在接口上应用访问控制列表

将访问控制列表应用到接口上

指明在接口上是OUT还是IN方向

 在接口视图下配置:

firewall packet-filter acl-number [inbound|outbound]

timerange {enable|distable} 允许|禁止时间段,Quidway防火墙默认为禁止时间段.

settr begin-time end-tune[begin-timend-time...]设置特殊时间段

display isintr 显示当前时间是否在特殊时间段内

　display timerange 显示配置的时间段 

日志功能

日志功能是允许在特定的主机上记录下来防火墙的操作

开启日志系统

info-center enable

配置日志主机地址等相关属性

info-center loghost loghost-number ip-address port ...

显示日志配置信息

display debugging

在华为Quidway路由器上提供了非常丰富的日志功能,详细内容请参考配置手册.

日志功能用以记录下所有来犯防火墙的操作信息，在访问列表允许日志功能后，需再配置另一条命令info-center loghost．以指定日志主机的位置。日志主机可以是一台普通的网络工作站．也可以是专用的服务器，它们之上需运行标准的日志程序，以接收路由器发回的日志记录。

路由器侧的配置举例如下：  

!开启日志系统。

[Quidway]info-center enable 

!将ip地址为10.110.12.119的主机用作日志主机。

[Quidway]info-center loghost 0 10.110.12 .119 514

访问控制列表的组合

 一条访问控制列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto 和config

规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑.

深度的判断要依靠通配比较位和IP地址结合比较

rule deny 202.38.0.0  0.0.255.255

rule permit 202.38.160.0  0.0.0.255

两条规则结合表示禁止一个大网段(202.38.0.0)上的主机但允许其中的一小部分主机(202.38.160.0)的访问.

规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑.

一条访问控制列表可以包含多条规则。而对于一条访问控制列表中的多条规则。华为路由器上定义了两种匹配顺序：auto和config。其中auto表示采用深度优先原则对访问控制列表进行自动排序；config则表示依据用户输入的配置顺序进行匹配，先配置的访问列表规则一定会先匹配。我们可以用下列命令来配置访问控制列表的匹配顺序：

acl acl-number match-order[auto | config]

如果两条规则有冲突．而访问控制列表的匹配顺序为auto，即“深度优先”时，在这种情况下描述的地址范围越小的规则，将会优先考虑。例如：

acl l 

rule deny 202.38.0.0   0.0 255 255          

 rule permit 202.38.160 0.0.0. 255      

对于202.38.160.23这样的地址，访问刊表是认为是允许的。因为第二条指定能地址范围小。

如果两条规则有冲突．而访问控制列表的匹配顺序为config，这时先配置的访问列表规则会被优先考虑。