防火墻的安裝和配置課件

1、防火墻的安裝和配置防火墻的安裝和配置本章內(nèi)容 防火墻安裝 防火墻配置 配置Cisco PIX防火墻 恢復(fù)PIX的口令 升級PIX版本 本章內(nèi)容 防火墻安裝8.1 防火墻安裝8.1.1 PIX防火墻安裝定制在開始考慮安裝PIX之前，必須決定哪種PIX模式能夠滿足你的業(yè)務(wù)需要。PIX系列產(chǎn)品中有許多相同的特征和功能；每個(gè)PIX模式中接口和連接數(shù)量是不同的。下面的問題將幫助理解你的網(wǎng)絡(luò)需求，并把你的注意力集中到防火墻必須包含的服務(wù)和性能上。8.1 防火墻安裝8.1.1 PIX防火墻安裝定制有多少用戶（連接）將會通過防火墻？防火墻支持語音和多媒體應(yīng)用嗎？本單位需要多少接口？本單位需要VPN服務(wù)嗎？若需

2、要，安全級別是什么：56位DES、168位3DES還是兩者都要？防火墻需要如VPN加速卡等附件設(shè)備嗎？本單位希望使用PIX設(shè)備管理器嗎？本單位需要用容錯性嗎？回答這些問題不僅能幫助你為單位選擇適當(dāng)?shù)腜IX模型，還能幫助你購買正確的許可證。有多少用戶（連接）將會通過防火墻？8.1.2 安裝前部署中的安裝前階段是確定PIX型號、許可證、特性和物理位置的階段。選擇許可證選擇PIX型號8.1.2 安裝前1.選擇許可證無限制（Unrestricted） 當(dāng)防火墻使用無限制（UR）許可證時(shí)允許安裝和使用最大數(shù)量的接口和RAM。無限制許可證支持故障倒換功能。 受限（Restricted） 當(dāng)防火墻使用受限制

3、（R）許可證時(shí)，其支持的接口數(shù)量受到限制，另外，系統(tǒng)中的RAM的可用數(shù)量也受到限制。一個(gè)使用受限制許可證的防火墻不能通過配置故障倒換功能來實(shí)現(xiàn)冗余。 故障倒換（Failover） 當(dāng)使用故障倒換（FO）軟件許可證的PIX防火墻與使用無限制許可證的PIX防火墻協(xié)同工作時(shí)，將被置于故障倒換模式。 1.選擇許可證2選擇PIX型號防火墻型號許可證選項(xiàng)受限無限制故障倒換（Failover）加密PIX50110位用戶許可證50位用戶許可證N/A56位DES和/或168位3DESPIX50656位DES168位3DESN/A56位DES和/或168位3DESPIX515515-R（5000條并發(fā)連接和2個(gè)接

4、口）與515-R-BUN（10000條并發(fā)連接和3個(gè)接口）515-UR（10000條并發(fā)連接，F(xiàn)ailover功能和6個(gè)接口） 515-Failover束（提供備用Failover防火墻）56位DES和/或168位3DESPIX525525-R（6個(gè)接口，多達(dá)280，000條并發(fā)連接）525-UR（8個(gè)接口，F(xiàn)ailover支持，多達(dá)280，000條并發(fā)連接）525-Failover束（提供備用Failover防火墻）56位DES和/或168位3DESPIX535535-R（6個(gè)接口，多達(dá)500，000條并發(fā)連接）535-UR（8個(gè)接口，F(xiàn)ailover支持，多達(dá)500，000條并發(fā)連接）53

5、5-Failover束（提供備用Failover防火墻）56位DES和/或168位3DES2選擇PIX型號防火墻型號許可證選項(xiàng)受限無限制故障倒換（F型號選擇主要基于兩個(gè)方面：性能和容錯性。 性能被分為兩類：吞吐量和并發(fā)連接。容錯性是在PIX515平臺中第一次被引入。型號選擇主要基于兩個(gè)方面：性能和容錯性。 8.1.3 安裝接口配置電纜連接初始PIX輸入8.1.3 安裝1.接口配置在PIX上對安全策略進(jìn)行配置的第一步是確定要使用的接口并收集他的基本配置信息。每一個(gè)PIX都至少有兩個(gè)接口：內(nèi)部接口（較安全）和外部接口（較不安全）。使用表8-2可以幫組你簡化配置PIX接口的過程，記錄每個(gè)接口的基本信

