在防火牆目錄中點擊ACL進入配置頁面
1. ACL時間段信息
時間段用於描述一個特殊的時間範圍。用戶可能有這樣的需求:一些ACL規則需要在某個或某些特定時間內生效,而在其他時間段則不利用它們進行包過濾,即通常所說的按時間段過濾。這時,用戶就可以先配置一個或多個時間段,然後在相應的規則下通過時間段名稱引用該時間段,從而實現基於時間段的ACL過濾。
在ACL配置區域單擊ACL時間段信息按鈕進入時間段配置頁面。
時間段用於描述一個特殊的時間範圍。用戶可能有這樣的需求:一些ACL規則需要在某個或某些特定時間內生效,而在其他時間段則不利用它們進行包過濾,即通常所說的按時間段過濾。這時,用戶就可以先配置一個或多個時間段,然後在相應的規則下通過時間段名稱引用該時間段,從而實現基於時間段的ACL過濾。
在ACL配置區域單擊ACL時間段信息按鈕進入時間段配置頁面。
(1) 設置週期性時間段
在時間段名稱欄中輸入時間段的名稱;選中時間段開始時間和時間段結束時間複選框,分別指定開始和結束時間格式爲HH:MM選中一週中希望此時間段生效的日期的複選框。如圖的名爲workdays的時間段生效時間將在每週的週一至週五的早上8點半到晚上6點。單擊創建按鈕後此時間段將會出現在時間段信息列表中。
在時間段名稱欄中輸入時間段的名稱;選中時間段開始時間和時間段結束時間複選框,分別指定開始和結束時間格式爲HH:MM選中一週中希望此時間段生效的日期的複選框。如圖的名爲workdays的時間段生效時間將在每週的週一至週五的早上8點半到晚上6點。單擊創建按鈕後此時間段將會出現在時間段信息列表中。
(2) 創建絕對時間段
在時間段名稱欄中輸入時間段的名稱;選中生效起始時間/日期和生效結束時間/日期複選框,分別指定起始日期時間和結束日期時間。名爲vacation的時間段生效時間將從2005年2月6日的凌晨1點到2005年2月20號的晚上11點。單擊創建按鈕添加時間段。
在時間段名稱欄中輸入時間段的名稱;選中生效起始時間/日期和生效結束時間/日期複選框,分別指定起始日期時間和結束日期時間。名爲vacation的時間段生效時間將從2005年2月6日的凌晨1點到2005年2月20號的晚上11點。單擊創建按鈕添加時間段。
2. ACL配置
在配置ACL時候,需要使用到通配符掩碼,而不是子網掩碼。通配符掩碼不同於子網掩碼,它是以0表示必須匹配的位以1表示無需匹配的位,即先將通配符掩碼取反,然後和sour-addr進行“與”運算,從而得出源地址範圍。例如:
源地址 = 192.168.15.16 11000000.10101000.00001111.00010000
通配符掩碼 = 0.0.0.255 00000000.00000000.00000000.11111111
源地址範圍 = 192.168.15.0 11000000.10101000.00001111.00000000
255.255.255.255相當於所有源地址。
在ACL配置區域單擊ACL配置信息按鈕進入ACL配置頁面。
(1) 接口ACL配置
在ACL編號中輸入接口ACL的編號,範圍爲1000~1999。在“匹配順序”下拉框中選擇此ACL中的規則的匹配順序:
Auto:指定匹配該規則時系統自動排序(按“深度優先”的順序)。“深度優先”規則是把指定數據包範圍最小的語句排在最前面。這一點可以通過比較地址的通配符來實現,通配符越小,則指定的主機的範圍就越小。比如129.102.1.1 0.0.0.0指定了一臺主機:129.102.1.1,而129.102.1.1 0.0.255.255則指定了一個網段:129.102.1.1~129.102.255.255,顯然前者在訪問控制規則中排在前面。具體標準爲:對於基本訪問控制規則的語句,直接比較源地址通配符,通配符相同的則按配置順序;對於基於接口的訪問控制規則,配置了any的規則排在後面,其它按配置順序;對於高級訪問控制規則,首先比較源地址通配符,相同的再比較目的地址通配符,仍相同的則比較端口號的範圍,範圍小的排在前面,如果端口號範圍也相同則按配置順序。
Config:按照用戶配置
