文章出自:
http://blog.sina.com.cn/s/blog_599767520100a9sg.html ACL设置
规则编辑页面
规则编辑页面用于编辑或添加某个用户定义规则。页面如下图所示:
安易防火墙ACL规则编辑页面
各个参数简述如下:
1) 规则号描述
规则号是按照从小到大方式处理,规则号越小,优先处理的级别越高
2) 源地址设置
选项“srcip”,表明此规则匹配指定的一个来源IP地址;
3) 目标地址设置
选项“dstip”,表明此规则匹配指定的一个目标IP地址;
4) 协议选项设置
选项“proto”,表明此规则匹配指定的协议范围;“协议范围”指示规则匹配的报文的协议类型,分为IP,TCP,UDP,ICMP,IGMP等几种。其中,TCP、UDP及ICMP是最常用的互联网通讯协议;
源埠设置
源埠(Sport)是指一个发送出去的分组的 TCP/UDP 埠。
目的埠设置
目的埠(Dport)是指一个接收分组的 TCP/UDP 埠。例如:WWW-HTTP PORT 80, FTP PORT 21, MSTSC PORT 3389.
Tcpflags标志位
TCP协议设置的特定域,指示规则匹配报文的TCP标志位
常见的Tcp标志位有:
ECE ECN-Echo
CWR Congestion window reduction 因堵塞减少活动窗口
URG Urgent pointer 紧急指针
ACK Acknowledment number 确认序列号
PSH Push 转交上层
RST Reset connection 释放等待重新建立连接
SYN Synchronize sequence numbers 同步连接序号
FIN End of data 数据传送完毕
Content
指示规则匹配IP报文中的出现特定的、未加密的关键词。关键词一定要使用16进制表示。
Icmptype代码
ICMP协议设置的特定域,指示规则匹配报文的ICMP数值;
例如:发送ping请求的ICMPTYPE 是 8
回应ping请求的ICMPTYPE 是 0
traceroute 的ICMPTYPE 是 11
Iplen设置
指示该规则匹配IP报文的长度;
例如,某个服务器收到一些TCP数据包,size 是73,怎么得知它的ip包大小呢?
我们知道Ethernet II的头部是由源MAC(48比特,6个位元组)+目的MAC+类型字段元(16比特,2个字节)组成,一共是14字节。
IP是封装在Ethernet II里的,我们把包总字节数减去Ethernet II头部的14字节就是这个TCP数据包的IP长度大小;即是73-14=59。
Smac
源网络接口MAC地址;
Dmac
目标网络接口MAC地址;