防火墙66524167.doc

PIX 访问控制列表和内容过滤( 1) (2006-12-05 16:25:16) 可以配置 PIX 防火墙使之有选择地允许某些流量通过其接口,这些配置方式有:基于源地址或目的地址;基于服务类型;基于验证、授权和计费( AAA )需求;基于内容或目的 URL 。 ACL 是由路由器和 PIX 防火墙维护的用来控制流量的一个列表。内容过滤可以阻止特定类型的内容( 比如 Java applets , ActiveX 控件等) 进入你的网络, 还可以用来控制和阻止网络内部主机对受限的 web 站点的访问。一、访问控制列表使用 access-list 和 access-group 这两条命令可以实现 ACL 。 access-list 命令用来创建 ACL , access-group 命令用来把 ACL 绑定到路由器或 PIX 防火墙的特定接口上。使用 access-group 命令在一个接口上只能绑定一个 ACL 。与使用 Cisco IOS 的路由器不同的是,在 PIX 防火墙上使用 access-group 命令只能将 ACL 绑定到任意接口的入站流量上。不过,在 PIX 防火墙上仍然能控制出站流量(例如, 从 inside 接口到 outside 接口), 但是必须使用 access-group acl_id in interface insid e 命令将 ACL 绑定到 inside 接口上,从而控制从内部主机到 inside 接口的流量。 access-list 和 access-group 命令可以代替 outbound 或者 conduit 命令, 且 access-list 和 access-group 命令具有较高的优先级。当用来允许或拒绝流量时, access-list 命令与 conduit 命令遵循同样的原理和规则。以下是设计和实现 ACL 时遵循的规则: ●从较高到较低的安全性: -用 ACL 来限制出站流量; - ACL 命令中的源地址是主机或网络的实际地址。●从较低到较高的安全性: -用 ACL 来限制入站流量; - ACL 命令中的目的地址是经过转换的全局地址。 access-list 命令使你可以指明允许或拒绝某 IP 地址访问某端口或协议。缺省情况下,访问列表中的所有访问都是被拒绝。因此,需要允许访问时必须明确指出。在 PIX 防火墙 中加入了对 ACL 编辑及注释的支持。该版本中可以为特定的 ACL 条目指定行编号,并把它放到 ACL 中的任意位置。当把主机的 IP 地址作为源或目的地址时,可以使用关键字 host 来代替网络掩码 。例如,下列 ACL 允许到主机 的 FTP 流量: access-list SAMPLEACL permit tcp any host eq ftp show access-list 命令可以列出配置中的 access-list 命令语句,还可以列出 access-list 命令搜索过程中各元素的匹配命中统计。在 版本中, 还可以显示出所有添加到 ACL 中的注释和每个条目的行编号。 clear access-list 命令将从配置中删除所有的 access-list 命令语句。如果指定了 clear access-list 命令中的 acl_id 参数,那么仅仅删除与该参数对应的 ACL 。如果指定 counters 选项,那么将清除指定 ACL 的匹配命中统计。使用 clear access-list 命令的同时会阻止与被影响的 access-list 命令语句相关的所有流量通过 PIX 防火墙。使用 no access-list 命令时, 如果所提供的参数与已有的特定命令相匹配, 那么将从配置中删掉该命令。当使用 no access-list 命令且仅指定相关 ACL 的名称时,整个 ACL 将被删除。如: no access-list out_in 如果一个 ACL 组中所有的 access-list 命令语句都已被删除,那么 no access-lis t 命令相当于从配置中删除相应的 access-group 命令。处理子网掩码的顺序相反之外, access-list 命令在 PIX 防火墙中与 Cisco IOS 软件中的语法是一样的。如,在 Cisco IOS 中 access-list 命令指定的子网掩码为 , 那么在 PIX 防火墙中 access-list 命令将指定该子网掩码为 。以下列出了 access-list 命令的语法: access-list acl_ID [ line line_num