6、息是有用的。防火墻配置外部網(wǎng)內(nèi)部網(wǎng)接口1接口2接口3接口接口速度IP地址和掩碼接口名：HW接口名：SW安全級別MTU大小1.接口配置防火墻配置外部網(wǎng)內(nèi)部網(wǎng)接口1接口2接口3接口接口2.電纜連接在啟動PIX之前，把控制端口（Console）電纜連接到PC機(jī)（通常是便于移動的筆記本電腦）的COM端口，再通過Windows系統(tǒng)自帶的超級終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣，如圖8-1所示。2.電纜連接3.初始PIX輸入當(dāng)PIX515通電后，會看到前置面板上的3個(gè)LED燈，如圖8-2所示，分別標(biāo)有POWER，NETWORK

7、和ACT。當(dāng)防火墻部件是活動的failover時(shí)，ACT LED會亮。如果沒有配置Failover，ACT LED將總是亮著。當(dāng)至少一個(gè)接口通過流量時(shí)，NETWORK LED會亮。3.初始PIX輸入當(dāng)你第一次啟動PIX防火墻的時(shí)候，你應(yīng)該看到如圖8-3所示的以下輸出：當(dāng)你第一次啟動PIX防火墻的時(shí)候，你應(yīng)該看到如圖8-3所示的8.2 防火墻配置 8.2 防火墻配置 8.2.1 防火墻的基本配置原則拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。 允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后

8、，你需要打開一些必要的端口來使防火墻內(nèi)的用戶在通過驗(yàn)證之后可以訪問系統(tǒng)。換句話說，如果你想讓你的員工們能夠發(fā)送和接收Email，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開啟允許POP3和SMTP的進(jìn)程。8.2.1 防火墻的基本配置原則在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個(gè)角度考慮，在防火墻的配置過程中需堅(jiān)持以下三個(gè)基本原則：1簡單實(shí)用：2全面深入： 3內(nèi)外兼顧：在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個(gè)角8.2.2 防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以Cisco PIX防火墻為例進(jìn)行

9、介紹。防火墻與路由器一樣也有四種用戶配置模式，即：非特權(quán)模式（Unprivileged mode）、特權(quán)模式（Privileged Mode）、配置模式（Configuration Mode）和端口模式（Interface Mode），進(jìn)入這四種用戶模式的命令也與路由器一樣：8.2.2 防火墻的初始配置防火墻的具體配置步驟如下：1將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上，如圖8-1。2打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。 3運(yùn)行筆記本電腦Windows系統(tǒng)中的超級終端（HyperTerminal）程序（通常在“附件”程

10、序組中）。對超級終端的配置與交換機(jī)或路由器的配置一樣，參見本教程前面有關(guān)介紹。 4當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示“pixfirewall”的提示符，這就證明防火墻已啟動成功，所進(jìn)入的是防火墻用戶模式。可以進(jìn)行進(jìn)一步的配置了。 5輸入命令：enable，進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。 6輸入命令：configure terminal，進(jìn)入全局配置模式，對系統(tǒng)進(jìn)行初始化設(shè)置。 7. 配置保存：write memory8. 退出當(dāng)前模式：exit9. 查看當(dāng)前用戶模式下的所有可用命令：show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡單功能描述。1

11、0. 查看端口狀態(tài)：show interface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。 11. 查看靜態(tài)地址映射：show static，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。防火墻的具體配置步驟如下：8.3 配置Cisco PIX防火墻8.3 配置Cisco PIX防火墻這里我們選用第三種方式配置Cisco PIX 525防火墻。1同樣是用一條串行電纜從電腦的COM口連到Cisco PIX 525防火墻的console口；2開啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的“超級終端”，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火

