防火墻的配置

1、標(biāo)準(zhǔn)標(biāo)準(zhǔn)ACL和擴(kuò)展和擴(kuò)展ACL的區(qū)別的區(qū)別ACL的分類(lèi)目前有兩種主要的ACL:標(biāo)準(zhǔn)ACL和擴(kuò)展ACL。這兩種ACL的區(qū)別是，標(biāo)準(zhǔn)ACL只檢查數(shù)據(jù)包的源地址擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址，也檢查數(shù)據(jù)包的目的地址，同時(shí)還可以檢查數(shù)據(jù)包的特定協(xié)議類(lèi)型、端口號(hào)等。網(wǎng)絡(luò)管理員可以使用標(biāo)準(zhǔn)ACL阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量，或者允許來(lái)自某一特定網(wǎng)絡(luò)的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。擴(kuò)展ACL比標(biāo)準(zhǔn)ACL提供了更廣泛的

2、控制范圍。例如，網(wǎng)絡(luò)管理員如果希望做到“允許外來(lái)的Web通信流量通過(guò)，拒絕外來(lái)的FTP和Tel等通信流量”，那么，他可以使用擴(kuò)展ACL來(lái)達(dá)到目的，標(biāo)準(zhǔn)ACL不能控制這么精確。在路由器配置中，標(biāo)準(zhǔn)ACL和擴(kuò)展ACL的區(qū)別是由ACL的表號(hào)來(lái)體現(xiàn)的，上表指出了每種協(xié)議所允許的合法表號(hào)的取值范圍。反掩碼反掩碼[編輯本段]通配符掩碼(wildcardmask)路由器使用的通配符掩碼(或反掩碼)與源或目標(biāo)地址一起來(lái)分辨匹配的地址范圍，它跟子網(wǎng)掩碼剛

3、好相反。它像子網(wǎng)掩碼告訴路由器IP地址的哪一位屬于網(wǎng)絡(luò)號(hào)一樣，通配符掩碼告訴路由器為了判斷出匹配，它需要檢查IP地址中的多少位。這個(gè)地址掩碼對(duì)使我們可以只使用兩個(gè)32位的號(hào)碼來(lái)確定IP地址的范圍。這是十分方便的，因?yàn)槿绻麤](méi)有掩碼的話，你不得不對(duì)每個(gè)匹配的IP客戶(hù)地址加入一個(gè)單獨(dú)的訪問(wèn)列表語(yǔ)句。這將造成很多額外的輸入和路由器大量額外的處理過(guò)程。所以地址掩碼對(duì)相當(dāng)有用。在子網(wǎng)掩碼中，將掩碼的一位設(shè)成1表示IP地址對(duì)應(yīng)的位屬于網(wǎng)絡(luò)地址部分。相

4、反，在訪問(wèn)列表中將通配符掩碼中的一位設(shè)成1表示IP地址中對(duì)應(yīng)的位既可以是1又可以是0。有時(shí)，可將其稱(chēng)作“無(wú)關(guān)”位，因?yàn)槁酚善髟谂袛嗍欠衿ヅ鋾r(shí)并不關(guān)心它們。掩碼位設(shè)成0則表示IP地址中相對(duì)應(yīng)的位必須精確匹配。[編輯本段]通配符掩碼值為：廣播全1(二進(jìn)制)地址減去子網(wǎng)掩碼二制制值，即：11111111.11111111.11111111.1111111111111111.11111111.11111111.11111000得到結(jié)果為：000

5、00000.00000000.00000000.00000111轉(zhuǎn)換為十進(jìn)制：0.0.0.7(2)、通配符掩碼=255掩碼.255掩碼.255掩碼.255掩碼，即：255255.255255.255255.255248=0.0.0.7二、求子網(wǎng)掩碼255.255.128.0通配符掩碼(反掩碼)(1)、把子網(wǎng)掩碼255.255.128.0轉(zhuǎn)換成二進(jìn)制為：11111111.11111111.10000000.0000000通配符掩碼值為：廣

6、播全1(二進(jìn)制)地址減去子網(wǎng)掩碼二制制值，即：11111111.11111111.11111111.1111111111111111.11111111.10000000.0000000得到結(jié)果為：00000000.00000000.01111111.11111111轉(zhuǎn)換為十進(jìn)制：0.0.127.255(2)、通配符掩碼=255掩碼.255掩碼.255掩碼.255掩碼，即：255255.255255.255128.2550=0.0.127