马上注册成为ROSABC会员,随时发帖回复。
您需要 登录 才可以下载或查看,没有账号?会员注册
x
ACL 规则
ACL 是指根据协议类型、IP地址、端口等特征自定义防火墙规则,根据数据包传输的方向和对象不同,可以分为以下两种: - 进入(Incoming)
数据包的最终目的地是路由,来源是外网IP或内网主机。
应用场合举例: 禁止外网某些IP访问路由,比如要禁止 210.249.xx.xx 这个IP访问路由的Web管理。
- 转发(Forward)
数据包的最终目的地是内网主机或外网IP,来源是外网IP或内网主机。路由处于中间,对数据包进行转发。
应用场合举例: 禁止内网访问外网的某些IP或端口,比如要禁止迅雷的 15000/UDP 下载端口。
下面这个图描述了两者之间的区别: +-------------. .--------------+ | \ ACL转发(内->外) / | | +---------. `-------------------' .----------+ | | | \ / | | | | \ ACL转发(外->内) / | | | V `-------------------' | V +---------------+ +------------------+ +----------------+ | 局域网主机(PC)| | 路由(Router) | | 外网(Internet) | +---------------+ +------------------+ +----------------+ | /\ | | || | | || | +_______________________++________________________+ ACL进入 ACL进入主要参数格式说明:- 源/目的IP
为空表示所有IP,有如下3种表示方法:
- 单个IP,比如:192.168.0.1
- IP网络,比如:192.168.0.0/24 或 192.168.0.0/255.255.255.0
- IP地址段,比如:192.168.0.1-192.168.0.200
- 源/目的端口
为空表示所有端口,有如下3种表示方法:
- 单个端口,比如:8080
- 多个离散端口,比如:137,139,445
- 连续端口,比如:80-8000 (80到8000之间的所有端口)
- 匹配动作
- 通过:允许匹配的数据包通过
- 丢弃:丢弃匹配到的数据包,不反馈任何错误信息
- 拒绝:丢弃匹配到的数据包,并向发送者(源IP)反馈相关错误信息
- 忽略:对来访的数据包不做任何处理,直接记录到日志,此动作必须配合 记录到日志 功能一起使用。
案例-1:内网用迅雷下载的人太多,影响网速,需要禁止掉迅雷的 15000/UDP 端口
图 . 禁止下载端口
案例-2:内网某主机中了“机器狗”病毒,经观察,发现其会定时访问一些外网IP,并下载病毒和木马程序,为了安全期间,需要禁止内网访问这些IP。这些IP是 218.30.64.194, 60.190.118.211, 58.221.254.103。 添加3条规则,每条规则的设置和下面类似,只是目的IP不同:
图 . 禁止访问目的IP
|