第5章-ACL访问控制列表和内容过滤.pdf

CCSP-CSPFA 自学指南学习笔记 ACL 是由路由器和PIX 防火墙维护的用来控制流量的一个列表。例如，ACL 可以阻止 含有特定IP 地址的数据包通过某个特定的接口。ACL 使你可以决定哪些特定流量可以或不 可以通过PIX 防火墙。 内容过滤可以阻止特定类型的内容( 比如Java applets ,Active X 控件等)进入你的网络， 它还可以用来控制和阻止网络内部主机对受限的web 站点的访问。 5-1-1 访问控制列表 使用access-list 和access-group 这两条命令可以实现ACL.access-list命令用来创建ACL, 而 aceess-group命令用来把ACL绑定到路由器或PIX防火墙的特定的接口上。使用access-group 命令在一个接口上只能绑定一个ACL.(书本这句话的意思不明确，不过最新的ASA/PIX 防火 墙在一个接口上已经可以绑定多个ACL) 如图：一个入站会话(inbound)是指来自一个低安全级到高安全级的接口的会话。 一个出站会话(outbound)是指来自一个高安全级到低安全级的接口的会话。 注意：与传统的IOS 路由器的不同，在PIX 防火墙上使用access-group 命令只能将ACL 绑定到任意接口的入站流量上。不过，在PIX 防火墙上仍然能控制出站流量(例如，从inside 到outside 接口) 。 注意: 7.0 版本的系统已经支持控制入站和出站的数据流，并且已经取消了outbound 和 conduit 的命令。 Access-list 和 access-group 命令可以代替 outbound 命令或者 conduit 命令，且 access-list 和access-group 命令具有较高的优先级。 1 欢迎光临 大家一起来学习网络！ CCSP-CSPFA 自学指南学习笔记 当用来允许或拒绝流量时，access-list 命令与 conduit 命令遵循同样的原理和规则。以 下是设计和实现ACL 时遵循的规则： 【1】从较高到较低的安全性： ――用ACL 来限制出站流量 ――ACL 命令中的源地址是主机或网络的实际地址 【2 】从较低到较高的安全性： ――用ACL 来限制入站的流量： ――ACL 命令中的目的地址是经过转换的全局IP 地址。 Access-list 命令使你可以指明允许或拒绝某IP 地址访问某端口或协议。缺省情况下，访问列 表中的所有访问都是被拒绝。因此，需要允许访问时必须明确指出。 在PIX 防火墙6.3 版本中加入了对ACL 编辑及注释的支持。该版本中你可以为特定的 ACL 条目指定行编号，并把它放到ACL 中的任意位置。 5-1-2 到DMZ 区web 服务器的入站数据流 如图示，由于没有采用 ACL ，所以默认情况下，入站访问会被禁止。要允许入站数据流， 必须完成下面的3 个步骤： 1．配置Web 服务器地址的静态转换 2 ．配置入站ACL 3 ．应用ACL 到外部接口上 2 欢迎光临 大家一起来学习网络！ CCSP-CSPFA 自学指南学习笔记 第一步：配置Web 服务器地址的静态转换 pixfirewall (config)# static (DMZ,outside) 0 0 第二步：配置入站ACL pixfirewall (config)# access-list aclout permit tcp any host eq www 第三步：应用ACL 到外部接口上 pixfirewall(config)# access-group aclout in interface outside 第一个in 就是 inbound 入站数据流的意思 3 欢迎光临 大家一起来学习网络！ CCSP-CSPFA 自学指南学习笔记 5-1-2 命令show access-li