同时配置了firewall packet-filter 3002inbound和firewall packet-filter 3002 outbound两条命令是怎么理解的?
就比如:firewall enable firewall default deny acl number 3002
rule 0 deny tcp interface Serial0/0 link-protocol ppp
firewall packet-filter 3002inbound firewall packet-filter 3002 outbound
请问这些命令的意思是什么?
但是最后两条命令一起使用是有什么目的?或者意义呢?
firewall enable 应用防火墙
firewall default deny 默认拒绝所有流量
acl number 3002 ACL的编号
rule 0 deny tcp 这个是第一条规则,执行的动作时拒绝所有TCP流量
interface Serial0/0 进入串行接口模式
link-protocol ppp 广域网采用的连接协议时PPP
firewall packet-filter 3002inbound 将包过滤(ACL3002) 应用到路由器入站接口
firewall packet-filter 3002 outbound将包过滤(ACL3002)应用到路由器出站接口
不清楚你说的最后一条是哪条?
最后两条的意思都是一样的,目的都是为了使你设定的防火墙规则生效
打个比方:你是某城门守将,制定了一个进出城门的规定。
但是你的规定制定出来了,用在哪座城池上呢?
使用在城门的出口还是入口呢?
这些要交代清楚,不然的话 下面的人不好做事
同理,这个防火墙规则也要交代清楚用在什么地方,使用在出接口还是入接口
firewall default deny 默认拒绝所有流量
acl number 3002 ACL的编号
rule 0 deny tcp 这个是第一条规则,执行的动作时拒绝所有TCP流量
interface Serial0/0 进入串行接口模式
link-protocol ppp 广域网采用的连接协议时PPP
firewall packet-filter 3002inbound 将包过滤(ACL3002) 应用到路由器入站接口
firewall packet-filter 3002 outbound将包过滤(ACL3002)应用到路由器出站接口
不清楚你说的最后一条是哪条?
最后两条的意思都是一样的,目的都是为了使你设定的防火墙规则生效
打个比方:你是某城门守将,制定了一个进出城门的规定。
但是你的规定制定出来了,用在哪座城池上呢?
使用在城门的出口还是入口呢?
这些要交代清楚,不然的话 下面的人不好做事
同理,这个防火墙规则也要交代清楚用在什么地方,使用在出接口还是入接口
温馨提示:答案为网友推荐,仅供参考
第1个回答 2015-11-07
ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
功能
网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
在实施ACL的过程中,应当遵循如下两个基本原则:
1.最小特权原则:只给受控对象完成任务所必须的最小的权限。
2.最靠近受控对象原则:所有的网络层访问权限控制。
3.默认丢弃原则:在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
功能
网络中的节点有资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
在实施ACL的过程中,应当遵循如下两个基本原则:
1.最小特权原则:只给受控对象完成任务所必须的最小的权限。
2.最靠近受控对象原则:所有的网络层访问权限控制。
3.默认丢弃原则:在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。