe出错”等信息，或者干脆死机，或者安装上去之后不能正常使用。笔者在安装金山影霸、Office XP等程序时已经屡经验证。

步骤二：整理碎片时
在Windows XP中整理磁盘碎片时，屏幕保护程序已不再像在Windows 98那样干扰碎片整理的正常进行(每次都得重新开始)，但病毒防火墙却依旧起着干扰作用，尤其是金山毒霸防火墙，会使碎片整理根本无法进行，在整理列表中会不断出现重复的磁盘图标，并且用不了多久就弹出提示：磁盘碎片无法整理，某某错误。这时候试着关掉防火墙，再看看是不是已经正常了。

步骤三：系统还原时
Windows XP中的系统还原几乎可以说是一剂万能后悔药，但可能会遇到下面的情况：在创建新的系统还原点时系统提示：无法完成新还原点的创建，请重新启动计算机，再次运行系统还原。可是即使重新启动之后仍旧无法完成新还原点的创建。其实罪魁祸首还是病毒防火墙，只要关掉它，就可恢复正常了。病毒防火墙对还原系统到过去某一时间的过程也有影响，表现为点击“确定”按钮后系统没有反应，最可怕的是即使勉强完成了系统还原，有的程序也无法正常使用(如金山影霸)。

㈣ 怎么看自己电脑防火墙的设置以及访问规则

目前已经发布的英文版windows xp service pack 2(sp2)包括了全新的windows防火墙，即以前所称的internet连接防火墙(icf)。windows防火墙是一个基于主机的状态防火墙，它丢弃所有未请求的传入流量，即那些既没有对应于为响应计算机的某个请求而发送的流量(请求的流量)，也没有对应于已指定为允许的未请求的流量(异常流量)。windows防火墙提供某种程度的保护，避免那些依赖未请求的传入流量来攻击网络上的计算机的恶意用户和程序。

在windows xp sp2中，windows防火墙有了许多新增特性，其中包括:

默认对计算机的所有连接启用、应用于所有连接的全新的全局配置选项、用于全局配置的新增对话框集、全新的操作模式、启动安全性、本地网络限制、异常流量可以通过应用程序文件名指定对internet协议第6版(ipv6)的内建支持

采用netsh和组策略的新增配置选项

本文将详细描述用于手动配置全新的windows防火墙的对话框集。与windows xp(sp2之前的版本)中的icf不同，这些配置对话框可同时配置ipv4和ipv6流量。

windows xp(sp2之前的版本)中的icf设置包含单个复选框(在连接属性的“高级”选项卡上“通过限制或阻止来自internet对此计算机的访问来保护我的计算机和网络”复选框)和一个“设置”按钮，您可以使用该按钮来配置流量、日志设置和允许的icmp流量。

在windows xp sp2中，连接属性的“高级”选项卡上的复选框被替换成了一个“设置”按钮，您可以使用该按钮来配置常规设置、程序和服务的权限、指定于连接的设置、日志设置和允许的icmp流量。

“设置”按钮将运行全新的windows防火墙控制面板程序(可在“网络和internet连接与安全中心”类别中找到)。

新的windows防火墙对话框包含以下选项卡:

“常规” “异常” “高级” “常规”选项卡

在“常规”选项卡上，您可以选择以下选项:

“启用(推荐)”

选择这个选项来对“高级”选项卡上选择的所有网络连接启用windows防火墙。

windows防火墙启用后将仅允许请求的和异常的传入流量。异常流量可在“异常”选项卡上进行配置。
“不允许异常流量”

单击这个选项来仅允许请求的传入流量。这样将不允许异常的传入流量。“异常”选项卡上的设置将被忽略，所有的连接都将受到保护，而不管“高级”选项卡上的设置如何。

“禁用”

选择这个选项来禁用windows防火墙。不推荐这样做，特别是对于可通过internet直接访问的网络连接。

注意对于运行windows xp sp2的计算机的所有连接和新创建的连接，windows防火墙的默认设置是“启用(推荐)”。这可能会影响那些依赖未请求的传入流量的程序或服务的通信。在这样的情况下，您必须识别出那些已不再运作的程序，将它们或它们的流量添加为异常流量。许多程序，比如internet浏览器和电子邮件客户端(如:outlook express)，不依赖未请求的传入流量，因而能够在启用windows防火墙的情况下正确地运作。

如果您在使用组策略配置运行windows xp sp2的计算机的windows防火墙，您所配置的组策略设置可能不允许进行本地配置。在这样的情况下，“常规”选项卡和其他选项卡上的选项可能是灰色的，而无法选择，甚至本地管理员也无法进行选择。

基于组策略的windows防火墙设置允许您配置一个域配置文件(一组将在您连接到一个包含域控制器的网络时所应用的windows防火墙设置)和标准配置文件(一组将在您连接到像internet这样没有包含域控制器的网络时所应用的windows防火墙设置)。这些配置对话框仅显示当前所应用的配置文件的windows防火墙设置。要查看当前未应用的配置文件的设置，可使用netsh firewall show命令。要更改当前没有被应用的配置文件的设置，可使用netsh firewall set命令。

