防火牆訪問控制列表

⑴ 路由器中的防火牆，訪問控制列表怎麼設置

訪問控制列表設置：
RouterX(config)#access-list 1 deny 10.0.0.1 0.0.0.0
RouterX(config)#access-list 1 permit 0.0.0.0 255.255.255.255.
RouterX(config)#interface ethernet0
RouterX(config-if)#ip access-group 1 out

說明：把「10.0.0.1「地址改成你想讓上網的IP地址就OK了！

⑵ 關於ASA防火牆中訪問列表的設置

time-range cisco
periodic weekdays 10:10 to 11:20

access-list cisco permit ip any any time-range cisco

屏蔽QQ,最好你用上網行為管理設備吧. 防火牆在7層的工作能力還是有限的
追問
如果我把最底下的any any 改成vlan2可以嗎？因為我們是讓vlan2在特定時間訪問WEB，急！求速答

回答
對.這個第一個any改成你們vlan2的IP地址段. 就行.

⑶ 如何配置ACL訪問控制列表

這個需求是不能通過配置ACL實現的。ACL訪問控制列表是針對文件或者文件夾的訪問控制。你說的這個需求，需要在邊緣防火牆上實現。比如微軟的ISA，或者硬體防火牆。或者也可以有個替代性的方法，就是在銷售部的計算機上host文件裡面加 www.google.com的解析為一個不可用的IP。財務部的所有計算機的host文件裡面添加 www..com的不可用記錄。

⑷ 防火牆一般用在哪裡

網路與網路之間。
防火牆作為一個邊界防禦工具，其監控流量——要麼允許它、要麼屏蔽它。 多年來，防火牆的功能不斷增強，現在大多數防火牆不僅可以阻止已知的一些威脅、執行高級訪問控制列表策略，還可以深入檢查流量中的每個數據包，並測試包以確定它們是否安全。大多數防火牆都部署為用於處理流量的網路硬體，和允許終端用戶配置和管理系統的軟體。越來越多的軟體版防火牆部署到高度虛擬化的環境中，以在被隔離的網路或 IaaS 公有雲中執行策略。
隨著防火牆技術的進步，在過去十年中創造了新的防火牆部署選擇，所以現在對於部署防火牆的最終用戶來說，有了更多選擇。這些選擇包括：
有狀態的防火牆
當防火牆首次創造出來時，它們是無狀態的，這意味著流量所通過的硬體當單獨地檢查被監視的每個網路流量包時，屏蔽或允許是隔離的。從 1990 年代中後期開始，防火牆的第一個主要進展是引入了狀態。有狀態防火牆在更全面的上下文中檢查流量，同時考慮到網路連接的工作狀態和特性，以提供更全面的防火牆。例如，維持這個狀態的防火牆可以允許某些流量訪問某些用戶，同時對其他用戶阻塞同一流量。
基於代理的防火牆
這些防火牆充當請求數據的最終用戶和數據源之間的網關。在傳遞給最終用戶之前，所有的流量都通過這個代理過濾。這通過掩飾信息的原始請求者的身份來保護客戶端不受威脅。
Web 應用防火牆（WAF）
這些防火牆位於特定應用的前面，而不是在更廣闊的網路的入口或者出口上。基於代理的防火牆通常被認為是保護終端客戶的，而 WAF 則被認為是保護應用伺服器的。
防火牆硬體
防火牆硬體通常是一個簡單的伺服器，它可以充當路由器來過濾流量和運行防火牆軟體。這些設備放置在企業網路的邊緣，位於路由器和 Internet 服務提供商（ISP）的連接點之間。通常企業可能在整個數據中心部署十幾個物理防火牆。 用戶需要根據用戶基數的大小和 Internet 連接的速率來確定防火牆需要支持的吞吐量容量。
防火牆軟體
通常，終端用戶部署多個防火牆硬體端和一個中央防火牆軟體系統來管理該部署。 這個中心系統是配置策略和特性的地方，在那裡可以進行分析，並可以對威脅作出響應。
下一代防火牆（NGFW）
多年來，防火牆增加了多種新的特性，包括深度包檢查、入侵檢測和防禦以及對加密流量的檢查。下一代防火牆（NGFW）是指集成了許多先進的功能的防火牆。
有狀態的檢測
阻止已知不需要的流量，這是基本的防火牆功能。
反病毒
在網路流量中搜索已知病毒和漏洞，這個功能有助於防火牆接收最新威脅的更新，並不斷更新以保護它們。
入侵防禦系統（IPS）
這類安全產品可以部署為一個獨立的產品，但 IPS 功能正逐步融入 NGFW。 雖然基本的防火牆技術可以識別和阻止某些類型的網路流量，但 IPS 使用更細粒度的安全措施，如簽名跟蹤和異常檢測，以防止不必要的威脅進入公司網路。 這一技術的以前版本是入侵檢測系統（IDS），其重點是識別威脅而不是遏制它們，已經被 IPS 系統取代了。
深度包檢測（DPI）
DPI 可作為 IPS 的一部分或與其結合使用，但其仍然成為一個 NGFW 的重要特徵，因為它提供細粒度分析流量的能力，可以具體到流量包頭和流量數據。DPI 還可以用來監測出站流量，以確保敏感信息不會離開公司網路，這種技術稱為數據丟失防禦（DLP）。
SSL 檢測
安全套接字層（SSL）檢測是一個檢測加密流量來測試威脅的方法。隨著越來越多的流量進行加密，SSL 檢測成為 NGFW 正在實施的 DPI 技術的一個重要組成部分。SSL 檢測作為一個緩沖區，它在送到最終目的地之前解碼流量以檢測它。
沙盒
這個是被捲入 NGFW 中的一個較新的特性，它指防火牆接收某些未知的流量或者代碼，並在一個測試環境運行，以確定它是否存在問題的能力。

