博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 1944|回复: 0

访问控制列表和turbo ACL

[复制链接]
发表于 2008-9-8 16:18:51 | 显示全部楼层 |阅读模式
访问控制列表和turbo ACL
访问控制列表
  配置PIX防火墙使它有选择的允许一些流量的配置方式有:
  基于源地址或目的地址:基于服务类型;基于验证,授权和计费(AAA)需求,基于内容或目的URL。
  使用access-list和access-group这两条命令
  注意:与使用Cisco IOS路由器不同的是,在PIX防火墙上使用access-group 命令只能将ACL绑定到任意借口的入站流量上
  不过,在PIX防火墙上仍然能控制出站流量(如,从inside到outside接口),但是必须使用access-group acl_id in interface inside 命令将ACL绑定到inside接口上,从而控制从内部主机到inside接口上的流量。
  access-list和access-group命令可以代替outbound或者conduit命令,且access-list和access-group具有较高的优先级。
  在6.3版本中你可以为为特定的ACL条目指定行编号,并把它放置到任意的位置。
  如:
  access-list out_in line 5 remark adding entry to allow ssh /*注释*/
  access-list out_in line 6 permit tcp any 192.168.0.0
  clear access-list 命令将从配置删除所有的access-list命令语句。如果指定了该命令中的acl_id参数,那么它仅仅删除与该参数对应的ACL。
  如果一个ACL组中所有的access-list命令语句都已被删除,那么no access-list命令相当于从配置中删除相应的access-group命令。(注意:在cisco ios中access-list 命令指定的子网掩码为0.0.0.255,那么在PIX防火墙中access-list命令将指定该子网掩码为255.255.255.0
  turbo acl
  在线性的查找过程中,平均查找时间与acl的大小成正比。一个turbo acl查询一个任意长度的acl所需要的时间与在一个大约由12-18条目构成的acl中进行查询的时间大致相同的。因此如启动turbo acl
  都是19个甚至更多条目的acl上。
  用access-list compiled启动turbo acl特性。
  icmp permit|deny src_addr src_mask [icmp-type] if_name
  clear icmp
  show icmp
  对象分组
  PIX防火墙的对象分组特性就是减少ACL创建和维护的复杂性,提高管理性而设计的。
  例子
  access-list ACLIN permit object-group my-pro object-group my-src object-group my-dec object-group my-port
  常规的:
  access-list ACLIN tcp 192.168.10.0 255.255.255.0 host 10.0.0.1 eq www
  object-group 后面的是对象分组,对象分组有四类,如,网络,服务,协议,以及ICMP类型。
  如创建一个网络对象组
  #object-group network CLIENT
   #network-object host 10.0.1.11
   #network-object 10.0.0.0 255.255.255.0
  (还可以嵌套使用)
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-27 23:46 , Processed in 0.101224 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表