在防火墙目录中点击ACL进入配置页面
1. ACL时间段信息
时间段用于描述一个特殊的时间范围。用户可能有这样的需求:一些ACL规则需要在某个或某些特定时间内生效,而在其他时间段则不利用它们进行包过滤,即通常所说的按时间段过滤。这时,用户就可以先配置一个或多个时间段,然后在相应的规则下通过时间段名称引用该时间段,从而实现基于时间段的ACL过滤。
在ACL配置区域单击ACL时间段信息按钮进入时间段配置页面。
时间段用于描述一个特殊的时间范围。用户可能有这样的需求:一些ACL规则需要在某个或某些特定时间内生效,而在其他时间段则不利用它们进行包过滤,即通常所说的按时间段过滤。这时,用户就可以先配置一个或多个时间段,然后在相应的规则下通过时间段名称引用该时间段,从而实现基于时间段的ACL过滤。
在ACL配置区域单击ACL时间段信息按钮进入时间段配置页面。
(1) 设置周期性时间段
在时间段名称栏中输入时间段的名称;选中时间段开始时间和时间段结束时间复选框,分别指定开始和结束时间格式为HH:MM选中一周中希望此时间段生效的日期的复选框。如图的名为workdays的时间段生效时间将在每周的周一至周五的早上8点半到晚上6点。单击创建按钮后此时间段将会出现在时间段信息列表中。
在时间段名称栏中输入时间段的名称;选中时间段开始时间和时间段结束时间复选框,分别指定开始和结束时间格式为HH:MM选中一周中希望此时间段生效的日期的复选框。如图的名为workdays的时间段生效时间将在每周的周一至周五的早上8点半到晚上6点。单击创建按钮后此时间段将会出现在时间段信息列表中。
(2) 创建绝对时间段
在时间段名称栏中输入时间段的名称;选中生效起始时间/日期和生效结束时间/日期复选框,分别指定起始日期时间和结束日期时间。名为vacation的时间段生效时间将从2005年2月6日的凌晨1点到2005年2月20号的晚上11点。单击创建按钮添加时间段。
在时间段名称栏中输入时间段的名称;选中生效起始时间/日期和生效结束时间/日期复选框,分别指定起始日期时间和结束日期时间。名为vacation的时间段生效时间将从2005年2月6日的凌晨1点到2005年2月20号的晚上11点。单击创建按钮添加时间段。
2. ACL配置
在配置ACL时候,需要使用到通配符掩码,而不是子网掩码。通配符掩码不同于子网掩码,它是以0表示必须匹配的位以1表示无需匹配的位,即先将通配符掩码取反,然后和sour-addr进行“与”运算,从而得出源地址范围。例如:
源地址 = 192.168.15.16 11000000.10101000.00001111.00010000
通配符掩码 = 0.0.0.255 00000000.00000000.00000000.11111111
源地址范围 = 192.168.15.0 11000000.10101000.00001111.00000000
255.255.255.255相当于所有源地址。
在ACL配置区域单击ACL配置信息按钮进入ACL配置页面。
(1) 接口ACL配置
在ACL编号中输入接口ACL的编号,范围为1000~1999。在“匹配顺序”下拉框中选择此ACL中的规则的匹配顺序:
Auto:指定匹配该规则时系统自动排序(按“深度优先”的顺序)。“深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。比如129.102.1.1 0.0.0.0指定了一台主机:129.102.1.1,而129.102.1.1 0.0.255.255则指定了一个网段:129.102.1.1~129.102.255.255,显然前者在访问控制规则中排在前面。具体标准为:对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序;对于基于接口的访问控制规则,配置了any的规则排在后面,其它按配置顺序;对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。
Config:按照用户配置
源地址 = 192.168.15.16 11000000.10101000.00001111.00010000
