第四章 防火墙访问控制列表v1

幻灯片 13

rule 命令用于在高级ACL 中增加或编辑一个规则。

undo rule 命令用于删除一个规则，或者删除规则的部分配置信息。在删除一条规则时，需要指定规则的编号，如果不知道规则的编号，可以使用命令display acl 来显示。 参数描述：

Rule-id: ACL 的规则编号，取值范围为2000～2999。 Deny: 表示拒绝符合条件的报文。

Permit: 表示允许符合条件的报文。 Source: 指定匹配规则的源IP 地址。

src-address: 报文的源IP 地址，点分十进制格式。

src-wildcard: 源IP 地址通配符，点分十进制格式，与IP 地址掩码含义相反。 Any: 表示匹配任何报文的源IP 地址。

基本ACL（组号范围为2000～2999）,建议在ACL配置完成时,配置description text，配置ACL 描述信息.

幻灯片 14

192.168.10.0 0.0.0.255表示一个网段 192.168.10.1 0表示一个IP

幻灯片 15

扩展访问控制列表，又称高级访问控制列表。与标准访问控制列表不同的是，扩展访问控制列表除对数据流源地址限定外，还可以定义数据流的目的地址，协议类型，源/目的端口号等。

扩展访问控制类别是访问控制列表应用范围最广的一类，在华为赛门铁克防火墙的ACL中，扩展访问控制列表的范围为3000～3999。

扩展访问控制列表除使用源地址外，还包括了更多的信息描述对数据流进行匹配。利用高级ACL可以定义出比基本ACL 更准确、丰富和灵活的规则，高级ACL可以使用数据流的如下信息定义规则：