【正文】 包可以通過(guò)，什么樣的數(shù)據(jù)包不能通過(guò)。訪問(wèn)控制列表根據(jù)IP報(bào)文的協(xié)議號(hào)、源地址、目標(biāo)地址、源端口和目的端口的信息起到過(guò)濾數(shù)據(jù)報(bào)文的作用。訪問(wèn)控制列表除了用于過(guò)濾數(shù)據(jù)報(bào)文之外，還可以應(yīng)用于：l Qos（Quality of Service），對(duì)數(shù)據(jù)流量進(jìn)行控制；l 在DCC中，訪問(wèn)控制列表還可以規(guī)定觸發(fā)撥號(hào)的條件；l 地址轉(zhuǎn)換；l 在配置路由策略時(shí)，可以利用訪問(wèn)控制列表來(lái)作路由信息的過(guò)濾。 基本訪問(wèn)控制列表基本訪問(wèn)控制列表僅僅是根據(jù)數(shù)據(jù)包的源地址對(duì)數(shù)據(jù)包進(jìn)行區(qū)分。??！防火墻圖42 高級(jí)訪問(wèn)控制列表高級(jí)訪問(wèn)控制列表可以使用數(shù)據(jù)包的源地址信息、目的地址信息、IP承載的協(xié)議類型、針對(duì)協(xié)議的特性，例如TCP的源端口，ICMP協(xié)議的類型、代碼等內(nèi)容定義規(guī)則。 基于接口的訪問(wèn)控制列表基于接口的訪問(wèn)控制列表，是一種特殊的訪問(wèn)控制列表，可以根據(jù)接收或者發(fā)送報(bào)文的接口指定規(guī)則。防火墻源MAC為111,目的MAC為222的數(shù)據(jù)包可以通過(guò)！圖45 ACL基本配置在防火墻命令行的系統(tǒng)視圖下可進(jìn)行ACL表的創(chuàng)建。在配置訪問(wèn)控制列表的規(guī)則之前，首先需要?jiǎng)?chuàng)建一個(gè)訪問(wèn)控制列表。假若創(chuàng)建了一個(gè)數(shù)字編號(hào)為3000的數(shù)字型ACL列表，將進(jìn)入高級(jí)ＡＣＬ視圖。進(jìn)入ACL視圖之后，就可以配置ACL規(guī)則了。l Undo acl ｛number aclnumber | all ｝命令可以刪除一個(gè)或所有訪問(wèn)控制列表；參數(shù)說(shuō)明：l number aclnumber 定義一個(gè)數(shù)字型的ACL , aclnumber 為訪問(wèn)控制規(guī)則序號(hào)。除非把該ACL的內(nèi)容全部刪除，再重新指定其匹配順序。通常情況下反掩碼看起來(lái)很象一個(gè)顛倒過(guò)來(lái)的IP 地址子網(wǎng)掩碼，但是用法上是不一樣的。IP 地址與反掩碼都是32 位的數(shù)。000255只比較前24位003255只比較前22位0255255255只比較前8位 ACL列表基本配置ACL基本配置包括1) 基本訪問(wèn)控制列表配置2) 高級(jí)訪問(wèn)控制列表配置3) 基于接口的訪問(wèn)控制列表配置4) 基于MAC地址的訪問(wèn)控制列表配置5) 刪除訪問(wèn)控制列表 6) 時(shí)間段配置7) 訪問(wèn)控制列表的調(diào)試與顯示 基本訪問(wèn)控制列表的配置操作命令在系統(tǒng)視圖下，創(chuàng)建一個(gè)基本訪問(wèn)控制列表 acl number aclnumber [ matchorder { config | auto } ] 在基本訪問(wèn)控制列表視圖下，配置ACL規(guī)則 rule [ ruleid ] { permit | deny } [ source souraddr sourwildcard | any ] [ timerange timename ] [ logging ] [ fragment ] [ vpninstance vpninstancename ]undo rule ruleid [ source ] [ timerange ] [ logging ] [ vpninstance vpninstancename ] [ fragment ] 高級(jí)訪問(wèn)控制列表的配置操作命令在系統(tǒng)視圖下，創(chuàng)建一個(gè)高級(jí)訪問(wèn)控制列表 acl number aclnumber [ matchorder { config | auto } ] 在高級(jí)訪問(wèn)控制列表視圖下，配置ACL規(guī)則 rule [ ruleid ] { permit | deny } protocol [ source souraddr sourwildcard | any ] [ destination destaddr destmask | any ] [ sourceport operator port1 [ port2 ] ] [ destinationport operator port1 [ port2 ] ] [ icmptype {icmptype icmpcode| icmpmessage} ] [ precedence precedence ] [ dscp dscp ] [ established ] [ tos tos ] [ timerange timename ] [ logging ] [ fragment ] [ vpninstance vpninstancename ]undo rule ruleid [ source ] [ destination ] [ sourceport ] [ destinationport ] [ icmptype ] [ precedence ] [ dscp ] [ tos ] [ timerange ] [ logging ] [ fragment ] [ vpninstance vpninstancename ] 基于接口的訪問(wèn)控制列表的配置操作命令在系統(tǒng)視圖下，創(chuàng)建一個(gè)基于接口的訪問(wèn)控制列表 acl number aclnumber [ matchorder { config | auto } ] 在基于接口的訪問(wèn)控制列表視圖下，配置ACL規(guī)則 rule { permit | deny } [ interface type number ] [ timerange timename ] [ logging ]undo rule ruleid [ timerange | logging ]操作命令在系統(tǒng)視圖下，創(chuàng)建一個(gè)基于MAC地址的訪問(wèn)控制列表 acl number aclnumber 在基于MAC地址的訪問(wèn)控制列表視圖下，配置ACL規(guī)則 rule [ ruleid ] { deny | permit } [ type typecode typewildcard | lsap lsapcode lsapwildcard ] [ sourcemac souraddr sourwildcard ] [ destmac destaddr destmask ]undo rule ruleid 刪除訪問(wèn)控制列表操作命令刪除訪問(wèn)控制列表 undo acl { number aclnumber | all} 時(shí)間段配置操作命令創(chuàng)建一個(gè)時(shí)間段 timerange timename [ starttime to endtime ] [ days ] [ from time1 date1 ] [ to time2 date2 ] 刪除一個(gè)時(shí)間段 undo timerange timename [ starttime to endtime ] [ days ] [ from time1 date1 ] [ to time2 date2 ] 此命令在系統(tǒng)視圖下進(jìn)行。操作命令顯示配置的訪問(wèn)控制列表規(guī)則 display acl { all | aclnumber } 顯示時(shí)間段 display timerange { all | timename } 清除訪問(wèn)規(guī)則計(jì)數(shù)器 reset acl counter { all | aclnumber } 第一、第二條命令在所有視圖下均可執(zhí)行。 本章小結(jié)l 介紹了訪問(wèn)控制列表的基本原理l 命令行方式下實(shí)現(xiàn)訪問(wèn)控制列表的配置 習(xí)題第五章 包過(guò)濾技術(shù) 課程目標(biāo)l 掌握包過(guò)濾技術(shù)的原理與配置l 掌握ASPF的原理與配置l 掌握黑名單原理與配置 包過(guò)濾技術(shù)介紹所謂包過(guò)濾就是對(duì)防火墻需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄的動(dòng)作。