⑸ 配置訪問控制列表必須作的配置是什麼

配置訪問控制列表必須作的配置是：定義訪問控制列表；在介面上應用訪問控制列表；啟動防火牆對數據包過濾。

訪問控制列表(ACL)是一種基於包過濾的訪問控制技術，它可以根據設定的條件對介面上的數據包進行過濾，允許其通過或丟棄。訪問控制列表被廣泛地應用於路由器和三層交換機，藉助於訪問控制列表，可以有效地控制用戶對網路的訪問，從而最大程度地保障網路安全。

(5)防火牆訪問控制列表擴展閱讀：

訪問控制列表具有許多作用，如限制網路流量、提高網路性能；通信流量的控制，例如ACL可以限定或簡化路由更新信息的長度，從而限制通過路由器某一網段的通信流量；提供網路安全訪問的基本手段；在路由器埠處決定哪種類型的通信流量被轉發或被阻塞，例如，用戶可以允許E-mail通信流量被路由，拒絕所有的 Telnet通信流量等。

ARG3系列路由器支持兩種匹配順序：配置順序和自動排序。配置順序按ACL規則編號（rule-id）從小到大的順序進行匹配。通過設置步長，使規則之間留有一定的空間。默認步長是5。路由器匹配規則時默認採用配置順序。自動排序使用「深度優先」的原則進行匹配，即根據規則的精確度排序。

⑹ 思科防火牆，訪問控制列表怎麼設置允許某個IP地址訪問外網

思科的防火牆後台設置里找下，既然有訪問控制列表，肯定是可以設置的，一般的防火牆是可以直接設置地址段落，比如192.168.1.100~192.168.1.120的段落你開放外網這類，也可以反其道而行，只對不允許訪問外網的IP禁外網「MAC地址過濾」中添加你不像讓其上網電腦的MAC地址，或者在防火牆內網監控中可以添加阻斷列表（內網IP）