12、墻初始化配置，在其中主要設(shè)置有：Date(日期)、time(時(shí)間)、hostname(主機(jī)名稱)、inside ip address(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pixfirewall。 3輸入enable命令，進(jìn)入Pix 525特權(quán)用戶模式，默然密碼為空。這里我們選用第三種方式配置Cisco PIX 525防火墻。缺省情況下，enable命令假定用戶嘗試接入的特權(quán)級別是15（最高特權(quán)級別）。在配置PIX的基本網(wǎng)絡(luò)接入的時(shí)候，有一些必須實(shí)施；為防火墻接口分配IP地址；配置防火墻名稱、域名和密碼；設(shè)置防火墻路由；配置防火墻的遠(yuǎn)程管

13、理接入功能；為出站流量設(shè)置地址轉(zhuǎn)換；配置ACL；配置防火墻日志。缺省情況下，enable命令假定用戶嘗試接入的特權(quán)級別是158.3.1 在防火墻接口上分配IP地址要在網(wǎng)絡(luò)中通信，防火墻需要在其接口上指定IP地址。這項(xiàng)工作在PIX的6.x和7.x版本中的實(shí)施有區(qū)別，但是基本步驟是一樣的：啟用接口、配置接口參數(shù)、為該接口指定IP地址。8.3.1 在防火墻接口上分配IP地址在PIX的6.x版本中分配IP地址firewall# configure terminalfirewall(config)#firewall(config)# interface ethernet0 autofirewall(co

14、nfig)# interface ethernet1 autofirewall(config)# nameif ethernet0 outside security0firewall(config)# nameif ethernet1 inside security100firewall(config)# ip address outside firewall(config)# ip address inside 在PIX的6.x版本中分配IP地址在PIX的7.x版本中分配IP地址firewall(config)# interface ethernet 2firewall(config-if)

15、#firewall(config-if)# no shutdownfirewall(config-if)# nameif dmz01firewall(config-if)# security-level 50firewall(config-if)# speed autofirewall(config-if)# duplex autofirewall(config-if)# ip address 7 40在PIX的7.x版本中分配IP地址8.3.2 配置防火墻名稱、域名和密碼firewall(config)# hostname pixpix(config)# domain-name pix.la

16、bpix(config)# passwd ciscopix(config)# enable password cisco8.3.2 配置防火墻名稱、域名和密碼8.3.3 配置防火墻路由設(shè)置pix(config)# route outside 1該route命令中末尾的1指明了下一跳的度量值，這是可選的。通常缺省路由將會指向防火墻連接到Internet的下一跳路由，如Internet服務(wù)商網(wǎng)絡(luò)中的路由器。8.3.3 配置防火墻路由設(shè)置8.3.4 配置防火墻管理遠(yuǎn)程接入PIX防火墻支持三種主要的遠(yuǎn)程管理接入方式：Telnet;SSH;ASDM/PDM。其中Telnet和SSH都是用來提供對防火墻的

17、命令行界面（CLI）方式接入，而ASDM/PDM提供的則是一種基于HTTPS的圖形化界面（GUI）管理控制臺。8.3.4 配置防火墻管理遠(yuǎn)程接入1.配置Telnet接入pix (config)# telnet 5 55 inside2.配置SSH接入步驟1 給防火墻分配一個(gè)主機(jī)名和域名；步驟2 生產(chǎn)并保存RSA密鑰對；步驟3 配置防火墻允許SSH接入。pix(config)# ca generate rsa key 1024pix(config)# ca save allpix(config)# crypto key generate rsa modulus 1024pix(config)#

18、ssh 5 55 inside 1.配置Telnet接入3.配置ASDM/PDM接入除了使用CLI的管理方式之外，PIX防火墻還支持一種GUI遠(yuǎn)程管理方式。在PIX6.x中，這種管理接口被稱為PIX設(shè)備管理器（PDM）。而在PIX的7.x，該管理接口被稱為自適應(yīng)安全設(shè)備管理器（ASDM）。 pix(config)# http server enablepix(config)# http inside3.配置ASDM/PDM接入ASDM/PDM的接入是通過Web瀏覽器連接到Web服務(wù)器的方式來實(shí)現(xiàn)的。ASDM還可以通過一種基于java的應(yīng)用來使用ASDM，而不用代開Web瀏覽器，如圖8-4所示：

