『組網需求』：
要求將內部用戶"192.168.1.254"用戶手動設置成黑名單用戶，并將攻擊的用戶自動加入到黑名單中。

『配置實例』：
1．在系統(tǒng)視圖下使能黑名單功能。
[Secpath]firewall blacklist enable
2．手動添加"192.168.1.254" 客戶機地址到黑名單表項中。
[Secpath]firewall blacklist 192.168.1.254 timeout 10（十分鐘后自動解除，不配置timeout，將永久有效。）
[Secpath]dis firewall blacklist item
Firewall blacklist item :
Current manual insert items : 1
Current automatic insert items : 0
Need aging items : 1
IP Address Insert reason Insert time Age time(minutes)
--------------------------------------------------------------------------
192.168.1.254 Manual 2006/02/28 11:31:01 10
3．自動添加客戶地址到黑名單表項的前提是，通過統(tǒng)計攻擊首的信息。
[Secpath]firewall zone trust
[Secpath-zone-trust]statistic enable ip inzone
[Secpath-zone-trust]statistic enable ip outzone
[Secpath]firewall zone untrust
[Secpath-zone-untrust]statistic en ip inzone
[Secpath-zone-untrust]statistic en ip outzone
4．在全局開啟攻擊防范功能。
[Secpath]firewall defend all

『注意事項』：
1、黑名單表項中使用命令行多次配置同一IP地址的表項到黑名單中，則后配置的表項會覆蓋原有表項。
2、如果防火墻相關模塊準備向黑名單插入的IP地址已經存在于黑名單之中，則老化時間長的表項會被保留。
3、通過Telnet方式登錄防火墻時，如果連續(xù)三次輸錯密碼，系統(tǒng)也自動將Telnet客戶端的IP地址添加到黑名單中，并設置老化時間為10分鐘。
4、攻擊防范模塊察覺到特定IP地址的攻擊之后，會將這個IP地址自動插入到黑名單表中。
5、如果將客戶地址加入到黑名單后，所有從客戶機發(fā)出的ICMP報文都會被防火墻過濾掉。