第四章 防火墙访问控制列表v1

1. 源地址信息 2. 目的地址信息 3. IP承载的协议类型 4. 源端口号和目的端口号

幻灯片 16

参数描述：

Deny: 表示拒绝符合条件的报文。 Permit: 表示允许符合条件的报文。

Protocol: 用名字或数字表示的IP 承载的协议类型，取值范围为1～255。用名字表示时，可以选取icmp、igmp、ip、ipinip、ospf、tcp、udp。 Source: 指定匹配规则的源IP 地址。

source-ip-address: 报文的源IP 地址，点分十进制格式。

source-wildcard: 源IP 地址通配符，点分十进制格式，与IP 地址掩码含义相反。

Destination: 指定匹配规则的目的IP 地址。

destination-ip-address: 报文的目的IP 地址，点分十进制格式。

destination-wildcard: 目的IP 地址通配符，点分十进制格式，与IP 地址掩码含义相反。

Any: 表示匹配任何报文的源IP 地址或目的IP 地址。

Precedence:指定匹配规则的报文优先级，取值范围为0～7，或者以名字routine（0）、priority（1）、immediate（2）、flash（3）、flash-override（4）、critical（5）、internet（6）、network（7）表示。

Tos:指定匹配规则的报文服务类型，取值范围为0～15，其中部分类型可用名字normal（0）、min-monetary-cost（1）、max-reliability（2）、max-throughput（4）、min-delay（8）表示。 Time-range: 指定规则生效的时间段。

Time-name: 时间段名称，必须是已配置的时间段。

幻灯片 17

比较源或者目的地址的端口号的操作符，名字及意义如下：lt（小于），gt（大于），eq（等于）range（在范围内）。只有range需要两个端口号做操作数，其他的只需要一个端口号做操作数。port1、port2：可选参数。TCP 或UDP 的端口号，用名字或数字表示，数字的取值范围为0～65535