网络安全技术介绍2(华为)

标准访问列表可以指定一个源地址段,这是由IP地址和地址通配符组合定义的一个地址段.

 配置标准访问列表的格式如下:

access-list [normal|special] listnumber {permit|deny} ip-address [wildcard-mask]

此格式表示:允许或拒绝来自指定网络的数据包,该网络由IP地址(ip-address)和地址通配掩码位(wildcard-mask)指定.其中,normal和special表示该规则是在普通时间段中有效还是在特殊时间段中有效.

listnumber为规则序号,标准访问列表的规则序号范围为1-99.

permit和deny表示允许或禁止满足该规则的数据包通过.

ip-address和wildcard-mask分别为IP地址和统配比较位,用来指定某个网络.如果IP地址指定为any,则表示所有IP地址,而且不需配置指定相应的通配位(通配位缺省为0.0.0.0)

扩展访问控制列表

4.1扩展访问控制列表概况

扩展列表使用数据包的源地址的同时,还使用目的地址,和协议号(TCP,UDP等),对于TCP,UDP协议可以同时使用目的端口号.例如,利用扩展列表可以描述"从202.110.10.0/24的网段到110.10.10.0/24的网段的所有IP数据包是被拒绝的",或者“从202.110.10.0/24 网段到110.10.10.0/24 网段的所有 Telnet（使用 TCP 协议的 23 端口）访问是被拒绝的”。它们到底如何表示？我们将从具体配置命令来入手来介绍

.4.2 扩展访问控制列表的配置命令

Normal和Special表示该规则是在普通时间段生效还是在特殊时间段有效,缺省的情况是普通时间段.

Listnumber为规则序号,扩展访问列表的规则序号范围为100-199.Permit和Deny表示允许或禁止满足该规则的数据包通过.Protocol可以指定为0-255之间的任一协议号(如1表示ICMP协议),对于常见协议(如TCP和UDP,ICMP),可以直观地指定协议名,若指定为IP,则该规则对所有IP包均起作用.

source -addr 和 source-mask 分别为源地址和源地址的通配符。
Dest-addr 和 dest-mask 分别为目的地址和目的地址的通配符。如果 IP 地址指定为 any ，则表示所有 IP 地址，而且不需配置指定相应的通配位（通配位缺省为0.0.0.0） 。
operator port1 - port2 用于指定端口范围，缺省为全部端口号0-65535，只有 TCP 和 UDP 协议需要指定端口范围。operate 的意义如下页表所示。

扩展访问列表的操作符 operate 定义

在指定portnumber时，对于常用的端口号可以使用“助记符”代替。如FTP、Telnet 等。

对于 ICMP 协议可以指定 ICMP 报文类型，缺省为全部 ICMP 报文。指定ICMP报文类型时，可以用数字（0-255），也可以用助记符。助记符如下：

助记符
意义(略)

扩展访问控制列表的举例