海蜘蛛用户手册-主页--->ACL 规则

ACL 规则

ACL 是指根据协议类型、IP地址、端口等特征自定义防火墙规则,根据数据包传输的方向和对象不同,可以分为以下两种:

  • 进入(Incoming)

    数据包的最终目的地是路由,来源是外网IP或内网主机。

    应用场合举例: 禁止外网某些IP访问路由,比如要禁止 210.249.xx.xx 这个IP访问路由的Web管理。

  • 转发(Forward)

    数据包的最终目的地是内网主机或外网IP,来源是外网IP或内网主机。路由处于中间,对数据包进行转发。

    应用场合举例: 禁止内网访问外网的某些IP或端口,比如要禁止迅雷的 15000/UDP 下载端口。

下面这个图描述了两者之间的区别:


                         
        +-------------.                       .--------------+
        |              \  ACL转发(内->外)    /               |
        |  +---------.  `-------------------'  .----------+  |
        |  |          \                       /           |  |
        |  |           \   ACL转发(外->内)   /            |  |
        |  V            `-------------------'             |  V
  +---------------+     +------------------+       +----------------+
  | 局域网主机(PC)|     |   路由(Router)   |       | 外网(Internet) |
  +---------------+     +------------------+       +----------------+
         |                       /\                        |
         |                       ||                        |
         |                       ||                        |
         +_______________________++________________________+
             ACL进入                   ACL进入

主要参数格式说明:
  • 源/目的IP

    为空表示所有IP,有如下3种表示方法:

    1. 单个IP,比如:192.168.0.1
    2. IP网络,比如:192.168.0.0/24 或 192.168.0.0/255.255.255.0
    3. IP地址段,比如:192.168.0.1-192.168.0.200
  • 源/目的端口

    为空表示所有端口,有如下3种表示方法:

    1. 单个端口,比如:8080
    2. 多个离散端口,比如:137,139,445
    3. 连续端口,比如:80-8000 (80到8000之间的所有端口)
  • 匹配动作

    1. 通过:允许匹配的数据包通过
    2. 丢弃:丢弃匹配到的数据包,不反馈任何错误信息
    3. 拒绝:丢弃匹配到的数据包,并向发送者(源IP)反馈相关错误信息
    4. 忽略:对来访的数据包不做任何处理,直接记录到日志,此动作必须配合 记录到日志 功能一起使用。

案例-1:内网用迅雷下载的人太多,影响网速,需要禁止掉迅雷的 15000/UDP 端口

禁止下载端口

图 12.1. 禁止下载端口


案例-2:内网某主机中了“机器狗”病毒,经观察,发现其会定时访问一些外网IP,并下载病毒和木马程序,为了安全期间,需要禁止内网访问这些IP。这些IP是 218.30.64.194, 60.190.118.211, 58.221.254.103。

添加3条规则,每条规则的设置和下面类似,只是目的IP不同:

禁止访问目的IP

图 12.2. 禁止访问目的IP