源地址 = 192.168.15.16 11000000.10101000.00001111.00010000
通配符掩碼 = 0.0.0.255 00000000.00000000.00000000.11111111
源地址範圍 = 192.168.15.0 11000000.10101000.00001111.00000000
255.255.255.255相當於所有源地址。
在ACL配置區域單擊ACL配置信息按鈕進入ACL配置頁面。
(1) 接口ACL配置
在ACL編號中輸入接口ACL的編號,範圍爲1000~1999。在“匹配順序”下拉框中選擇此ACL中的規則的匹配順序:
Auto:指定匹配該規則時系統自動排序(按“深度優先”的順序)。“深度優先”規則是把指定數據包範圍最小的語句排在最前面。這一點可以通過比較地址的通配符來實現,通配符越小,則指定的主機的範圍就越小。比如129.102.1.1 0.0.0.0指定了一臺主機:129.102.1.1,而129.102.1.1 0.0.255.255則指定了一個網段:129.102.1.1~129.102.255.255,顯然前者在訪問控制規則中排在前面。具體標準爲:對於基本訪問控制規則的語句,直接比較源地址通配符,通配符相同的則按配置順序;對於基於接口的訪問控制規則,配置了any的規則排在後面,其它按配置順序;對於高級訪問控制規則,首先比較源地址通配符,相同的再比較目的地址通配符,仍相同的則比較端口號的範圍,範圍小的排在前面,如果端口號範圍也相同則按配置順序。
Config:按照用戶配置
單擊創建按鈕後可看到新的接口ACL出現在ACL信息列表中ACL的規則的先後進行匹配。
在ACL信息列表中選中一個接口ACL,單擊配置按鈕對ACL進行配置
規則編號:此規則的編號。當指定了編號,如果與編號對應的ACL規則已經存在,則會使用新定義的規則覆蓋舊的定義,相當於編輯一個已經存在的ACL的規則。如果與編號對應的ACL規則不存在,則使用指定的編號創建一個新的規則。如果不指定編號,表示增加一個新規則,系統自動會爲這個ACL規則分配一個編號,並增加新規則。
操作:設置操作行爲爲Permit或Deny。
接口名稱:爲此規則選擇一個接口。
時間段設置:若要使此規則在某個時間段內生效,選擇一個時間段的名字。
日誌設置:啓用對此規則的日誌記錄。
單擊應用按鈕後此規則將會出現在接口ACL規則配置概覽列表
操作:設置操作行爲爲Permit或Deny。
接口名稱:爲此規則選擇一個接口。
時間段設置:若要使此規則在某個時間段內生效,選擇一個時間段的名字。
日誌設置:啓用對此規則的日誌記錄。
單擊應用按鈕後此規則將會出現在接口ACL規則配置概覽列表
基本ACL配置
基本ACL僅使用源地址信息作爲定義訪問控制列表規則的元素。
若要配置基本ACL,在ACL編號中輸入基本ACL的編號,範圍爲2000~2999。在“匹配順序”下拉框中選擇此ACL中的規則的匹配順序。單擊<創建>按鈕後可看到新的基本ACL出現在ACL信息列表中
基本ACL僅使用源地址信息作爲定義訪問控制列表規則的元素。
若要配置基本ACL,在ACL編號中輸入基本ACL的編號,範圍爲2000~2999。在“匹配順序”下拉框中選擇此ACL中的規則的匹配順序。單擊<創建>按鈕後可看到新的基本ACL出現在ACL信息列表中
在ACL信息列表中選中一個基本ACL,單擊配置按鈕對ACL進行配置
規則編號:此規則的編號。當指定了編號,如果與編號對應的ACL規則已經存在,則會使用新定義的規則覆蓋舊的定義,相當於編輯一個已經存在的ACL的規則。如果與編號對應的ACL規則不存在,則使用指定的編號創建一個新的規則。如果不指定編號,表示增加一個新規則,系統自動會爲這個ACL規則分配一個編號,並增加新規則。
操作:設置操作行爲爲Permit或Deny。
源IP地址:指定ACL規則的源地址信息。
源地址通配符:指定通配符掩碼。
對非首片分片報文有效:使此規則檢查非首片分片報文。
操作:設置操作行爲爲Permit或Deny。
源IP地址:指定ACL規則的源地址信息。
源地址通配符:指定通配符掩碼。
對非首片分片報文有效:使此規則檢查非首片分片報文。
