海蜘蛛配置手册.docVIP

第?11?章?ACL 规则 ACL 是指根据协议类型、IP地址、端口等特征自定义防火墙规则，根据数据包传输的方向和对象不同，可以分为以下两种： 进入(Incoming) 数据包的最终目的地是路由，来源是外网IP或内网主机。 应用场合举例：禁止外网某些IP访问路由，比如要禁止 210.xx.xx.xx 这个IP访问路由的Web管理。 转发(Forward) 数据包的最终目的地是内网主机或外网IP，来源是外网IP或内网主机。路由处于中间，对数据包进行转发。 应用场合举例：禁止内网访问外网的某些IP或端口，比如要禁止迅雷的 15000/UDP 下载端口。 下面这个图描述了两者之间的区别： +-------------. .--------------+ | \ ACL转发(内-外) / | | +---------. `------------------- .----------+ | | | \ / | | | | \ ACL转发(外-内) / | | | V `------------------- | V +---------------+ +------------------+ +----------------+ | 局域网主机(PC)| | 路由(Router) | | 外网(Internet) | +---------------+ +------------------+ +----------------+ | /\ | | || | | || | +_______________________++________________________+ ACL进入 ACL进入 主要参数格式说明： 源/目的IP 为空表示所有IP，有如下3种表示方法： 单个IP，比如： IP网络，比如：/24 或 / IP地址段，比如：-00 源/目的端口 为空表示所有端口，有如下3种表示方法： 单个端口，比如：8080 多个离散端口，比如：137,139,445 连续端口，比如：80-8000 (80到8000之间的所有端口) 匹配动作 通过：允许匹配的数据包通过 丢弃：丢弃匹配到的数据包，不反馈任何错误信息 拒绝：丢弃匹配到的数据包，并向发送者(源IP)反馈相关错误信息 忽略：对来访的数据包不做任何处理,直接记录到日志,此动作必须配合 记录到日志 功能一起使用。 案例-1：内网用迅雷下载的人太多，影响网速，需要禁止掉迅雷的 15000/UDP 端口 案例-2：内网某主机中了“机器狗”病毒，经观察，发现其会定时访问一些外网IP，并下载病毒和木马程序，为了安全期间，需要禁止内网访问这些IP。这些IP是 94, 11, 03。 添加3条规则，每条规则的设置和下面类似，只是目的IP不同： 第?12?章?端口镜像 目录 12.1. 端口镜像简介 12.2. 设置步骤 12.1.?端口镜像简介 端口镜像 (Port Mirroring) 功能可以让指定IP或协议的流量复制并转发到某一特定的IP(一般是监控机器)，对于网吧而已，由于公安监控的需要，端口镜像功能通常是必须的。 端口镜像一般通过带端口镜像的交换机来实现，但这种交换机价格比较贵，故有些小型网吧，在路由和局域网之间串接了一个集线器（HUB）来解决这个问题，然而，这对网络性能造成了很大影响，尤其是当内网数据流量较大时，因为HUB的速率只有10Mbit，这无疑成了网络设备中的瓶颈。 针对此问题，海蜘蛛提出了在路由上来实现端口镜像的解决方案，这样做有以下几个优点： 节省购买镜像端口交换机的成本 不改变现有网络结构，对网