通配符掩码 = 0.0.0.255 00000000.00000000.00000000.11111111
源地址范围 = 192.168.15.0 11000000.10101000.00001111.00000000
255.255.255.255相当于所有源地址。
在ACL配置区域单击ACL配置信息按钮进入ACL配置页面。
(1) 接口ACL配置
在ACL编号中输入接口ACL的编号,范围为1000~1999。在“匹配顺序”下拉框中选择此ACL中的规则的匹配顺序:
Auto:指定匹配该规则时系统自动排序(按“深度优先”的顺序)。“深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。比如129.102.1.1 0.0.0.0指定了一台主机:129.102.1.1,而129.102.1.1 0.0.255.255则指定了一个网段:129.102.1.1~129.102.255.255,显然前者在访问控制规则中排在前面。具体标准为:对于基本访问控制规则的语句,直接比较源地址通配符,通配符相同的则按配置顺序;对于基于接口的访问控制规则,配置了any的规则排在后面,其它按配置顺序;对于高级访问控制规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则比较端口号的范围,范围小的排在前面,如果端口号范围也相同则按配置顺序。
Config:按照用户配置
单击创建按钮后可看到新的接口ACL出现在ACL信息列表中ACL的规则的先后进行匹配。
在ACL信息列表中选中一个接口ACL,单击配置按钮对ACL进行配置
规则编号:此规则的编号。当指定了编号,如果与编号对应的ACL规则已经存在,则会使用新定义的规则覆盖旧的定义,相当于编辑一个已经存在的ACL的规则。如果与编号对应的ACL规则不存在,则使用指定的编号创建一个新的规则。如果不指定编号,表示增加一个新规则,系统自动会为这个ACL规则分配一个编号,并增加新规则。
操作:设置操作行为为Permit或Deny。
接口名称:为此规则选择一个接口。
时间段设置:若要使此规则在某个时间段内生效,选择一个时间段的名字。
日志设置:启用对此规则的日志记录。
单击应用按钮后此规则将会出现在接口ACL规则配置概览列表
操作:设置操作行为为Permit或Deny。
接口名称:为此规则选择一个接口。
时间段设置:若要使此规则在某个时间段内生效,选择一个时间段的名字。
日志设置:启用对此规则的日志记录。
单击应用按钮后此规则将会出现在接口ACL规则配置概览列表
基本ACL配置
基本ACL仅使用源地址信息作为定义访问控制列表规则的元素。
若要配置基本ACL,在ACL编号中输入基本ACL的编号,范围为2000~2999。在“匹配顺序”下拉框中选择此ACL中的规则的匹配顺序。单击<创建>按钮后可看到新的基本ACL出现在ACL信息列表中
基本ACL仅使用源地址信息作为定义访问控制列表规则的元素。
若要配置基本ACL,在ACL编号中输入基本ACL的编号,范围为2000~2999。在“匹配顺序”下拉框中选择此ACL中的规则的匹配顺序。单击<创建>按钮后可看到新的基本ACL出现在ACL信息列表中
在ACL信息列表中选中一个基本ACL,单击配置按钮对ACL进行配置
规则编号:此规则的编号。当指定了编号,如果与编号对应的ACL规则已经存在,则会使用新定义的规则覆盖旧的定义,相当于编辑一个已经存在的ACL的规则。如果与编号对应的ACL规则不存在,则使用指定的编号创建一个新的规则。如果不指定编号,表示增加一个新规则,系统自动会为这个ACL规则分配一个编号,并增加新规则。
操作:设置操作行为为Permit或Deny。
源IP地址:指定ACL规则的源地址信息。
源地址通配符:指定通配符掩码。
对非首片分片报文有效:使此规则检查非首片分片报文。
操作:设置操作行为为Permit或Deny。
源IP地址:指定ACL规则的源地址信息。
源地址通配符:指定通配符掩码。
对非首片分片报文有效:使此规则检查非首片分片报文。
日志:启用对此规则的日志记录。
时间段:若要使此规则在某个时间段内生效,选择一个时间段的名字。