19、ASDM/PDM的接入是通過Web瀏覽器連接到Web服務(wù)器的 Cisco ASDM簡介 作為自適應(yīng)安全設(shè)備管理器，Cisco ASDM以圖形界面方式，配置和管理Cisco PIX和Cisco ASA安全設(shè)備。 Cisco ASDM簡介 作為自適應(yīng)安全設(shè)備管理器，CCisco ASDM具有如下特點(diǎn)：1. 集成化管理提高管理效率2. 啟動向?qū)Ъ铀侔踩O(shè)備的部署3. 儀表盤提供重要實(shí)時(shí)系統(tǒng)狀態(tài)信息4. 安全策略管理降低運(yùn)營成本5. 安全服務(wù)實(shí)現(xiàn)基于角色的、安全的管理訪問6. VPN管理將安全連接擴(kuò)展到遠(yuǎn)程站點(diǎn)7. 管理服務(wù)與應(yīng)用檢測相互協(xié)作8. 智能用戶界面簡化網(wǎng)絡(luò)集成9. 安全管理界面提供一致的管

20、理服務(wù)10. 監(jiān)控和報(bào)告工具實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)分析Cisco ASDM具有如下特點(diǎn)：1. 集成化管理提高管理效 Cisco ASDM主頁 Cisco ASDM主頁 VPN配置 VPN配置 高級OSPF配置 高級OSPF配置 監(jiān)控和報(bào)告工具實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)分析（1）監(jiān)控工具（2）系統(tǒng)圖（3）連接圖（4）攻擊保護(hù)系統(tǒng)圖（5）接口圖（6）VPN統(tǒng)計(jì)和連接圖監(jiān)控和報(bào)告工具實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)分析（1）監(jiān)控工具1. 運(yùn)行ASDMCisco ASDM主窗口 1. 運(yùn)行ASDMCisco ASDM主窗口 2. 為NAT創(chuàng)建IP地址池（1）指定DMZ的IP地址范圍2. 為NAT創(chuàng)建IP地址池（1）指定DMZ的IP地

21、址范圍（2）為外部端口指定IP地址池（2）為外部端口指定IP地址池3. 配置內(nèi)部客戶端訪問DMZ區(qū)的Web服務(wù)器3. 配置內(nèi)部客戶端訪問DMZ區(qū)的Web服務(wù)器5. 為Web服務(wù)器配置外部ID4. 配置內(nèi)部客戶端訪問Internet5. 為Web服務(wù)器配置外部ID4. 配置內(nèi)部客戶端訪問In6. 允許Internet用戶訪問DMZ的Web服務(wù)6. 允許Internet用戶訪問DMZ的Web服務(wù)8.3.5 對出站實(shí)施NAT 1在PIX 6.x中配置NATnat （local-interface） id local-ip mask dns outside | norandomseq max_conn

22、s emb_limit pix（config）# nat （insids）1 global （if-name） nat-id global-ip -global-ip netmask global-mask | interface pix（config）# global （outside）1 0-5 netmask 40pix（config）# global （outside） 1 interfaceoutside interface address added to PAT poolpix（config）#8.3.5 對出站實(shí)施NAT2在PIX 7.x中配置NATnat (real-ifc)

23、 nat-id real-ip mask dns outside tcp tcp-max-conns emb-limit udp udp-max-conns norandomseqglobal (mapped-ifc) nat-id mapped-ip -mapped-ip netmask mask | interfacepix(config)# nat-controlpix(config)# nat (inside)1 pix(config)# global (outside)1 0-4 netmask 40pix(config)# global (outside)1 interface I

24、NFO: outside interface address added to PAT poolpix(config)# 2在PIX 7.x中配置NAT8.3.6 配置ACLs 配置和實(shí)施ACL分兩步完成：定義ACL以及實(shí)施ACE；將ACL應(yīng)用于某接口。8.3.6 配置ACLs1定義ACL和實(shí)施ACEPIX支持多種不同類型的ACL：EtherType訪問列表這種ACL根據(jù)EtherType值來過濾流量；擴(kuò)展訪問列表這是最常用的ACL實(shí)施類型，它用來對基于TCP/IP的流最進(jìn)行通用目的的過濾；標(biāo)準(zhǔn)訪問列表該ACL用來指定目的IP地址，它可以用來在路由映射表（routemap）中進(jìn)行OSPF路由重

