网络工程师知识点访问控制技术

12.4.3【知识点】访问控制技术

（1）firewa defaut命令

firewa defaut用于配置防火墙在没有相应的访问规则匹配时，缺省的过滤方式。当在接口应用的规则没有一个能够判断一个报文是否应该被允许还是禁止时，缺省的过滤属性将起作用；如果缺省过滤属性是"允许",则报文可以通过，否则报文被丢弃。在防火墙开启的情况下，报文被缺省允许通过。该命令在全局配置模式下配置，命令格式为：

firewa defaut { permit | deny }

【参数说明】

permit 表示缺省过滤属性设置为"允许".

deny 表示缺省过滤属性设置为"禁止".

例：设置缺省过滤属性为"允许".

Quidway（config）#firewa defaut permit

（2）ip access-group

使用此命令将规则应用到接口上，使用此命令的no形式来删除相应的设置，与之相关的命令如前面提到过的access-ist.在缺省情况，没有规则应用于接口。

使用此命令来将规则应用到接口上；如果要过滤从接口收上来的报文，则使用 in 关键字；如果要过滤从接口转发的报文，使用out 关键字。一个接口的一个方向上最多可以应用20类不同的规则；这些规则之间按照规则序号的大小进行排列，序号大的排在前面，也就是优先级高。对报文进行过滤时，将采用发现符合的规则即得出过滤结果的方法来加快过滤速度。所以，建议在配置规则时，尽量将对同一个网络配置的规则放在同一个序号的访问列表中；在同一个序号的访问列表中，规则之间的排列和选择顺序可以用show access-ist命令来查看。该命令在接口配置模式下配置，命令格式为：

ip access-group istnumber { in | out }

[ no ] ip access-group istnumber { in | out }

【参数说明】

istnumber 为规则序号，是1~199之间的一个数值。

in 表示规则用于过滤从接口收上来的报文。

out 表示规则用于过滤从接口转发的报文。

例：将规则101应用于过滤从以太网口收上来的报文。

Quidway（config-if-Ethernet0）#ip access-group 101 in

（3）settr

Settr:设定或取消特殊时间段。使用此命令来设置时间段；可以最多同时设置6个时间段，通过show timerange 命令可以看到所设置的时间。如果在已经使用了一个时间段的情况下改变时间段，则此修改将在一分钟左右生效（系统查询时间段的时间间隔），设置的时间应该是24小时制。系统缺省没有设置时间段，即认为全部为普通时间段。该命令在全局配置模式下配置，命令格式为：

settr begin-time end-time

no settr

【参数说明】

begin-time 为一个时间段的开始时间。

end-time 为一个时间段的结束时间，应该大于开始时间。

例：设置时间段为8:30 ~ 12:00,14:00 ~ 17:00.

Quidway（config）#settr 8:30 12:00 14:00 17:00

例：设置时间段为晚上9点到早上8点。

Quidway（config）#settr 21:00 23:59 0:00 8:00

（4）show access-ist

使用此命令来显示所指定的规则，同时查看规则过滤报文的情况。每个规则都有一个相应的计数器，如果用此规则过滤了一个报文，则计数器加1;通过对计数器的观察可以看出所配置的规则中，哪些规则是比较有效，而哪些基本无效。可以通过带interface关键字的show access-ist命令来查看某个接口应用规则的情况。该命令在特权用户配置模式下使用，命令格式为：

show access-ist [ a | istnumber | interface interface-name ]

【参数说明】

a 表示所有的规则，包括普通时间段内及特殊时间段内的规则。

istnumber 为显示当前所使用的规则中序号为istnumber的规则。

interface 表示要显示在指定接口上应用的规则序号。

interface-name 为接口的名称。

例：显示当前所使用的序号为100的规则。

（5）管道命令（conduit）

前面讲过使用static命令可以在一个本地ip地址和一个全局ip地址之间创建了一个静态映射，但从外部到内部接口的连接仍然会被pix防火墙的自适应安全算法（ASA）阻挡，conduit命令用来允许数据流从具有较低安全级别的接口流向具有较高安全级别的接口，例如允许从外部到DMZ或内部接口的入方向的会话。对于向内部接口的连接，static和conduit命令将一起使用，来指定会话的建立。conduit命令配置语法：

conduitpermit|denygoba_ipport[-port]protocoforeign_ip[netmask]

【参数说明】

permit|deny:允许|拒绝访问.

goba_ip指的是先前由goba或static命令定义的全局ip地址，如果goba_ip为0,就用any代替0;如果goba_ip是一台主机，就用host命令参数。

port指的是服务所作用的端口，例如www使用80,smtp使用25等等，我们可以通过服务名称或端口数字来指定端口。

protoco指的是连接协议，比如：TCP、UDP、ICMP等。

foreign_ip表示可访问goba_ip的外部ip.对于任意主机，可以用any表示。如果foreign_ip是一台主机，就用host命令参数。

例：Pix525（config）#conduitpermittcphost192.168.0.8eqwwwany

这个例子表示允许任何外部主机对全局地址192.168.0.8的这台主机进行http访问。其中使用eq和一个端口来允许或拒绝对这个端口的访问。Eqftp就是指允许或拒绝只对ftp的访问。

例：Pix525（config）#conduitdenytcpanyeqftphost61.144.51.89

表示不允许外部主机61.144.51.89对任何全局地址进行ftp访问。

例：Pix525（config）#conduitpermiticmpanyany

表示允许icmp消息向内部和外部通过。

例：Pix525（config）#static（inside,outside）61.144.51.62192.168.0.3

Pix525（config）#conduitpermittcphost61.144.51.62eqwwwany

这个例子说明static和conduit的关系。192.168.0.3在内网是一台web服务器，现在希望外网的用户能够通过pix防火墙得到web服务。所以先做static静态映射：192.168.0.3->61.144.51.62（全局），然后利用conduit命令允许任何外部主机对全局地址61.144.51.62进行http访问。

（6）配置fixup协议

fixup命令作用是启用，禁止，改变一个服务或协议通过pix防火墙，由fixup命令指定的端口是pix防火墙要侦听的服务。见下面例子：

例：Pix525（config）#fixupprotocoftp21

启用ftp协议，并指定ftp的端口号为21.

例：Pix525（config）#fixupprotocohttp80

Pix525（config）#fixupprotocohttp1080

为http协议指定80和1080两个端口。

例：Pix525（config）#nofixupprotocosmtp80

禁用smtp协议。

（7）设置tenet

Tenet有一个版本的变化。在PixOS5.0之前，只能从内部网络上的主机通过tenet访问pix.在其后续版本中，可以在所有的接口上启用tenet到pix的访问。当从外部接口要tenet到pix防火墙时，tenet数据流需要用ipsec提供保护，也就是说用户必须配置pix来建立一条到另外一台pix,路由器或vpn客户端的ipsec隧道。tenet配置语法：

tenetoca_ip[netmask]

【参数说明】

oca_ip表示被授权通过tenet访问到pix的ip地址。如果不设此项，pix的配置方式只能由consoe进行。

返回目录：网络工程师考试教材网工知识点全析第12章

编辑推荐：网络工程师考试教材网工知识点全析第9章

网络工程师考试教材网工知识点全析第10章

网络工程师考试教材网工知识点全析第11章