日誌:啓用對此規則的日誌記錄。
時間段:若要使此規則在某個時間段內生效,選擇一個時間段的名字。
單擊<應用>按鈕後此規則將會出現在基本ACL規則配置概覽列表中。
時間段:若要使此規則在某個時間段內生效,選擇一個時間段的名字。
單擊<應用>按鈕後此規則將會出現在基本ACL規則配置概覽列表中。
高級ACL配置
在ACL編號中輸入高級ACL的編號,範圍爲3000~3999。在“匹配順序”下拉框中選擇此ACL中的規則的匹配順序。單擊創建按鈕後可看到新的高級ACL出現在ACL信息列表中。
在ACL編號中輸入高級ACL的編號,範圍爲3000~3999。在“匹配順序”下拉框中選擇此ACL中的規則的匹配順序。單擊創建按鈕後可看到新的高級ACL出現在ACL信息列表中。
在ACL信息列表中選中一個高級ACL,單擊配置按鈕對ACL進行配置
規則編號:此規則的編號。當指定了編號,如果與編號對應的ACL規則已經存在,則會使用新定義的規則覆蓋舊的定義,相當於編輯一個已經存在的ACL的規則。如果與編號對應的ACL規則不存在,則使用指定的編號創建一個新的規則。如果不指定編號,表示增加一個新規則,系統自動會爲這個ACL規則分配一個編號,並增加新規則。
操作:設置操作行爲爲Permit或Deny。
協議類型:指定IP承載的協議類型。可以指定協議號,也可以從下拉框中選擇協議類型。
源地址設置:指定ACL規則的源地址信息,並指定源地址的通配符掩碼。
目的地址設置:指定ACL規則的目的地址信息,並指定源地址的通配符掩碼。
源端口設置:指定源端口信息,僅僅在規則指定的協議類型是TCP或UDP時有效。如果不指定,表示TCP/UDP報文的任何源端口信息都匹配,也可以從下拉框中選擇端口名稱。
目的端口設置:指定目的端口信息,僅僅在規則指定的協議類型是TCP或UDP時有效。如果不指定,表示TCP/UDP報文的任何目的端口信息都匹配,也可以從下拉框中選擇端口名稱。
ICMP類型:指定ICMP報文的類型和消息碼信息,僅在報文協議類型是ICMP時有效。如果不配置,表示任何ICMP類型的報文都匹配,也可以從下拉框中選擇報文類型。
優先級設置:可選參數,數據包可以依據優先級字段進行過濾。
操作:設置操作行爲爲Permit或Deny。
協議類型:指定IP承載的協議類型。可以指定協議號,也可以從下拉框中選擇協議類型。
源地址設置:指定ACL規則的源地址信息,並指定源地址的通配符掩碼。
目的地址設置:指定ACL規則的目的地址信息,並指定源地址的通配符掩碼。
源端口設置:指定源端口信息,僅僅在規則指定的協議類型是TCP或UDP時有效。如果不指定,表示TCP/UDP報文的任何源端口信息都匹配,也可以從下拉框中選擇端口名稱。
目的端口設置:指定目的端口信息,僅僅在規則指定的協議類型是TCP或UDP時有效。如果不指定,表示TCP/UDP報文的任何目的端口信息都匹配,也可以從下拉框中選擇端口名稱。
ICMP類型:指定ICMP報文的類型和消息碼信息,僅在報文協議類型是ICMP時有效。如果不配置,表示任何ICMP類型的報文都匹配,也可以從下拉框中選擇報文類型。
優先級設置:可選參數,數據包可以依據優先級字段進行過濾。
TOS設置:可選參數,數據包可以依據服務類型字段進行過濾。取值爲0~15的數字,也可以從下拉框中選擇。
時間段設置:若要使此規則在某個時間段內生效,需要選擇一個時間段的名字。
對非首片分片報文有效:使此規則檢查非首片分片報文。
日誌設置:啓用對此規則的日誌記錄。
單擊應用按鈕後此規則將會出現在高級ACL規則配置概覽列表中。
時間段設置:若要使此規則在某個時間段內生效,需要選擇一個時間段的名字。
對非首片分片報文有效:使此規則檢查非首片分片報文。
日誌設置:啓用對此規則的日誌記錄。
單擊應用按鈕後此規則將會出現在高級ACL規則配置概覽列表中。
Ethernet Frame ACL配置
MAC ACL可以對MAC地址進行過濾。
若要配置Ethernet Frame ACL,在ACL編號中輸入Ethernet Frame ACL的編號,範圍爲4000~4999。在匹配順序下拉框中選擇此ACL中的規則的匹配順序。單擊<創建>按鈕後可看到新的Ethernet Frame ACL出現在ACL信息列表中
