3107 流量过滤.pdf

第7 章 访问控制列表和内容过滤 © 2003, Cisco Systems, Inc. All rights reserved. CSPFA 3.1— 7-1 目标 •配置和解释访问控制列表(ACL)的作用. •将conduits 转换成ACL. •配置和解释Turbo ACL 的作用. •配置和解释网络地址转换(NAT)的作用. •配置活动代码(active code) 过滤(ActiveX 和Java applets). •配置PIX 防火墙过滤URL . •配置PIX 防火墙过滤长URL. © 2003, Cisco Systems, Inc. All rights reserved. CSPFA 3.1— 7-2 ACLs © 2003, Cisco Systems, Inc. All rights reserved. CSPFA 3.1— 7-3 访问控制列表(ACL) •实现PIX防火墙对流量的控制,使其有选择地允许某些流量通过 其接口,可以通过以下的配置方式:基于源地址或目的地址;基于 服务类型;基于验证.授权和计费(AAA)需求;基于内容或目的 URL •ACL是路由器和PIX防火墙维护的用来控制流量的一个列表,允 许你决定哪些特定的流量可以或不可以通过PIX防火墙. •access-list 和access-group 命令用来创建ACL. •access-list 和access-group 命令可以代替conduit 命令或 outbound 命令,且access-list和access-group命令具有较高的优 先级. © 2003, Cisco Systems, Inc. All rights reserved. CSPFA 3.1— 7-4 ACL 规则 •从较高到较低的安全性: –用ACL 来限制出站流量. –ACL 命令中的源地址是主机或网络的实际地址. •从较低到较高的安全性: –用ACL 来限制入站流量. –ACL 命令中的目的地址是经过转换的全局IP 地址. © 2003, Cisco Systems, Inc. All rights reserved. CSPFA 3.1— 7-5 access-list 命令 pixfirewall(config)# access-list acl_ID deny | permit protocol source_addr source_mask [operator port [port]]destination_addr destination_mask operator port [port] • Enables you to create an ACL. pixfirewall(config)# access-list DMZ1 deny tcp host lt 1024 • Denies access from the network to TCP ports less than 1024 on host . © 2003, Cisco Systems, Inc. All rights reserved. CSPFA 3.1— 7-6 access-group Command pixfirewall(config)# access-group acl_ID in interface interface_name