访问控制列表(二)
访问控制列表(二)
三、扩展的P访问控制列表 顾名思义,扩展的P访问表用于扩展报文过滤 能力。一个扩展的P访问表允许用户根据如下 内容过滤报文:源和目的地址、协议、源和目 的端口以及在特定报文字段中允许进行特殊位 比较等等
三、扩展的IP访问控制列表 顾名思义,扩展的IP访问表用于扩展报文过滤 能力。一个扩展的IP访问表允许用户根据如下 内容过滤报文:源和目的地址、协议、源和目 的端口以及在特定报文字段中允许进行特殊位 比较等等
个扩展的P访问表的一般语法格或如下所示: access-list [list number] [permit|deny] [protocollprotocol key word] [source address source wildcard mask] [source port] [destination address destination wildcard mask][destination port] [log options] ;这是一条全局配置命令
一个扩展的IP访问表的一般语法格或如下所示: access-list [list number] [permit|deny] [protocol|protocol key word] [source address source wildcard mask] [source port] [destination address destination wildcard mask] [destination port] [log options] ;这是一条全局配置命令
1、表号 list number-一表号 扩展P访问表的表号标识从I00到199
1、表号 list number——表号 扩展IP访问表的表号标识从l00到199
2、协议 protoco—协议 协议项定义了需要被过滤的协议,例如P、 TCP、UDP、ICMP等等。协议选项是很重要 的,因为在TCPP协议栈中的各种协议之间有 很密切的关系,如果管理员希望根据特殊协议 进行报文过滤,就要指定该协议
2、协议 protocol——协议 协议项定义了需要被过滤的协议,例如IP、 TCP、UDP、ICMP等等。协议选项是很重要 的,因为在TCP/IP协议栈中的各种协议之间有 很密切的关系,如果管理员希望根据特殊协议 进行报文过滤,就要指定该协议
另外,管理员应该注意将相对重要的过滤项放 在靠前的位置。如果管理员设置的命令中,允 许IP地址的语句放在拒绝TCP地址的语句前 面,则后一个语句根本不起作用。但是如果将 这两条语句换一下位置,则在允许该地址上的 其他协议的同时,拒绝了TCP协议
另外,管理员应该注意将相对重要的过滤项放 在靠前的位置。如果管理员设置的命令中,允 许IP地址的语句放在拒绝TCP地址的语句前 面,则后一个语句根本不起作用。但是如果将 这两条语句换一下位置,则在允许该地址上的 其他协议的同时,拒绝了TCP协议
3、源端口号和目的端口号 源端口号和目的端口号 源端口号可以用几种不同的方法来指定。它可 以显式地指定,使用一个数字或者使用一个可 识别的助记符。例如,我们可以使用80或者 http来指定Web的超文本传输协议
3、源端口号和目的端口号 源端口号和目的端口号 源端口号可以用几种不同的方法来指定。它可 以显式地指定,使用一个数字或者使用一个可 识别的助记符。例如,我们可以使用80或者 http来指定Web的超文本传输协议
目的端口号的指定方法与源端口号的指定方法 相同。读者可以使用数字、助记符或者使用操 作符与数字或助记符相结合的格式来指定一个 端口范围
目的端口号的指定方法与源端口号的指定方法 相同。读者可以使用数字、助记符或者使用操 作符与数字或助记符相结合的格式来指定一个 端口范围
下面的实例说明了扩展P访问表中部分关键字 使用方法: access-list 101 permit tcp any host 198.78.46.8 eq smtp access-list 101 permit tcp any host 198.78.46.3 eq www 第一个语句允许来自任何主机的TCP报文到达 特定主机198.78.46.8的smtp服务端口(25);第 二个语句允许任何来自任何主机的TCP报文到 达指定的主机198.78.46.3的www或http服务端 口(80)
下面的实例说明了扩展IP访问表中部分关键字 使用方法: access-list 101 permit tcp any host 198.78.46.8 eq smtp access-list 101 permit tcp any host 198.78.46.3 eq www 第一个语句允许来自任何主机的TCP报文到达 特定主机198.78.46.8的smtp服务端口(25);第 二个语句允许任何来自任何主机的TCP报文到 达指定的主机198.78.46.3的www或http服务端 口(80)
4、选项 扩展的lP访问表支持很多选项,如established 该选项只用于TCP协议并且只在TCP通信流的 个方向上来响应由另一端发起的会话。为了实现 该功能,使用established:选项的访问表语句检 查每个TCP报文,以确定报文的ACK或RST位 是否已设置
4、选项 扩展的IP访问表支持很多选项,如established 该选项只用于TCP协议并且只在TCP通信流的一 个方向上来响应由另一端发起的会话。为了实现 该功能,使用established选项的访问表语句检 查每个TCP报文,以确定报文的ACK或RST位 是否已设置