圖51描述了在防火墻內(nèi)部設(shè)置適當(dāng)?shù)脑L問(wèn)控制列表可以允許某公司的分支機(jī)構(gòu)辦事處訪問(wèn)公司總部，但禁止對(duì)于未授權(quán)的用戶訪問(wèn)公司總部。 設(shè)置包過(guò)濾防火墻缺省過(guò)濾方式此命令在系統(tǒng)視圖下進(jìn)行下配置： 操作命令設(shè)置缺省過(guò)濾方式為允許通過(guò) firewall packetfilter default permit (缺省)設(shè)置缺省過(guò)濾方式為禁止通過(guò) firewall packetfilter default deny 防火墻初始情況下，系統(tǒng)缺省為允許通過(guò)。此命令在系統(tǒng)視圖下進(jìn)行配置。因此，需要設(shè)定門限值（最大允許上、下限域值）。下限值必須小于或等于上限值。l 也可以對(duì)接口的收發(fā)報(bào)文分別指定訪問(wèn)規(guī)則。l 高級(jí)訪問(wèn)控制列表提供標(biāo)準(zhǔn)匹配和精確匹配兩種匹配方式。缺省模式為標(biāo)準(zhǔn)匹配方式。l 要將基于MAC地址的訪問(wèn)控制列表應(yīng)用到接口上，防火墻必須工作在通明模式下。 在用戶視圖下執(zhí)行debugging 命令可以對(duì)包過(guò)濾防火墻進(jìn)行調(diào)試。端口的選擇是通信雙方動(dòng)態(tài)協(xié)商的，其中的某些應(yīng)用可能會(huì)同時(shí)用到多個(gè)端口。結(jié)論是：l 對(duì)于多通道的應(yīng)用層協(xié)議（如FTP、），部分安全策略無(wú)法預(yù)知；l 無(wú)法檢測(cè)某些來(lái)自于應(yīng)用層的攻擊行為（如TCP SYN Java applet等）；鑒于以上問(wèn)題，提出了狀態(tài)防火墻的概念，即ASPF的概念。ASPF能夠?qū)崿F(xiàn)的應(yīng)用層協(xié)議檢測(cè)包括：FTP HTTP SMP RTSP ( RTP/RTCP)，ASPF能夠?qū)崿F(xiàn)的傳輸層協(xié)議檢測(cè)包括：通用TCPUDP的檢測(cè)。狀態(tài)檢測(cè)技術(shù)采用的是一種基于會(huì)話的狀態(tài)檢測(cè)機(jī)制，將屬于同一會(huì)話的所有包作為一個(gè)整體的數(shù)據(jù)流看待，構(gòu)成一個(gè)會(huì)話狀態(tài)表。ASPF主要采用了會(huì)話狀態(tài)表和臨時(shí)訪問(wèn)控制表實(shí)現(xiàn)對(duì)傳輸報(bào)文的動(dòng)態(tài)過(guò)濾。會(huì)話狀態(tài)表維護(hù)了一次會(huì)話中某一時(shí)刻會(huì)話所處的狀態(tài)，用于匹配后續(xù)的發(fā)送報(bào)文，并檢測(cè)會(huì)話狀態(tài)的轉(zhuǎn)換是否正確。會(huì)話狀態(tài)表中的記錄的信息既包括當(dāng)前會(huì)話的通信信息，也包括是本次會(huì)話之前的通信信息。臨時(shí)訪問(wèn)控制表的概念：臨時(shí)訪問(wèn)控制表不同于包過(guò)濾防火墻的訪問(wèn)控制列表（ACL）。其功能相當(dāng)于一個(gè)擴(kuò)展的訪問(wèn)控制規(guī)則的permit項(xiàng)，用于匹配一個(gè)會(huì)話中的所有應(yīng)答報(bào)文。通用TCP和UDP檢測(cè)與應(yīng)用層協(xié)議檢測(cè)不同，是對(duì)報(bào)文的傳輸層信息進(jìn)行的檢測(cè)，如源、目的地址及端口號(hào)等。通用TCP/UDP檢測(cè)要求流入接口的報(bào)文與之前流出接口的報(bào)文完全匹配，即源、目的地址及端口號(hào)恰好對(duì)應(yīng)，否則返回的報(bào)文將被丟棄。