硬件防火墙的配置过程讲解(7)

　　图2

　　以上各项重定向要求对应的配置语句如下：

　　static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 telnet netmask 255.255.255.255 0 0

　　static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 ftp netmask 255.255.255.255 0 0

　　static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 telnet netmask 255.255.255.255 0 0

　　static (inside,outside) tcp interface telnet 10.1.1.5 telnet netmask 255.255.255.255 0 0

　　static (inside,outside) tcp interface www 10.1.1.5 www netmask 255.255.255.255 0 0

　　static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 www netmask 255.255.255.255 0 0

　　12. 显示与保存结果

　　显示结果所用命令为：show config；保存结果所用命令为：write memory。

　　四、包过滤型防火墙的访问控制表（ACL）配置

　　除了以上介绍的基本配置外，在防火墙的安全策略中最重要还是对访问控制列表（ACL）进行配有关置。下面介绍一些用于此方面配置的基本命令。

　　1. access-list：用于创建访问规则

　　这一访问规则配置命令要在防火墙的全局配置模式中进行。同一个序号的规则可以看作一类规则，同一个序号之间的规则按照一定的原则进行排列和选择，这个顺序可以通过 show access-list 命令看到。在这个命令中，又有几种命令格式，分别执行不同的命令。

　　（1）创建标准访问列表

　　命令格式：access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ]

　　（2）创建扩展访问列表

　　命令格式：access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

　　（3）删除访问列表

　　命令格式：no access-list { normal | special } { all | listnumber [ subitem ] }

　　上述命令参数说明如下：

　　●normal：指定规则加入普通时间段。

　　●special：指定规则加入特殊时间段。

　　●listnumber1：是1到99之间的一个数值，表示规则是标准访问列表规则。

　　●listnumber2：是100到199之间的一个数值，表示规则是扩展访问列表规则。

　　●permit：表明允许满足条件的报文通过。

　　●deny：表明禁止满足条件的报文通过。

　　●protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

　　●source-addr：为源IP地址。

　　●source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

　　●dest-addr：为目的IP地址。

　　●dest-mask：为目的地址的子网掩码。

　　●operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。