pix防火墙上的access-list
pix防火墙上的access-list

作者:heizi_010101 提交日期:2005-7-14 17:11:00
访问控制列表
配置PIX防火墙使它有选择的允许一些流量的配置方式有:
基于源地址或目的地址:基于服务类型;基于验证,授权和计费(AAA)需求,基于内容或目的URL。
使用access-list和access-group这两条命令
注意:与使用Cisco IOS路由器不同的是,在PIX防火墙上使用access-group 命令只能将ACL绑定到任意借口的入站流量上
不过,在PIX防火墙上仍然能控制出站流量(如,从inside到outside接口),但是必须使用access-group acl_id in interface inside 命令将ACL绑定到inside接口上,从而控制从内部主机到inside接口上的流量。
access-list和access-group命令可以代替outbound或者conduit命令,且access-list和access-group具有较高的优先级。
在6.3版本中你可以为为特定的ACL条目指定行编号,并把它放置到任意的位置。
如:
access-list out_in line 5 remark adding entry to allow ssh /*注释*/
access-list out_in line 6 permit tcp any 192.168.0.0
clear access-list 命令将从配置删除所有的access-list命令语句。如果指定了该命令中的acl_id参数,那么它仅仅删除与该参数对应的ACL。
如果一个ACL组中所有的access-list命令语句都已被删除,那么no access-list命令相当于从配置中删除相应的access-group命令。(注意:在cisco ios中access-list 命令指定的子网掩码为0.0.0.255,那么在PIX防火墙中access-list命令将指定该子网掩码为255.255.255.0
turbo acl
在线性的查找过程中,平均查找时间与acl的大小成正比。一个turbo acl查询一个任意长度的acl所需要的时间与在一个大约由12-18条目构成的acl中进行查询的时间大致相同的。因此如启动turbo acl
都是19个甚至更多条目的acl上。
用access-list compiled启动turbo acl特性。
icmp permit|deny src_addr src_mask [icmp-type] if_name
clear icmp
show icmp
对象分组
PIX防火墙的对象分组特性就是减少ACL创建和维护的复杂性,提高管理性而设计的。
例子
access-list ACLIN permit object-group my-pro object-group my-src object-group my-dec object-group my-port
常规的:
access-list ACLIN tcp 192.168.10.0 255.255.255.0 host 10.0.0.1 eq www
object-group 后面的是对象分组,对象分组有四类,如,网络,服务,协议,以及ICMP类型。
如创建一个网络对象组
#object-group network CLIENT
 #network-object host 10.0.1.11
 #network-object 10.0.0.0 255.255.255.0
(还可以嵌套使用)
#日志日期:2005-7-14 星期四(Thursday) 阴
天涯“2016年度十大最具影响力博客”评选


登录 | 新人注册>>
输入您的评论:(不支持HTML标签)


验证码
本文所属博客:黑子的狗窝
引用地址:
© 天涯社区