第 11 章 ACL 规则

第 11 章 ACL 规则
	部分 IV. 防火墙

ACL 是指根据协议类型、IP地址、端口等特征自定义防火墙规则，根据数据包传输的方向和对象不同，可以分为以下两种：

进入(Incoming)

数据包的最终目的地是路由，来源是外网IP或内网主机。

应用场合举例：禁止外网某些IP访问路由，比如要禁止 210.249.xx.xx 这个IP访问路由的Web管理。
转发(Forward)

数据包的最终目的地是内网主机或外网IP，来源是外网IP或内网主机。路由处于中间，对数据包进行转发。

应用场合举例：禁止内网访问外网的某些IP或端口，比如要禁止迅雷的 15000/UDP 下载端口。

下面这个图描述了两者之间的区别：


                         
        +-------------.                       .--------------+
        |              \  ACL转发(内->外)    /               |
        |  +---------.  `-------------------'  .----------+  |
        |  |          \                       /           |  |
        |  |           \   ACL转发(外->内)   /            |  |
        |  V            `-------------------'             |  V
  +---------------+     +------------------+       +----------------+
  | 局域网主机(PC)|     |   路由(Router)   |       | 外网(Internet) |
  +---------------+     +------------------+       +----------------+
         |                       /\                        |
         |                       ||                        |
         |                       ||                        |
         +_______________________++________________________+
             ACL进入                   ACL进入

主要参数格式说明：

源/目的IP

为空表示所有IP，有如下3种表示方法：
1. 单个IP，比如：192.168.0.1
2. IP网络，比如：192.168.0.0/24 或 192.168.0.0/255.255.255.0
3. IP地址段，比如：192.168.0.1-192.168.0.200
源/目的端口

为空表示所有端口，有如下3种表示方法：
1. 单个端口，比如：8080
2. 多个离散端口，比如：137,139,445
3. 连续端口，比如：80-8000 (80到8000之间的所有端口)
匹配动作
1. 通过：允许匹配的数据包通过
2. 丢弃：丢弃匹配到的数据包，不反馈任何错误信息
3. 拒绝：丢弃匹配到的数据包，并向发送者(源IP)反馈相关错误信息
4. 忽略：对来访的数据包不做任何处理，直接记录到日志，此动作必须配合记录到日志功能一起使用。

案例-1：内网用迅雷下载的人太多，影响网速，需要禁止掉迅雷的 15000/UDP 端口

图 11.1. 禁止下载端口

案例-2：内网某主机中了“机器狗”病毒，经观察，发现其会定时访问一些外网IP，并下载病毒和木马程序，为了安全期间，需要禁止内网访问这些IP。这些IP是 218.30.64.194, 60.190.118.211, 58.221.254.103。

添加3条规则，每条规则的设置和下面类似，只是目的IP不同：

图 11.2. 禁止访问目的IP


10.3. 启用网址/关键字过滤		第 12 章端口镜像