PIX访问控制列表和内容过滤.docVIP

PIX访问控制列表和内容过滤 ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 可以配置PIX防火墙使之有选择地允许某些流量通过其接口，这些配置方式有：基于源地址或目的地址；基于服务类型；基于验证、授权和计费（AAA）需求；基于内容或目的URL。 ??? ACL是由路由器和PIX防火墙维护的用来控制流量的一个列表。内容过滤可以阻止特定类型的内容（比如Java applets，ActiveX控件等）进入你的网络，还可以用来控制和阻止网络内部主机对受限的web站点的访问。 一、访问控制列表 ??? 使用access-list和access-group这两条命令可以实现ACL。 ??? access-list命令用来创建ACL，access-group命令用来把ACL绑定到路由器或PIX防火墙的特定接口上。使用access-group命令在一个接口上只能绑定一个ACL。 ??? 与使用Cisco IOS的路由器不同的是，在PIX防火墙上使用access-group命令只能将ACL绑定到任意接口的入站流量上。不过，在PIX防火墙上仍然能控制出站流量（例如，从inside接口到outside接口），但是必须使用access-group acl_id in interface inside命令将ACL绑定到inside接口上，从而控制从内部主机到inside接口的流量。 ??? access-list和access-group命令可以代替outbound或者conduit命令，且access-list和access-group命令具有较高的优先级。 ??? 当用来允许或拒绝流量时，access-list命令与conduit命令遵循同样的原理和规则。以下是设计和实现ACL时遵循的规则： ●从较高到较低的安全性： －用ACL来限制出站流量； －ACL命令中的源地址是主机或网络的实际地址。 ●从较低到较高的安全性： －用ACL来限制入站流量； －ACL命令中的目的地址是经过转换的全局地址。 ??? access-list命令使你可以指明允许或拒绝某IP地址访问某端口或协议。缺省情况下，访问列表中的所有访问都是被拒绝。因此，需要允许访问时必须明确指出。 ??? 在PIX防火墙6.3中加入了对ACL编辑及注释的支持。该版本中可以为特定的ACL条目指定行编号，并把它放到ACL中的任意位置。 ??? 当把主机的IP地址作为源或目的地址时，可以使用关键字host来代替网络掩码55。例如，下列ACL允许到主机的FTP流量： access-list SAMPLEACL permit tcp any host eq ftp ??? show access-list命令可以列出配置中的access-list命令语句，还可以列出access-list命令搜索过程中各元素的匹配命中统计。在6.3版本中，还可以显示出所有添加到ACL中的注释和每个条目的行编号。 ??? clear access-list命令将从配置中删除所有的access-list命令语句。如果指定了clear access-list命令中的acl_id参数，那么仅仅删除与该参数对应的ACL。如果指定counters选项，那么将清除指定ACL的匹配命中统计。 ??? 使用clear access-list命令的同时会阻止与被影响的access-list命令语句相关的所有流量通过PIX防火墙。 ??? 使用no access-list命令时，如果所提供的参数与已有的特定命令相匹配，那么将从配置中删掉该命令。 ??? 当使用no access-list命令且仅指定相关ACL的名称时，整个ACL将被删除。如：no access-list out_in ??? 如果一个ACL组中所有的access-list命令语句都已被删除，那么no access-list命令相当于从配置中删除相应的access-group命令。 ??? 处理子网掩码的顺序相反之外，access-list命令在PIX防火墙中与Cisco IOS软件中的语法是一样的。如，在Cisco IOS中access-list命令指定的子网掩码为55，那么在PIX防火墙中access-list命令将指定该子网掩码为。 ??? 以下列出了access-list命令的语法： access-list acl_ID [line line_num] deny | permit protocol source_addr source_mask [operator port [port]] destination_addr destination_mask operator [port [port]] access-list acl_ID [line line_num] de