Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1329156
  • 博文数量: 464
  • 博客积分: 9399
  • 博客等级: 中将
  • 技术积分: 6364
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-19 09:15
文章分类

全部博文(464)

文章存档

2014年(12)

2013年(123)

2012年(173)

2011年(156)

我的朋友

分类: 系统运维

2012-03-19 11:23:12

 PIX 515E-R上网(ACL封端口(已测试))

    ■ ACL命令介绍

    PIX通常使用访问控制列表(ACL)来限制内网用户上网,而ACL则是根据协议类型及端口号来实施包过滤的。

    基本命令格式:

    (1)access-list命令

    access-list access-list-name [deny|permit] protocol source source-netmask destination destination-netmask [ ]

    说明:

    1、 此命令应用于全局模式下

    2、 protocol   ip协议的名字或代号。可以用icmp,ip,tcp,udp或者0到255之间的一个整数来表示一个IP协议号。若想匹配任何一种协议,包括ICMP,TCP,UDP,可以使用关键字ip。

    3、 [ ]   可以将ACL应用到具体的端口上

    4、 通常在PIX访问控制列表应用中,如果使用permit建立一个ACL,则在最后一句加入deny ,也就是丢弃所有不符合条件的数据包;如果使用deny建立一个ACL,则在最后一句加入permit any any。

    5、 其中0.0.0.0可以用0替代,0.0.0.0 0.0.0.0可以用any替代

    (2)access-group命令

    [no] access-group access-list-name in interface [inside|outside|…]

    此命令接合access-list命令一起使用,将指定的访问控制列表应用到指定的接口上。

    ■ 创建ACL的思想

    很多软件不用固定端口进行通信,比如BT就是,它的通信端口是一个范围,而不是一个固定值。因此建议不要使用“堵”的方法,谁需要才开谁。

    如果只收发E-MAIL、看网页,就只permit tcp的25(SMTP)/80(HTTP)/110(POP3)和udp的53(DNS)就可以了,其它一律deny。

    ■    应用ACL实施包过滤

    1.允许指定用户上网不受限制的ACL

    access-list goout permit ip 192.1.3.5 255.255.255.255 any

    access-list goout permit ip 192.1.3.8 255.255.255.255 any

    ……

    access-list goout permit ip 192.1.3.236 255.255.255.255 any

    access-list goout deny any any

    access-group goout in interface inside

 2.允许ICMP包通过的ACL

    access-list ping permit icmp any any echo-reply

    access-group ping in interface outside

    3.只允许收发邮件的ACL

    ……

    access-list goout permit tcp 192.1.3.x 255.255.255.255 any eq 110 //POP3

    access-list goout permit tcp 192.1.3.x 255.255.255.255 any eq 25   //SMTP

    access-list goout permit udp 192.1.3.x 255.255.255.255 any eq 53   //DNS

    ……

    access-list goout deny ip any any

    access-group goout in interface inside

    4.只允许浏览网页的ACL

    access-list goout permit tcp 192.1.3.x 255.255.255.255 any eq 80 //HTTP

    access-list goout permit udp 192.1.3.x 255.255.255.255 any eq 53   //DNS

    ……

    access-list goout deny ip any any

    access-group goout in interface inside



CCIE Security 2009 IOS防火墙合集


阅读(1073) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~