將訪問控制列表應用到介面上
指明在介面上是out還是in方向
在介面檢視下配置:
firewall packet-filter acl-number [inbound|outbound]
timerange 允許|禁止時間段,quidway防火牆預設為禁止時間段.
settr begin-time end-tune[begin-timend-time...]設定特殊時間段
display isintr 顯示當前時間是否在特殊時間段內
display timerange 顯示配置的時間段
日誌功能
日誌功能是允許在特定的主機上記錄下來防火牆的操作
開啟日誌系統
info-center enable
配置日誌主機位址等相關屬性
info-center loghost loghost-number ip-address port ...
顯示日誌配置資訊
display debugging
在華為quidway路由器上提供了非常豐富的日誌功能,詳細內容請參考配置手冊.
日誌功能用以記錄下所有來犯防火牆的操
作資訊,在訪問列表允許日誌功能後,需再配置另一條命令info-center loghost.以指定日誌主
機的位置。日誌主機可以是一台普通的網路工作站.也可以是專用的伺服器,它們之上需執行標準
的日誌程式,以接收路由器發回的日誌記錄。
路由器側的配置舉例如下:
!開啟日誌系統。
[quidway]info-center enable
!將ip位址為10.110.12.119的主機用作日誌主機。
[quidway]info-center loghost 0 10.11
0.12 .119 514
訪問控制列表的組合
一條訪問控制列表可以由多條規則組成,對於這些規則,有兩種匹配順序:auto 和config
規則衝突時,若匹配順序為auto(深度優先),描述的位址範圍越小的規則,將會優先考慮.
深度的判斷要依靠通配比較位和ip位址結合比較
rule deny 202.38.0.0 0.0.255.255
rule permit 202.38.160.0 0.0.0.255
兩條規則結合表示禁止乙個大網段(202.38.0.0)上的主機但允許其中的一小部分主機(202.38.160.0)的訪問.
規則衝突時,若匹配順序為config,先配置的規則會被優先考慮.
一條訪問控制列表可以包含多條規則。而
對於一條訪問控制列表中的多條規則。華為路由器上定義了兩種匹配順序:auto和config。其中auto
表示採用深度優先原則對訪問控制列表進行自動排序;config則表示依據使用者輸入的配置順序進
行匹配,先配置的訪問列表規則一定會先匹配。我們可以用下列命令來配置訪問控制列表的匹配順
序:acl acl-number match-order[auto | config]
如果兩條規則有衝突.而訪問控制列表的
匹配順序為auto,即「深度優先」時,在這種情況下描述的位址範圍越小的規則,將會優先考慮。
例如:acl l
rule deny 202.38
.0.0 0.0 255 255
rule permit 202.38.
160 0.0.0. 255
對於202.38.160.23這
樣的位址,訪問刊表是認為是允許的。因為第二條指定能位址範圍小。
如果兩條規則有衝突.
而訪問控制列表的匹配順序為config
,這時先配置的訪問列表規則會被優先考慮。
訪問控制列表
使用 acl 的指導原則 命名 acl 為 acl 指定名稱 名稱中可以包含字母數字字元。建議名稱以大寫字母書寫。名稱中不能包含空格或標點,而且必須以字母開頭。您可以新增或刪除 acl 中的條目。acl 的最佳做法 注 使用 acl 時務必小心謹慎 關注細節。一旦犯錯可能導致代價極高的後果,例如停機...
訪問控制列表
1 acl access control list。訪問控制列表 是用來實現資料報識別功能的 2 acl可應用於諸多方面 包過濾防火牆功能 nat network address translation,網路位址轉換 qos quality of service,服務質量 的資料分類 路由策略和過濾...
密碼學應用 ACL訪問控制列表
1.訪問控制模型 為使用者對系統資源提供最大限度共享的基礎上,對使用者的訪問權進行管理,防止對資訊的非授權篡改和濫用。保證使用者在系統安全策略下能正常工作,拒接非法使用者的非授權訪問請求,拒絕合法使用者越權的服務請求。訪問控制模型包括如下模型 自主范文控制模型 dac 訪問控制列表 acl 權能列表...