VRP命令⾏
VRP系统命令采⽤分级保护⽅式,命令被划分为参观级、监控级、配置级、管理级4个级别。
参观级:⽹络诊断⼯具命令(ping、tracert)、从本设备出发访问外部设备的命令(包括:Telnet客户端、SSH、Rlogin)等,该级别命令不允许进⾏配置⽂件保存的操作。
监控级:⽤于系统维护、业务故障诊断等,包括display、debugging命令,该级别命令不允许进⾏配置⽂件保存的操作。
配置级:业务配置命令,包括路由、各个⽹络层次的命令,这些⽤于向⽤户提供直接⽹络服务。
管理级:关系到系统基本运⾏,系统⽀撑模块的命令,这些命令对业务提供⽀撑作⽤,包括⽂件系统、FTP、TFTP、Xmodem下载、配置⽂件切换命令、备板控制命令、⽤户管理命令、命令级别设置命令、系统内部参数设置命令等。
防⽕墙基本配置流程
配置⽹络:使⽹路互联互通
配置对象:管理所有策略的共⽤元素
配置策略:进⾏⽹络安全防护和流量管理
配置接⼝模式
①进⼊系统视图
system-view
②进⼊接⼝视图
interface interface_type interface_number
水贴③配置三层以太⽹接⼝或者⼆层以太⽹接⼝
配置三层以太⽹接⼝
ip address ip-address {mask | mask-length}
配置⼆层以太⽹接⼝
portswitch
配置安全区域
①进⼊系统视图
system-view
②创建安全区域(或进⼊已存在的安全区域),并进⼊相应的安全区域视图
firewall zone [name] zone_name
安全区域已经存在:不必配置关键字name,直接进⼊安全区域视图
安全区域不存在:需要配置关键字name,进⼊安全区域视图
③若是⾃建的安全区域,则需要配置安全区域的安全级别
set priority security-priority
注:系统预定义了4个安全区域:local(100)、trust(85)、dmz(50)、untrust(5)。
将接⼝加⼊安全区域
①进⼊系统视图
system-view
②进⼊相应的安全区域视图
firewall zone [name] zone_name
③将接⼝加⼊安全区域
add interface interface-type interfae-number
配置防⽕墙安全策略
①进⼊安全策略视图
security-policy
孙淳电视剧②创建安全策略规则,并进⼊安全策略规则视图
rule name rule-name
③配置安全则略规则的源安全区域和⽬的安全区域(本⽂只是展⽰安全策略的⼀部分,更详细的部分在后⾯继续展⽰)source-zone {zone-name & <1-6> | any}
destination-zone {zone-name & <1-6> | any}
④配置对匹配流量的包过滤动作
action {permit | deny}
配置路由奔流不息的息的意思
配置静态路由
①进⼊系统视图
system-view
②增加⼀条静态路由
ip route-static ip-address{mask | mask-length} {interface-type interface-number | next-ip-address} [preference value] [reject | blockhole]
配置缺省路由
①进⼊系统视图
system-view
②配置缺省路由
ip route-static 0.0.0.0 {0.0.0.0 | 0} {interface-type interface-number | next-ip-address} [preference value] [reject | blockhole]
设置地址集和服务集
①地址集
ip address-set address-set-name type [object | group]
address 0 192.168.5.2 0
非诚勿扰100403address 1 192.168.5.3 0
address 2 192.168.5.6 0
②服务集
ip service-set service-set-name type [object | group]
以幸福为话题作文service prorocol tcp destination-port 80
service protocol tcp destination-port 8080
service protocol tcp destination-port 8443
注:
可⽤ display predefined-service 查看预定义服务的详细信息
当type为group时,可以添加地址集和服务集作为成员
发布评论