⑺ 防火牆是什麼有什麼作用

1.什麼是防火牆
防火牆是指設置在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。 它可通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網路內部的信息、結構和運行狀況， 以此來實現網路的安全保護。
在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動， 保證了內部網路的安全。
2.使用Firewall的益處
保護脆弱的服務
通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。例如， Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。
控制對系統的訪問
Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如， Firewall允許外部訪問特定的Mail Server和Web Server。
集中的安全管理
Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行於整個內部網路系統， 而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法， 而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。
增強的保密性
使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Figer和DNS。
記錄和統計網路利用數據以及非法使用數據
Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據， 來判斷可能的攻擊和探測。
策略執行
Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。

3.防火牆的種類
防火牆總體上分為包過濾、應用級網關和代理伺服器等幾大類型。

數 據 包 過 濾
數據包過濾(Packet Filtering)技術是在網路層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯， 被稱為訪問控製表(Access Control Table)。通過檢查數據流中每個數據包的源地址、目的地址、所用的埠號、 協議狀態等因素，或它們的組合來確定是否允許該數據包通過。 數據包過濾防火牆邏輯簡單，價格便宜，易於安裝和使用， 網路性能和透明性好，它通常安裝在路由器上。路由器是內部網路與Internet連接必不可少的設備， 因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費用。
數據包過濾防火牆的缺點有二：一是非法訪問一旦突破防火牆，即可對主機上的軟體和配置漏洞進行攻擊； 二是數據包的源地址、目的地址以及IP的埠號都在數據包的頭部，很有可能被竊聽或假冒。

應 用 級 網 關
應用級網關(Application Level Gateways)是在網路應用層上建立協議過濾和轉發功能。 它針對特定的網路應用服務協議使用指定的數據過濾邏輯，並在過濾的同時，對數據包進行必要的分析、 登記和統計，形成報告。實際中的應用網關通常安裝在專用工作站系統上。
數據包過濾和應用網關防火牆有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數據包通過。 一旦滿足邏輯，則防火牆內外的計算機系統建立直接聯系， 防火牆外部的用戶便有可能直接了解防火牆內部的網路結構和運行狀態，這有利於實施非法訪問和攻擊。

代 理 服 務
代理服務(Proxy Service)也稱鏈路級網關或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人將它歸於應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火牆技術， 其特點是將所有跨越防火牆的網路通信鏈路分為兩段。防火牆內外計算機系統間應用層的" 鏈接"， 由兩個終止代理伺服器上的" 鏈接"來實現，外部計算機的網路鏈路只能到達代理伺服器， 從而起到了隔離防火牆內外計算機系統的作用。此外，代理服務也對過往的數據包進行分析、注冊登記， 形成報告，同時當發現被攻擊跡象時會向網路管理員發出警報，並保留攻擊痕跡。

4.設置防火牆的要素

網路策略
影響Firewall系統設計、安裝和使用的網路策略可分為兩級，高級的網路策略定義允許和禁止的服務以及如何使用服務， 低級的網路策略描述Firewall如何限制和過濾在高級策略中定義的服務。

服務訪問策略
服務訪問策略集中在Internet訪問服務以及外部網路訪問（如撥入策略、SLIP/PPP連接等）。 服務訪問策略必須是可行的和合理的。可行的策略必須在阻止已知的網路風險和提供用戶服務之間獲得平衡。 典型的服務訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內部主機和服務； 允許內部用戶訪問指定的Internet主機和服務。

防火牆設計策略
防火牆設計策略基於特定的Firewall，定義完成服務訪問策略的規則。通常有兩種基本的設計策略： 允許任何服務除非被明確禁止；禁止任何服務除非被明確允許。第一種的特點是安全但不好用， 第二種是好用但不安全，通常採用第二種類型的設計策略。 而多數防火牆都在兩種之間採取折衷。

增強的認證
許多在Internet上發生的入侵事件源於脆弱的傳統用戶/口令機制。多年來，用戶被告知使用難於猜測和破譯口令， 雖然如此，攻擊者仍然在Internet上監視傳輸的口令明文，使傳統的口令機制形同虛設。增強的認證機制包含智能卡， 認證令牌，生理特徵（指紋）以及基於軟體（RSA）等技術，來克服傳統口令的弱點。雖然存在多種認證技術， 它們均使用增強的認證機制產生難被攻擊者重用的口令和密鑰。 目前許多流行的增強機制使用一次有效的口令和密鑰（如SmartCard和認證令牌）。