“异常”选项卡

在“异常”选项卡上，您可以启用或禁用某个现有的程序或服务，或者维护用于定义异常流量的程序或服务的列表。当选中“常规”选项卡上的“不允许异常流量”选项时，异常流量将被拒绝。

对于windows xp(sp2之前的版本)，您只能根据传输控制协议(tcp)或用户数据报协议(udp)端口来定义异常流量。对于windows xp sp2，您可以根据tcp和udp端口或者程序或服务的文件名来定义异常流量。在程序或服务的tcp或udp端口未知或需要在程序或服务启动时动态确定的情况下，这种配置灵活性使得配置异常流量更加容易。

已有一组预先配置的程序和服务，其中包括:

文件和打印共享、远程助手(默认启用)、远程桌面、upnp框架，这些预定义的程序和服务不可删除。

如果组策略允许，您还可以通过单击“添加程序”，创建基于指定的程序名称的附加异常流量，以及通过单击“添加端口”，创建基于指定的tcp或udp端口的异常流量。

当您单击“添加程序”时，将弹出“添加程序”对话框，您可以在其上选择一个程序或浏览某个程序的文件名。

当您单击“添加端口”时，将弹出“添加端口”对话框，您可以在其中配置一个tcp或udp端口。

全新的windows防火墙的特性之一就是能够定义传入流量的范围。范围定义了允许发起异常流量的网段。在定义程序或端口的范围时，您有两种选择:

“任何计算机”

允许异常流量来自任何ip地址。

“仅只是我的网络(子网)”

仅允许异常流量来自如下ip地址，即它与接收该流量的网络连接所连接到的本地网段(子网)相匹配。例如，如果该网络连接的ip地址被配置为 192.168.0.99，子网掩码为255.255.0.0，那么异常流量仅允许来自192.168.0.1到192.168.255.254范围内的 ip地址。

当您希望允许本地家庭网络上全都连接到相同子网上的计算机以访问某个程序或服务，但是又不希望允许潜在的恶意internet用户进行访问，那么“仅只是我的网络(子网)”设定的地址范围很有用。

一旦添加了某个程序或端口，它在“程序和服务”列表中就被默认禁用。

在“异常”选项卡上启用的所有程序或服务对“高级”选项卡上选择的所有连接都处于启用状态。

“高级”选项卡

“高级”选项卡包含以下选项:

网络连接设置、安全日志、icmp、默认设置

“网络连接设置”

在“网络连接设置”中，您可以:
1、指定要在其上启用windows防火墙的接口集。要启用windows防火墙，请选中网络连接名称后面的复选框。要禁用windows防火墙，则清除该复选框。默认情况下，所有网络连接都启用了windows防火墙。如果某个网络连接没有出现在这个列表中，那么它就不是一个标准的网络连接。这样的例子包括internet服务提供商(isp)提供的自定义拨号程序。

2、通过单击网络连接名称，然后单击“设置”，配置单独的网络连接的高级配置。

如果清除“网络连接设置”中的所有复选框，那么windows防火墙就不会保护您的计算机，而不管您是否在“常规”选项卡上选中了“启用(推荐)”。如果您在“常规”选项卡上选中了“不允许异常流量”，那么“网络连接设置”中的设置将被忽略，这种情况下所有接口都将受到保护。

当您单击“设置”时，将弹出“高级设置”对话框。

在“高级设置”对话框上，您可以在“服务”选项卡中配置特定的服务(仅根据tcp或udp端口来配置)，或者在“icmp”选项卡中启用特定类型的icmp流量。

这两个选项卡等价于windows xp(sp2之前的版本)中的icf配置的设置选项卡。

“安全日志”

在“安全日志”中，请单击“设置”，以便在“日志设置”对话框中指定windows防火墙日志的配置，

在“日志设置”对话框中，您可以配置是否要记录丢弃的数据包或成功的连接，以及指定日志文件的名称和位置(默认设置为systemrootpfirewall.log)及其最大容量。

“icmp”

在“icmp”中，请单击“设置”以便在“icmp”对话框中指定允许的icmp流量类型，

在“icmp”对话框中，您可以启用和禁用windows防火墙允许在“高级”选项卡上选择的所有连接传入的icmp消息的类型。icmp消息用于诊断、报告错误情况和配置。默认情况下，该列表中不允许任何icmp消息。

诊断连接问题的一个常用步骤是使用ping工具检验您尝试连接到的计算机地址。在检验时，您可以发送一条icmp echo消息，然后获得一条icmp echo reply消息作为响应。默认情况下，windows防火墙不允许传入icmp echo消息，因此该计算机无法发回一条icmp echo reply消息作为响应。为了配置windows防火墙允许传入的icmp echo消息，您必须启用“允许传入的echo请求”设置。

“默认设置”