单击<应用>按钮后此规则将会出现在基本ACL规则配置概览列表中。
时间段:若要使此规则在某个时间段内生效,选择一个时间段的名字。
单击<应用>按钮后此规则将会出现在基本ACL规则配置概览列表中。
高级ACL配置
在ACL编号中输入高级ACL的编号,范围为3000~3999。在“匹配顺序”下拉框中选择此ACL中的规则的匹配顺序。单击创建按钮后可看到新的高级ACL出现在ACL信息列表中。
在ACL编号中输入高级ACL的编号,范围为3000~3999。在“匹配顺序”下拉框中选择此ACL中的规则的匹配顺序。单击创建按钮后可看到新的高级ACL出现在ACL信息列表中。
在ACL信息列表中选中一个高级ACL,单击配置按钮对ACL进行配置
规则编号:此规则的编号。当指定了编号,如果与编号对应的ACL规则已经存在,则会使用新定义的规则覆盖旧的定义,相当于编辑一个已经存在的ACL的规则。如果与编号对应的ACL规则不存在,则使用指定的编号创建一个新的规则。如果不指定编号,表示增加一个新规则,系统自动会为这个ACL规则分配一个编号,并增加新规则。
操作:设置操作行为为Permit或Deny。
协议类型:指定IP承载的协议类型。可以指定协议号,也可以从下拉框中选择协议类型。
源地址设置:指定ACL规则的源地址信息,并指定源地址的通配符掩码。
目的地址设置:指定ACL规则的目的地址信息,并指定源地址的通配符掩码。
源端口设置:指定源端口信息,仅仅在规则指定的协议类型是TCP或UDP时有效。如果不指定,表示TCP/UDP报文的任何源端口信息都匹配,也可以从下拉框中选择端口名称。
目的端口设置:指定目的端口信息,仅仅在规则指定的协议类型是TCP或UDP时有效。如果不指定,表示TCP/UDP报文的任何目的端口信息都匹配,也可以从下拉框中选择端口名称。
ICMP类型:指定ICMP报文的类型和消息码信息,仅在报文协议类型是ICMP时有效。如果不配置,表示任何ICMP类型的报文都匹配,也可以从下拉框中选择报文类型。
优先级设置:可选参数,数据包可以依据优先级字段进行过滤。
操作:设置操作行为为Permit或Deny。
协议类型:指定IP承载的协议类型。可以指定协议号,也可以从下拉框中选择协议类型。
源地址设置:指定ACL规则的源地址信息,并指定源地址的通配符掩码。
目的地址设置:指定ACL规则的目的地址信息,并指定源地址的通配符掩码。
源端口设置:指定源端口信息,仅仅在规则指定的协议类型是TCP或UDP时有效。如果不指定,表示TCP/UDP报文的任何源端口信息都匹配,也可以从下拉框中选择端口名称。
目的端口设置:指定目的端口信息,仅仅在规则指定的协议类型是TCP或UDP时有效。如果不指定,表示TCP/UDP报文的任何目的端口信息都匹配,也可以从下拉框中选择端口名称。
ICMP类型:指定ICMP报文的类型和消息码信息,仅在报文协议类型是ICMP时有效。如果不配置,表示任何ICMP类型的报文都匹配,也可以从下拉框中选择报文类型。
优先级设置:可选参数,数据包可以依据优先级字段进行过滤。
TOS设置:可选参数,数据包可以依据服务类型字段进行过滤。取值为0~15的数字,也可以从下拉框中选择。
时间段设置:若要使此规则在某个时间段内生效,需要选择一个时间段的名字。
对非首片分片报文有效:使此规则检查非首片分片报文。
日志设置:启用对此规则的日志记录。
单击应用按钮后此规则将会出现在高级ACL规则配置概览列表中。
时间段设置:若要使此规则在某个时间段内生效,需要选择一个时间段的名字。
对非首片分片报文有效:使此规则检查非首片分片报文。
日志设置:启用对此规则的日志记录。
单击应用按钮后此规则将会出现在高级ACL规则配置概览列表中。
Ethernet Frame ACL配置
MAC ACL可以对MAC地址进行过滤。
若要配置Ethernet Frame ACL,在ACL编号中输入Ethernet Frame ACL的编号,范围为4000~4999。在匹配顺序下拉框中选择此ACL中的规则的匹配顺序。单击<创建>按钮后可看到新的Ethernet Frame ACL出现在ACL信息列表中
MAC ACL可以对MAC地址进行过滤。