Java 阻塞（Java Blocking）可實(shí)現(xiàn)對(duì)來(lái)自于不信任站點(diǎn)Java applet的過(guò)濾，對(duì)通過(guò)HTTP協(xié)議傳輸?shù)腏ava applet小程序進(jìn)行阻斷。需要注意的是，ASPF的Java applet進(jìn)行阻斷，而對(duì)于以其它方式封裝的applet不能實(shí)現(xiàn)過(guò)濾。端口映射允許用戶對(duì)不同的應(yīng)用定義一組新的端口號(hào)。PAM支持兩類映射機(jī)制：① 通用端口映射是將用戶自定義端口號(hào)和應(yīng)用層協(xié)議建立映射關(guān)系。② 基于基本訪問(wèn)控制列表的主機(jī)端口映射是對(duì)去往或來(lái)自某些特定主機(jī)的報(bào)文建立自定義端口號(hào)和應(yīng)用協(xié)議的的映射。主機(jī)的范圍由ACL基本列表指定的。② 多通道協(xié)議：包含一個(gè)控制通道和若干其它控制或者數(shù)據(jù)通道，即控制信息的交互和數(shù)據(jù)的傳輸在不同的通道上完成的，如FTP，RTSP。當(dāng)ASPF應(yīng)用于防火墻外部接口的出方向時(shí)，可以在防火墻上為內(nèi)網(wǎng)用戶訪問(wèn)互聯(lián)網(wǎng)的返回報(bào)文打開一個(gè)臨時(shí)通道。但靜態(tài)訪問(wèn)控制列表會(huì)將用戶發(fā)起連接后返回的報(bào)文過(guò)濾掉，導(dǎo)致連接無(wú)法建立。狀態(tài)表在檢測(cè)到第一個(gè)外發(fā)報(bào)文時(shí)候創(chuàng)建，用于維護(hù)了一次會(huì)話中某一時(shí)刻會(huì)話所處的狀態(tài)，并檢測(cè)會(huì)話狀態(tài)的轉(zhuǎn)換是否正確。TACL主要用于匹配一個(gè)中的所有返回的報(bào)文，可以為某一個(gè)應(yīng)用返回的報(bào)文在防火墻的外部接口上建立了一個(gè)臨時(shí)返回的通道。FTP ClientFTP Serverport:1333port:1600port:21port:20控制通道連接數(shù)據(jù)通道連接FTP指令和應(yīng)答port指令圖53ASPF多通道協(xié)議FTP檢測(cè)在FTP連接建立到拆除過(guò)程中的處理如下：l 檢查從出接口上向外發(fā)送的IP報(bào)文，確認(rèn)為基本TCP的FTP報(bào)文l 檢查端口號(hào)確認(rèn)為控制連接，為返回報(bào)文建立相應(yīng)的的TACL和會(huì)話狀態(tài)表l 檢查FTP控制連接報(bào)文，解析FTP指令，根據(jù)指令更新狀態(tài)表，如果包含數(shù)據(jù)通道建立指令，則創(chuàng)建數(shù)據(jù)連接的TACL，對(duì)于數(shù)據(jù)連接，不進(jìn)行狀態(tài)檢測(cè)。l FTP連接刪除時(shí)，狀態(tài)表和TACL也隨之刪除。 ASPF 基本配置ASPF配置包括：1) 允許防火墻2) 配置訪問(wèn)控制列表3) 定義一個(gè)ASPF策略4) 在選定的接口上應(yīng)用ASPF策略過(guò)濾范圍 允許防火墻操作命令允許防火墻 firewall packetfilter enable 配置訪問(wèn)控制列表操作命令配置訪問(wèn)控制列表（在ACL視圖下）rule deny將ACL應(yīng)用到出接口上（在接口視圖下） firewall packetfilter aclnum inbound 在出接口上流入信任區(qū)的數(shù)據(jù)為“入”的概念。默認(rèn)超時(shí)分別為30秒、5秒、3600秒和30秒。對(duì)于Telnet應(yīng)用，直接配置通用TCP檢測(cè)即可實(shí)現(xiàn)ASPF功能。因此，在實(shí)際應(yīng)用中，必須保證報(bào)文入口的一致性，即必須保證連接發(fā)起報(bào)文和返回報(bào)文基于同一接口。 同基于ACL的包過(guò)濾功能相比，由于黑名單進(jìn)行匹配的值非常簡(jiǎn)單，可以很高的速度實(shí)現(xiàn)報(bào)文過(guò)濾，從而有效地將特定IP地址發(fā)送來(lái)的報(bào)文屏蔽。因此，黑名單是防火墻一個(gè)中藥店安全