单击“还原默认设置”，将windows防火墙重设回它的初始安装状态。

当您单击“还原默认设置”时，系统会在windows防火墙设置改变之前提示您核实自己的决定。

㈤ 如何通过公网IP经过防火墙访问内网服务器

1、首先登录防火墙后台，找的源nat选项新建一条源NAT策略。

㈥ FTP 服务器SERV-U 改了默认端口后连不上了！求高人指点 ，防火墙是关了的。

你需要先看看serverU所在的机器，3021端口是否已经打开了（在serverU所在机器使用telnet命令查看），如果没有启动则重启一下serverU服务。然后再确认穿越防火墙是否可以访问这个端口（还是使用telnet）。最后再防火墙的访问控制策略里看看，是否有针对相关协议的控制策略，可以先将所有的包全部放开，如果通过了，则说明有规则限制了ftp对3021端口的访问，这就要仔细排查规则了 。

㈦ 华为交换机开启三层路由的命令

三层交换机默认是已开启的，如果不通的话应该是其他问题，可以看下配置

㈧ 防火墙的配置命令有哪些

1、nameif

设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。
使用命令：

PIX525(config)#

PIX525(config)#

PIX525(config)#nameifethernet2dmzsecurity50

2、interface

配置以太口工作状态，常见状态有：auto、100full、shutdown。

auto：设置网卡工作在自适应状态。

100full：设置网卡工作在100Mbit/s，全双工状态。

shutdown：设置网卡接口关闭，否则为激活。

命令：

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#

3、ipaddress

配置网络接口的IP地址
4、global

指定公网地址范围：定义地址池。

Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中：

(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmarkglobal_mask]：表示全局ip地址的网络掩码。
5、nat

地址转换命令，将内网的私有ip转换为外网公网ip。
6、route

route命令定义静态路由。

语法：

route(if_name)00gateway_ip[metric]
7、static

配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：

static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit

管道conit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。
语法：

conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、访问控制列表ACL

访问控制列表的命令与couit命令类似
10、侦听命令fixup

作用是启用或禁止一个服务或协议，

通过指定端口设置PIX防火墙要侦听listen服务的端口。
11、telnet

当从外部接口要telnet到PIX防火墙时，telnet数据流需要用vpn隧道ipsec提供保护或

在PIX上配置SSH，然后用SSHclient从外部到PIX防火墙。
12、显示命令：

showinterface；查看端口状态。

showstatic；查看静态地址映射。

showip；查看接口ip地址。

showconfig；查看配置信息。

showrun；显示当前配置信息。

writeterminal；将当前配置信息写到终端。

showcpuusage；显示CPU利用率，排查故障时常用。

showtraffic；查看流量。

showblocks；显示拦截的数据包。

showmem；显示内存

13、DHCP服务

PIX具有DHCP服务功能。

㈨ 防火墙的配置命令是什么

1、nameif

设置接口名称，并指定安全级别，安全级别取值范围为1～100，数字越大安全级别越高。
使用命令：

PIX525(config)#

PIX525(config)#

PIX525(config)#nameifethernet2dmzsecurity50

2、interface

配置以太口工作状态，常见状态有：auto、100full、shutdown。

auto：设置网卡工作在自适应状态。

100full：设置网卡工作在100Mbit/s，全双工状态。

shutdown：设置网卡接口关闭，否则为激活。

命令：

PIX525(config)#interfaceethernet0auto

PIX525(config)#interfaceethernet1100full

PIX525(config)#

3、ipaddress

配置网络接口的IP地址
4、global

指定公网地址范围：定义地址池。

Global命令的配置语法：

global(if_name)nat_idip_address-ip_address[netmarkglobal_mask]

其中：

(if_name)：表示外网接口名称，一般为outside。

nat_id：建立的地址池标识(nat要引用)。

ip_address-ip_address：表示一段ip地址范围。

[netmarkglobal_mask]：表示全局ip地址的网络掩码。
5、nat

地址转换命令，将内网的私有ip转换为外网公网ip。
6、route

route命令定义静态路由。

语法：

route(if_name)00gateway_ip[metric]
7、static

配置静态IP地址翻译，使内部地址与外部地址一一对应。

语法：

static(internal_if_name,external_if_name)outside_ip_addrinside_ip_address
8、conit

管道conit命令用来设置允许数据从低安全级别的接口流向具有较高安全级别的接口。
语法：

conitpermit|denyprotocolglobal_ipport[-port]foreign_ip[netmask]
9、访问控制列表ACL

访问控制列表的命令与couit命令类似
10、侦听命令fixup

作用是启用或禁止一个服务或协议，

通过指定端口设置PIX防火墙要侦听listen服务的端口。
11、telnet

当从外部接口要telnet到PIX防火墙时，telnet数据流需要用vpn隧道ipsec提供保护或

在PIX上配置SSH，然后用SSHclient从外部到PIX防火墙。
12、显示命令：

showinterface；查看端口状态。

showstatic；查看静态地址映射。

showip；查看接口ip地址。

showconfig；查看配置信息。

showrun；显示当前配置信息。

writeterminal；将当前配置信息写到终端。

showcpuusage；显示CPU利用率，排查故障时常用。

showtraffic；查看流量。

showblocks；显示拦截的数据包。

showmem；显示内存

13、DHCP服务

PIX具有DHCP服务功能。

㈩ win2008服务器 防火墙如何加ip地址的白名单

已经存在的例外条目不建议修改，否则会导致个别程序不可用。