Firewall ACL

特性介绍：防火墙的 ACL 配置跟 IOS 不同，子网掩码部分为正常的子网掩码不
需要使用反转的子网掩码。还支持Object group，包含IP地址组，
ICMP类型组， IP协议或者端口组，并且支持组嵌套。 access-list acl_name compiled
配置Turbo ACL，7.x 自动 turbo。防火墙的 ACL缺省是扩展模式的，7.x后也支持标
准模式了尽管只用于路由协议的配置上，并且加上了extend的参数，虽然配置的时候
可以不必强制用这个参数但是当你需要移除该条目的时候要记得把extend这个参数加
上。
配置
定义 Object Group  
网络对像组
Firewall(config)# object-group network group_id
Firewall(config-network)# description text
Firewall(config-network)# network-object ip_addr mask (或者 host ip_addr)
Firewall(config-network)# group-object group_id
ICMP对像组
Firewall(config)# object-group icmp-type group_id
Firewall(config-icmp-type)# description text
Firewall(config-icmp-type)# icmp-object icmp_type
Firewall(config-icmp-type)# group-object group_id

协议对像组
Firewall(config)# object-group protocol group_id
Firewall(config-protocol)# description text
Firewall(config-protocol)# protocol-object protocol
Firewall(config-protocol)# group-object group_id
服务对像组
Firewall(config)# object-group service group_id {tcp | udp | tcp-udp}
Firewall(config-service)# description text
Firewall(config-service)# port-object range begin_port end_port (或者eq port)
Firewall(config-service)# group-object group_id
定义时间范围 7.0 特性
Firewall(config)# time-range name
Firewall(config-time-range)# periodic start-day hh:mm to end-day hh:mm
Firewall(config-time-range)# periodic days-of-the-week hh:mm to hh:mm
Firewall(config-time-range)# absolute [start hh:mm day month year] [end hh:mm day
month year]
配置 ACL
Firewall(config)# access-list acl_id [line line-num] [extended] {permit | deny} 
{protocol | object-group protocol_obj_group}   {source_addr  source_mask |
object-group  network_obj_group} [operator sport | object-group service_obj_group] 
{destination_addr destination_mask |object-group network_obj_group} [operator dport |
object-group service_obj_group] [log [[disable | default]  | [level]]] [interval secs]]
[time-range name] [inactive]