若要配置Ethernet Frame ACL,在ACL编号中输入Ethernet Frame ACL的编号,范围为4000~4999。在匹配顺序下拉框中选择此ACL中的规则的匹配顺序。单击<创建>按钮后可看到新的Ethernet Frame ACL出现在ACL信息列表中
在ACL信息列表中选中一个Ethernet Frame ACL,单击配置按钮对ACL进行配置 。
规则编号:此规则的编号。当指定了编号,如果与编号对应的ACL规则已经存在,则会使用新定义的规则覆盖旧的定义,相当于编辑一个已经存在的ACL的规则。如果与编号对应的ACL规则不存在,则使用指定的编号创建一个新的规则。如果不指定编号,表示增加一个新规则,系统自动会为这个ACL规则分配一个编号,并增加新规则。
操作:设置操作行为为Permit或Deny。
源MAC:指定源MAC地址信息和通配符。如果不指定,表示任何MAC地址信息都匹配。
目的MAC:指定目的MAC地址信息和通配符。如果不指定,表示任何MAC地址信息都匹配。
协议类型:指定协议类型号和协议类型通配符。仅当不选中源MAC、目的MAC和LSAP时此选项才可用。
LSAP:指定LSAP码和LSAP通配符。仅当不选中源MAC、目的MAC和协议类型时此选项才可用。
时间段设置:若要使此规则在某个时间段内生效,需要选择一个时间段的名字。
单击创建按钮后此规则将会出现在以太帧头ACL规则配置概览列表中
操作:设置操作行为为Permit或Deny。
源MAC:指定源MAC地址信息和通配符。如果不指定,表示任何MAC地址信息都匹配。
目的MAC:指定目的MAC地址信息和通配符。如果不指定,表示任何MAC地址信息都匹配。
协议类型:指定协议类型号和协议类型通配符。仅当不选中源MAC、目的MAC和LSAP时此选项才可用。
LSAP:指定LSAP码和LSAP通配符。仅当不选中源MAC、目的MAC和协议类型时此选项才可用。
时间段设置:若要使此规则在某个时间段内生效,需要选择一个时间段的名字。
单击创建按钮后此规则将会出现在以太帧头ACL规则配置概览列表中
接口的ACL配置
配置完ACL后,可以将其应用到指定的接口中。将ACL应用到接口时,同时会遵循时间段过滤原则,另外可以对接口的收发报文分别指定访问规则。此外,还可以将ASPF策略应用于指定的接口,这样才能对通过接口的流量进行检测(ASPF策略暂不支持Web配置)。
在接口的ACL配置概览页面中选择要配置的接口,单击配置按钮,进入接口的ASPF或ACL配置配置页面
配置完ACL后,可以将其应用到指定的接口中。将ACL应用到接口时,同时会遵循时间段过滤原则,另外可以对接口的收发报文分别指定访问规则。此外,还可以将ASPF策略应用于指定的接口,这样才能对通过接口的流量进行检测(ASPF策略暂不支持Web配置)。
在接口的ACL配置概览页面中选择要配置的接口,单击配置按钮,进入接口的ASPF或ACL配置配置页面
过滤类型:指定应用于此接口的过滤类型。可以选择packet-filter(ACL/包过滤)、ethernet-frame-filter或ASPF。
ASPF策略号或ACL编号:当过滤类型为packet-filter时,在此输入接口ACL、基本ACL或高级ACL的编号;当过滤类型为ethernet-frame-filter时,在此输入Ethernet Frame ACL的编号;当过滤类型为ASPF时,在此输入ASPF的策略号,范围为1~99。
ASPF策略号或ACL编号:当过滤类型为packet-filter时,在此输入接口ACL、基本ACL或高级ACL的编号;当过滤类型为ethernet-frame-filter时,在此输入Ethernet Frame ACL的编号;当过滤类型为ASPF时,在此输入ASPF的策略号,范围为1~99。
过滤方向:指定将此策略应用于接口的出站数据流或入站数据流。
单击应用按钮将策略应用到接口上。用户可以在下方的过滤策略概览表中看到接口所应用的策略,并可以通过单击删除按钮删除特定的策略。
本文转自 yirehe 51CTO博客,原文链接:http://blog.51cto.com/yirehe/40657,如需转载请自行联系原作者
