Cisco路由器防火墙配置命令及实例

1、clear access-list counters清除访问列表规则的统计信息。clear access-list counters listnumber 【参数说明】listnumber 可选要清除统计信息的规则的序号，如不指定，则清除所有的规则的统计信息。【缺省情况】任何时候都不清除统计信息。【命令模式】特权用户模式【使用指南】使用此命令来清除当前所用规则的统计信息，不指定规则编号则清除所有规则的统计信息。【举例】例1：清除当前所使用的序号为100的规则的统计信息。Quidway#clear access-list counters 100例2：清除当前所使用的所有规则的统计信息。Quid

2、way#clear access-list counters【相关命令】access-list三、firewall启用或禁止防火墙。firewall enable | disable 【参数说明】enable表示启用防火墙。disable表示禁止防火墙。【缺省情况】系统缺省为禁止防火墙。【命令模式】全局配置模式【使用指南】使用此命令来启用或禁止防火墙，可以通过show firewall命令看到相应结果。如果采用了时间段包过 滤，则在防火墙被关闭时也将被关闭；该命令控制防火墙的总开关。在使用firewall disable命令关闭防火 墙时，防火墙本身的统计信息也将被清除。【举例】启用防火墙。Q

3、uidway(config)#firewall enable【相关命令】access-list， ip access-groupfirewall default置防火墙在没有相应的访问规则匹配时，缺省的过滤方式。firewall default permit | deny 【参数说明】permit表示缺省过滤属性设置为“允许”。deny表示缺省过滤属性设置为“禁止”。【缺省情况】在防火墙开启的情况下，报文被缺省允许通过。【命令模式】全局配置模式【使用指南】当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时，缺省的过滤属性将起作 用；如果缺省过滤属性是“允许”，则报文可以通过，否

4、则报文被丢弃。【举例】设置缺省过滤属性为“允许”。Quidway(config)#firewall default permit五、ip access-group使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。ip access-group listnumber in I out no ip access-group listnumber in | out 【参数说明】listnumber为规则序号，是1199之间的一个数值。in表示规则用于过滤从接口收上来的报文。out表示规则用于过滤从接口转发的报文。【缺省情况】没有规则应用于接口。【命令模式】接口配置模式。【使用指南】使用此命令来将规则应用到接口上；如果要过滤从接口收上来的报文，则使用in关键字；如果要过 滤从接口转发的报文，使用out关键字。一个接口的一个方向上最多可以应用20类不同的规则；这些规则 之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发 现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配 置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用 show access-list 命令来查看。【举例】将规则101应用于过滤从以太