PIX访问控制列表和内容过滤(2) 二、把conduit转换成ACL www.zhishiwu.com 在PIX防火墙配置中建议使用ACL而不是conduit。 access-list命令在PIX防火墙中与Cisco IOS中使用相同的语法,但是两者由一个很重要的区别。在PIX防火墙中,access-list命令与其他命令一样指定子网掩码,这一点与Cisco IOS版本中的access-list命令是完全不同的。 ACL和conduit最重要的相同点大概就是两个命令都可以结合static命令来允许或拒绝从PIX防火墙的外部网络到位于内部网络上主机的TCP/UDP服务的访问。更确切地说,这两个命令都可以用来允许或拒绝从具有较低安全级别地接口到具有较高安全级别地接口地连接。 conduit定义了可以在这两个接口之间流动地流量,且通过允许从一个接口访问位于另一个接口上的主机,在PIX防火墙的适应性算法(ASA)中创建了一个例外。相比而言,在access-group命令中用到的access-list命令仅仅作用于耽搁接口上,且会影响进入该接口的所有流量,而不管该接口的安全级别。同时,ACL在最后由一条隐含的deny规则。一旦在一个接口上应用ACL,进入该接口的所有inbound数据包必须遵守该ACL的规则,而不管该接口的安全级别。 下面列出ACL和conduit的特性:●access-list命令只有通过access-group命令将其捆绑到一个接口上才能控制访问,而conduit根本不需要绑定到一个接口上;●配置时,access-list和access-group命令比conduit命令具有更高的优先级;●ACL比conduit更灵活。可以限制从具有较高安全级别的接口到具有较低安全级别的接口的连接,也可以允许或拒绝从拥有较低安全级别的接口到拥有较高安全级别的接口的连接。 由于在未来版本的PIX防火墙中将不提供对conduit的支持,所以有必要将配置中已有的conduit命令转换成ACL。 conduit permit | deny protocol global_ip global_mask operator port [port] foreign_ip foreign_mask [operator port [port]] access-list acl_ID [line line_num] deny | permit protocol source_addr source_mask [operator port [port]] destination_addr destination_mask operator port [port] 将conduit命令中的参数搬到access-list命令中来使用,可以把conduit转换成ACL。这种变动的确有效,因为conduit命令中的foreign_ip参数与access-list命令中的source_addr参数是相同的,conduit命令中的global_ip参数与access-list命令中的destination_addr参数是相同的。以下是把conduit命令替换为access-list命令的例子。 access-list acl_ID permit | deny protocol foreign_ip foreign_mask [foreign_operator foreign_port [foreign_port]] global_ip global_mask global_operator global_port [global_port] 下面列出一条conduit命令语句及其与之等价的access-list命令语句。conduit permit tcp host 172.18.0.10 eq ftp 172.18.0.0 255.255.255.0access-list 102 permit tcp 172.18.0.0 255.255.255.0 host 172.18.0.10 eq ftp
PIX访问控制列表和内容过滤(2) 二、把conduit转换成ACL www.zhishiwu.com 在PIX防火墙配置中建议使用ACL而不是conduit。 access-list命令在PIX防火墙中与Cisco IOS中使用相同的语法,但是两者由一个很重要的区别。在PIX防火墙中,access-list命令与其他命令一样指定子网掩码,这一点与Cisco IOS版本中的access-list命令是完全不同的。 ACL和conduit最重要的相同点大概就是两个命令都可以结合static命令来允许或拒绝从PIX防火墙的外部网络到位于内部网络上主机的TCP/UDP服务的访问。更确切地说,这两个命令都可以用来允许或拒绝从具有较低安全级别地接口到具有较高安全级别地接口地连接。 conduit定义了可以在这两个接口之间流动地流量,且通过允许从一个接口访问位于另一个接口上的主机,在PIX防火墙的适应性算法(ASA)中创建了一个例外。相比而言,在access-group命令中用到的access-list命令仅仅作用于耽搁接口上,且会影响进入该接口的所有流量,而不管该接口的安全级别。同时,ACL在最后由一条隐含的deny规则。一旦在一个接口上应用ACL,进入该接口的所有inbound数据包必须遵守该ACL的规则,而不管该接口的安全级别。 下面列出ACL和conduit的特性:●access-list命令只有通过access-group命令将其捆绑到一个接口上才能控制访问,而conduit根本不需要绑定到一个接口上;●配置时,access-list和access-group命令比conduit命令具有更高的优先级;●ACL比conduit更灵活。可以限制从具有较高安全级别的接口到具有较低安全级别的接口的连接,也可以允许或拒绝从拥有较低安全级别的接口到拥有较高安全级别的接口的连接。 由于在未来版本的PIX防火墙中将不提供对conduit的支持,所以有必要将配置中已有的conduit命令转换成ACL。 conduit permit | deny protocol global_ip global_mask operator port [port] foreign_ip foreign_mask [operator port [port]] access-list acl_ID [line line_num] deny | permit protocol source_addr source_mask [operator port [port]] destination_addr destination_mask operator port [port] 将conduit命令中的参数搬到access-list命令中来使用,可以把conduit转换成ACL。这种变动的确有效,因为conduit命令中的foreign_ip参数与access-list命令中的source_addr参数是相同的,conduit命令中的global_ip参数与access-list命令中的destination_addr参数是相同的。以下是把conduit命令替换为access-list命令的例子。 access-list acl_ID permit | deny protocol foreign_ip foreign_mask [foreign_operator foreign_port [foreign_port]] global_ip global_mask global_operator global_port [global_port] 下面列出一条conduit命令语句及其与之等价的access-list命令语句。conduit permit tcp host 172.18.0.10 eq ftp 172.18.0.0 255.255.255.0access-list 102 permit tcp 172.18.0.0 255.255.255.0 host 172.18.0.10 eq ftp