华为路由器的配置与防火墙的配置(3)

　　【举例】

　　启用防火墙。

　　Quidway(config)#firewall enable

　　【相关命令】

　　access-list，ip access-group

　　四、firewall default 配置防火墙在没有相应的访问规则匹配时，缺省的过滤方式。

　　firewall default { permit | deny }

　　【参数说明】

　　permit 表示缺省过滤属性设置为“允许”。

　　deny 表示缺省过滤属性设置为“禁止”。

　　【缺省情况】

　　在防火墙开启的情况下，报文被缺省允许通过。

　　【命令模式】

　　全局配置模式

　　【使用指南】

　　当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时，缺省的过滤属性将起作用；如果缺省过滤属性是“允许”，则报文可以通过，否则报文被丢弃。

　　【举例】

　　设置缺省过滤属性为“允许”。

　　Quidway(config)#firewall default permit

　　五、ip access-group 使用此命令将规则应用到接口上。使用此命令的no形式来删除相应的设置。

　　ip access-group listnumber { in | out }

　　[ no ] ip access-group listnumber { in | out }

　　【参数说明】

　　listnumber 为规则序号，是1~199之间的一个数值。

　　in 表示规则用于过滤从接口收上来的报文。

　　out 表示规则用于过滤从接口转发的报文。

　　【缺省情况】

　　没有规则应用于接口。

　　【命令模式】

　　接口配置模式。

　　【使用指南】

　　使用此命令来将规则应用到接口上；如果要过滤从接口收上来的报文，则使用 in 关键字；如果要过滤从接口转发的报文，使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-list命令来查看。