25、分布；WebType訪問列表該ACL用來進(jìn)行WebVPN的過濾，只在PIX 7.1或者更新版本中才被支持。1定義ACL和實(shí)施ACE創(chuàng)建一組ACL的過程非常簡單直接，通常需要定義如下的參數(shù)。流量需要通過什么樣的方式去匹配ACL中的ACE？需要使用什么樣的協(xié)議？流量的源是什么？流量的目的是什么？使用了哪個(gè)/哪些應(yīng)用端口？創(chuàng)建一組ACL的過程非常簡單直接，通常需要定義如下的參數(shù)。參數(shù)描述default（可選項(xiàng)）使用缺省的日志方式，即為每個(gè)被拒絕的報(bào)文發(fā)送同步日志消息106023deny拒絕條件配置報(bào)文。在網(wǎng)絡(luò)訪問的環(huán)境中（access-group命令），該關(guān)鍵字阻止報(bào)文穿越安全工具。在類映射（cla

26、ss-map和inspect命令）中進(jìn)行應(yīng)用檢查的環(huán)境中，該關(guān)鍵字將使得報(bào)文免受檢查。一些特性并不允許使用拒絕ACE，比如說NAT。查閱各種特性的命令文檔以獲得更多關(guān)于ACL的信息dest_ip指定報(bào)文發(fā)往的網(wǎng)絡(luò)或者主機(jī)的IP地址。在IP地址之前輸入host關(guān)鍵字來指定一個(gè)單一的地址。在這種情況下，不需要輸入掩碼。輸入any關(guān)鍵字以代替地址和掩碼，用來指定所有地址disable(可選項(xiàng))禁用針對該條ACE的日志icmp_type(可選項(xiàng))如果協(xié)議是ICMP，指定ICMP類型id指定ACL-ID號,可以是字符串，也可以是最長241個(gè)字符的整數(shù)。該ID是區(qū)分大小寫的。提示:使用大寫字母會使你在配置

27、中看到的ACL-ID更直觀inactive(可選項(xiàng))禁用一條ACE。要重新啟用，輸入整條ACE而不帶inactive關(guān)健字。該特性能夠維持一條inactive的ACE的記錄，以便可以更方便地重新啟用interface ifc_name指定接口地址，或者是源地址，或者是目的地址interval secs（可選項(xiàng)）指定日志區(qū)間上產(chǎn)生106100系統(tǒng)日志信息。有效值是從1到600秒。默認(rèn)值是300level(可選項(xiàng))設(shè)定106100系統(tǒng)日志消息級別，從0到7，缺省級別是6line line-num(可選項(xiàng))指定在插入ACE的行號。如果你沒有指定行號的話，ACE將會添加到ACL的未尾。該行號不會保存在

28、配置中；它僅僅用來指定在哪兒插入ACElog(可選項(xiàng))當(dāng)有從網(wǎng)絡(luò)中接入的報(bào)文被一條ACE匹配到，并且般終被拒絕的時(shí)候，設(shè)置該選頂可以提供日志(通過access-group應(yīng)用ACL)。如果沒有任何的修改而僅僅輸入log關(guān)健字的話，將啟用系統(tǒng)日志消息106100，并且使用默認(rèn)的等級(6)和默認(rèn)周期(300秒)。如果不輸入log關(guān)鍵字，設(shè)備將使用缺省的日志方式，即使用系統(tǒng)日志消息106023maskIP地址的子網(wǎng)掩碼。在輸入指定網(wǎng)絡(luò)掩碼的時(shí)候，其方式和在Cisco的IOS中的access-list命令不一樣。安全工具使用網(wǎng)絡(luò)掩碼(如C類地址是)。而Cisco的IOS是用通配符(如55)object

