當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)軟件>正文

學(xué)習(xí)防火墻的配置方法

http://www.yibo1263.com　2008/6/12 8:28:47 　來(lái)源:本站　編輯:葉子

　　四、過(guò)濾型防火墻的訪問(wèn)控制表（ACL）配置

　　除了以上介紹的基本配置外，在防火墻的安全策略中最重要還是對(duì)訪問(wèn)控制列表（ACL）進(jìn)行配有關(guān)置。下面介紹一些用于此方面配置的基本命令。

　　1. access-list：用于創(chuàng)建訪問(wèn)規(guī)則

　　這一訪問(wèn)規(guī)則配置命令要在防火墻的全局配置模式中進(jìn)行。同一個(gè)序號(hào)的規(guī)則可以看作一類規(guī)則，同一個(gè)序號(hào)之間的規(guī)則按照一定的原則進(jìn)行排列和選擇，這個(gè)順序可以通過(guò) show access-list 命令看到。在這個(gè)命令中，又有幾種命令格式，分別執(zhí)行不同的命令。

　�。�1）創(chuàng)建標(biāo)準(zhǔn)訪問(wèn)列表

　　命令格式：access-list [ normal 　 special ] listnumber1 { permit 　 deny } source-addr [ source-mask ]

　　（2）創(chuàng)建擴(kuò)展訪問(wèn)列表

　　命令格式：access-list [ normal 　 special ] listnumber2 { permit 　 deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] 　 icmp-type [ icmp-code ] ] [ log ]

　�。�3）刪除訪問(wèn)列表

　　命令格式：no access-list { normal 　 special } { all 　 listnumber [ subitem ] }

　　上述命令參數(shù)說(shuō)明如下：

　　●normal：指定規(guī)則加入普通時(shí)間段。
　　●special：指定規(guī)則加入特殊時(shí)間段。
　　●listnumber1：是1到99之間的一個(gè)數(shù)值，表示規(guī)則是標(biāo)準(zhǔn)訪問(wèn)列表規(guī)則。
　　●listnumber2：是100到199之間的一個(gè)數(shù)值，表示規(guī)則是擴(kuò)展訪問(wèn)列表規(guī)則。
　　●permit：表明允許滿足條件的報(bào)文通過(guò)。
　　●deny：表明禁止?jié)M足條件的報(bào)文通過(guò)。
　　●protocol：為協(xié)議類型，支持ICMP、TCP、UDP等，其它的協(xié)議也支持，此時(shí)沒(méi)有端口比較的概念；為IP時(shí)有特殊含義，代表所有的IP協(xié)議。
　　●source-addr：為源IP地址。
　　●source-mask：為源IP地址的子網(wǎng)掩碼，在標(biāo)準(zhǔn)訪問(wèn)列表中是可選項(xiàng)，不輸入則代表通配位為0.0.0.0。
　　●dest-addr：為目的IP地址。
　　●dest-mask：為目的地址的子網(wǎng)掩碼。
　　●operator：端口操作符，在協(xié)議類型為TCP或UDP時(shí)支持端口比較，支持的比較操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符為range，則后面需要跟兩個(gè)端口。
　　port1 在協(xié)議類型為TCP或UDP時(shí)出現(xiàn)，可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值。port2 在協(xié)議類型為TCP或UDP且操作類型為range時(shí)出現(xiàn)；可以為關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如telnet）或0~65535之間的一個(gè)數(shù)值。
　　●icmp-type：在協(xié)議為ICMP時(shí)出現(xiàn)，代表ICMP報(bào)文類型；可以是關(guān)鍵字所設(shè)定的預(yù)設(shè)值（如echo-reply）或者是0~255之間的一個(gè)數(shù)值。
　　●icmp-code：在協(xié)議為ICMP，且沒(méi)有選擇所設(shè)定的預(yù)設(shè)值時(shí)出現(xiàn)；代表ICMP碼，是0~255之間的一個(gè)數(shù)值。
　　●log：表示如果報(bào)文符合條件，需要做日志。
　　●listnumber：為刪除的規(guī)則序號(hào)，是1~199之間的一個(gè)數(shù)值。
　　●subitem：指定刪除序號(hào)為listnumber的訪問(wèn)列表中規(guī)則的序號(hào)。

本新聞共10頁(yè),當(dāng)前在第08頁(yè) 01 02 03 04 05 06 07 08 09 10

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·邊界路由器加防火墻保證企業(yè)安全

·選擇硬件防火墻注意緊抓四要素

·思科防火墻PIX ASA精華配置總結(jié)

·路由器與防火墻安全性大對(duì)比

·企業(yè)選購(gòu)指南：國(guó)內(nèi)防火墻大比拼

·網(wǎng)絡(luò)防火墻選購(gòu)十要素

·強(qiáng)悍注冊(cè)表防火墻練就百毒不侵之軀

·穿越防火墻讓遠(yuǎn)程桌面自由連接

·排除代理防火墻連接故障的技巧

·防火墻基于策略路由的配置技巧

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费