MAC ACL可以對MAC地址進行過濾。
若要配置Ethernet Frame ACL,在ACL編號中輸入Ethernet Frame ACL的編號,範圍爲4000~4999。在匹配順序下拉框中選擇此ACL中的規則的匹配順序。單擊<創建>按鈕後可看到新的Ethernet Frame ACL出現在ACL信息列表中
在ACL信息列表中選中一個Ethernet Frame ACL,單擊配置按鈕對ACL進行配置 。
規則編號:此規則的編號。當指定了編號,如果與編號對應的ACL規則已經存在,則會使用新定義的規則覆蓋舊的定義,相當於編輯一個已經存在的ACL的規則。如果與編號對應的ACL規則不存在,則使用指定的編號創建一個新的規則。如果不指定編號,表示增加一個新規則,系統自動會爲這個ACL規則分配一個編號,並增加新規則。
操作:設置操作行爲爲Permit或Deny。
源MAC:指定源MAC地址信息和通配符。如果不指定,表示任何MAC地址信息都匹配。
目的MAC:指定目的MAC地址信息和通配符。如果不指定,表示任何MAC地址信息都匹配。
協議類型:指定協議類型號和協議類型通配符。僅當不選中源MAC、目的MAC和LSAP時此選項纔可用。
LSAP:指定LSAP碼和LSAP通配符。僅當不選中源MAC、目的MAC和協議類型時此選項纔可用。
時間段設置:若要使此規則在某個時間段內生效,需要選擇一個時間段的名字。
單擊創建按鈕後此規則將會出現在以太幀頭ACL規則配置概覽列表中
操作:設置操作行爲爲Permit或Deny。
源MAC:指定源MAC地址信息和通配符。如果不指定,表示任何MAC地址信息都匹配。
目的MAC:指定目的MAC地址信息和通配符。如果不指定,表示任何MAC地址信息都匹配。
協議類型:指定協議類型號和協議類型通配符。僅當不選中源MAC、目的MAC和LSAP時此選項纔可用。
LSAP:指定LSAP碼和LSAP通配符。僅當不選中源MAC、目的MAC和協議類型時此選項纔可用。
時間段設置:若要使此規則在某個時間段內生效,需要選擇一個時間段的名字。
單擊創建按鈕後此規則將會出現在以太幀頭ACL規則配置概覽列表中
接口的ACL配置
配置完ACL後,可以將其應用到指定的接口中。將ACL應用到接口時,同時會遵循時間段過濾原則,另外可以對接口的收發報文分別指定訪問規則。此外,還可以將ASPF策略應用於指定的接口,這樣才能對通過接口的流量進行檢測(ASPF策略暫不支持Web配置)。
在接口的ACL配置概覽頁面中選擇要配置的接口,單擊配置按鈕,進入接口的ASPF或ACL配置配置頁面
配置完ACL後,可以將其應用到指定的接口中。將ACL應用到接口時,同時會遵循時間段過濾原則,另外可以對接口的收發報文分別指定訪問規則。此外,還可以將ASPF策略應用於指定的接口,這樣才能對通過接口的流量進行檢測(ASPF策略暫不支持Web配置)。
在接口的ACL配置概覽頁面中選擇要配置的接口,單擊配置按鈕,進入接口的ASPF或ACL配置配置頁面
過濾類型:指定應用於此接口的過濾類型。可以選擇packet-filter(ACL/包過濾)、ethernet-frame-filter或ASPF。
ASPF策略號或ACL編號:當過濾類型爲packet-filter時,在此輸入接口ACL、基本ACL或高級ACL的編號;當過濾類型爲ethernet-frame-filter時,在此輸入Ethernet Frame ACL的編號;當過濾類型爲ASPF時,在此輸入ASPF的策略號,範圍爲1~99。
ASPF策略號或ACL編號:當過濾類型爲packet-filter時,在此輸入接口ACL、基本ACL或高級ACL的編號;當過濾類型爲ethernet-frame-filter時,在此輸入Ethernet Frame ACL的編號;當過濾類型爲ASPF時,在此輸入ASPF的策略號,範圍爲1~99。
過濾方向:指定將此策略應用於接口的出站數據流或入站數據流。
單擊應用按鈕將策略應用到接口上。用戶可以在下方的過濾策略概覽表中看到接口所應用的策略,並可以通過單擊刪除按鈕刪除特定的策略。