29、-group icmp_type_obj_grp_id(可選項(xiàng))如果協(xié)議是ICMP，該參數(shù)用來指定ICMP類型目標(biāo)組的標(biāo)識符。要添加一個(gè)目標(biāo)組，請參考o(jì)bject-group icmp-type命令object-group network_obj_grp_id為一個(gè)網(wǎng)絡(luò)目標(biāo)組指定標(biāo)識符。要添加目標(biāo)組，請參考o(jì)bject-group network命令object-group protocol_obj_grp_id為協(xié)議目標(biāo)組指定標(biāo)識符。要添加目標(biāo)組.請參考o(jì)bject-group protocol命令object-group service_obj_grp_id(可選項(xiàng))如果設(shè)置的協(xié)議是TCP

30、或者UDP，該參數(shù)為服務(wù)目標(biāo)組指定標(biāo)識符。要添加目標(biāo)組，請參考o(jì)bject-group service命令operator(可選項(xiàng))該參數(shù)被源或者目的用來匹配端口號。其允許的操作如下:It(小于)；gt(大于)；eq(等于)；neq(不等于)；range(包含一系列的值，當(dāng)使用這種操作時(shí)，需要指定兩個(gè)端口號，如range 100 200)permit允許條件匹配的報(bào)文。在網(wǎng)絡(luò)訪問的環(huán)境中(acccss-group命令)，該關(guān)鍵字允許報(bào)文穿越安全工具。在類映射(class-map和inspect命令)中進(jìn)行應(yīng)用檢查的環(huán)境中，該關(guān)鍵字將使得報(bào)文接受檢查port(可選項(xiàng))如果設(shè)置的協(xié)議是TCP或者U

31、DP，為TCP或者UDP端口指定一個(gè)整數(shù)或者名稱。 DNS, Discard, Echo, Ident, NTP, RPC, SUNRPC和Talk這樣的協(xié)議需要在TCP和UDP中各自定義一個(gè)。TACACS+這樣的協(xié)議只需要在TCP中定義一個(gè)端口號49protocol指定IP協(xié)議的名稱和號碼。比如說，UDP是17，TCP是6，EGP是47src_ip指定報(bào)文發(fā)送方的網(wǎng)絡(luò)或者主機(jī)的IP地址。在IP地址之前輸入host關(guān)鍵字，可以用來指定一個(gè)單一的地址。這種情況下，不用輸入掩碼。輸入any關(guān)鍵字來代替地址和掩碼，用來表示所有地址time-range time_range_name(可選項(xiàng))在某天或

32、者某周的指定時(shí)間激活A(yù)CE，這為ACE應(yīng)用了時(shí)間范圍。查閱time-range命令，以獲得關(guān)于定義時(shí)間范圍的信息參數(shù)描述default（可選項(xiàng)）使用缺省的日志方式，即為每個(gè)擴(kuò)展ACL的命令語法及其參數(shù)如下所示：access-list id line line-number extended deny | permit protocol | object-group protocol_obj_grp_id src_ip mask | interface ifc_name | object-group network_obj_grp_id operator port | object-group

33、service_obj_grp_id dest_ip mask | interface ifc_name | object-group network_obj_grp_id operator port | object-group service_obj_grp_id | object-group icmp_type_obj_grp_id log level interval secs | disable | default inactive | time-range time_range_name 盡管參數(shù)信息看上去非常多，但是在大多數(shù)情況下很多參數(shù)值都是可選的，甚至是不需要使用的。大多數(shù)時(shí)

34、候?qū)ccess-list命令的使用都是按照下面這種簡化方式：access-list id deny | permit protocol source destination operator port擴(kuò)展ACL的命令語法及其參數(shù)如下所示： 舉例來說，如果想要定義一條ACL，用來允許從任何主機(jī)到一臺Web服務(wù)器的HTTP流量的話，需要運(yùn)行下面的命令：pix(config)# access-list out_in_01 permit tcp any host eq http 在上述例子中，我們定義的ACL名稱是“out-in-01”，并且將其配置成允許TCP的80端口（HTTP）流量可以從任何源訪問目的地。如果想使用同樣的ACL來允許SMTP流量到另一臺服務(wù)器，執(zhí)行下面的命令：pix(config)# access-list out_in_01 permit tcp any host eq