5.防火牆在大型網路系統中的部署
根據網路系統的安全需要，可以在如下位置部署防火牆：
區域網內的VLAN之間控制信息流向時。

Intranet與Internet之間連接時(企業單位與外網連接時的應用網關)。

在廣域網系統中，由於安全的需要，總部的區域網可以將各分支機構的區域網看成不安全的系統， （通過公網ChinaPac，ChinaDDN，Frame Relay等連接）在總部的區域網和各分支機構連接時採用防火牆隔離， 並利用VPN構成虛擬專網。

總部的區域網和分支機構的區域網是通過Internet連接，需要各自安裝防火牆，並利用NetScreen的VPN組成虛擬專網。

在遠程用戶撥號訪問時，加入虛擬專網。

ISP可利用NetScreen的負載平衡功能在公共訪問伺服器和客戶端間加入防火牆進行負載分擔、 存取控制、用戶認證、流量控制、日誌紀錄等功能。

兩網對接時，可利用NetScreen硬體防火牆作為網關設備實現地址轉換(NAT)，地址映射（MAP）， 網路隔離（DMZ）, 存取安全控制，消除傳統軟體防火牆的瓶頸問題。

6.防火牆在網路系統中的作用

防火牆能有效地防止外來的入侵，它在網路系統中的作用是：

控制進出網路的信息流向和信息包；
提供使用和流量的日誌和審計；
隱藏內部IP地址及網路結構的細節；
提供VPN功能；
參考資料：http://www.chinaitlab.com/www/news/article_show.asp?id=12144
回答者：愛上了蓮 - 舉人 四級 12-1 18:06

--------------------------------------------------------------------------------

評價已經被關閉 目前有 1 個人評價
好
100% （1） 不好
0% （0）

其他回答 共 5 條

用來阻擋信息的，像木馬什麼的，也能被阻隔
回答者：homejin - 試用期 一級 12-1 18:01

--------------------------------------------------------------------------------

防火牆定義

防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。

防火牆的功能

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

為什麼使用防火牆

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

防火牆的類型

防火牆有不同類型。一個防火牆可以是硬體自身的一部分，你可以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行，該機器作為它背後網路中所有計算機的代理和防火牆。最後，直接連在網際網路的機器可以使用個人防火牆。

⑻ 請分析訪問控制列表（ACL）與包過濾防火牆的區別

ACL一般用在交換機和路由器上，應用的時候是有方向的（入方向或者出方向），我們知道數據包是有來有回的，acl只能做到單向訪問限制。比如交換機上配了2個vlan，vlan10和vlan20，vlan10的192.168.10.1訪問vlan20的192.168.20.1，如果在vlan10上啟用acl應用在inbound方向，策略為允許192.168.10.1訪問192.168.20.1，然後又在vlan20上啟用acl應用在inbound方向，策略為192.168.20.1拒絕訪問192.168.10.1。這種情況下其實兩邊都是不通的。應為從192.168.10.1ping192.168.20.1去的時候是可以到達的，但是回來的時候就讓vlan20上的acl給阻止了。
但是如果交換機換成防火牆就不一樣了，防火牆是基於5元組的包過濾的方式實現的訪問控制，如果是上面同樣的配置，那麼結果就是192.168.10.1能訪問192.168.20.1，反過來就不通了。
因為192.168.10.1去訪問192.168.20.1的時候這條會話會別標記，能去就能會，這是跟acl的本質區別，能記錄數據的來回，而acl做不到。
手打，謝謝。

⑼ 思科asa防火牆上內網地址對外網地址做過映射後，訪問控制列表用映射前還是後的地址

這個取決於你的os版本，如果是8.4之前的那麼放行的是為nat前的地址（公網地址），8.4之後包括8.4都是放行轉換後的地址（私網地址）。