巧设防火墙封杀特定网址-网络通信专区

巧设防火墙封杀特定网址

作者：李瑞祥编辑：唐川 2007-09-10 00:00 来源：IT168�

　　二、在PIX520防火墙上了解当前访问列表的使用情况。

　　由于我们在PIX520防火墙上作了限制TELNET访问的限制，只有192.168的网段可以

通过TELNET的方式登录上去，所以我们要先登录3层交换机（192.168.3.1），再从3层

交换机上登录过去，先看一下当前配置：

　　telnet 192.168.201.1
　　Trying 192.168.201.1 ... Open
　　User Access Verification
　　Password:
　　Type help or '?' for a list of available commands.
　　pixfirewall> en
　　Password: ******
　　pixfirewall# show run
　　: Saved
　　:
　　PIX Version 6.2(2)
　　nameif ethernet0 outside security0
　　nameif ethernet1 inside security100
　　（以下省略）

　　出于安全方面的考虑，PIX防火墙的具体配置我就不列出了，把与本文有关的内容

列出，重点应该看以下两条：

　　access-group acl_inside in interface outside
　　access-group acl_inside in interface inside
　　即当前应用的访问列表为acl_inside，然后再看acl_inside是如何写的：
　　access-list acl_inside deny udp any any eq tftp
　　access-list acl_inside deny tcp any any eq 135
　　access-list acl_inside deny udp any any eq 135
　　access-list acl_inside deny tcp any any eq 137
　　access-list acl_inside deny udp any any eq netbios-ns
　　access-list acl_inside deny tcp any any eq 138
　　access-list acl_inside deny udp any any eq netbios-dgm
　　access-list acl_inside deny tcp any any eq netbios-ssn
　　access-list acl_inside deny udp any any eq 139
　　access-list acl_inside deny tcp any any eq 445
　　access-list acl_inside deny tcp any any eq 593
　　access-list acl_inside deny tcp any any eq 4444
　　access-list acl_inside permit ip any any
　　access-list acl_inside permit tcp any any eq 1723
　　access-list acl_inside permit gre any any

　　从中我们可以看到原访问列表只是对某些端口的使用做了限制，而不涉及对某个IP

地址进行访问的限制，为了稳妥起见，我们要先清楚的了解访问列表的格式，如下：

　　pixfirewall(config)# access-list ?
　　Usage: [no] access-list compiled
　　[no] access-list <id> compiled
　　[no] access-list <id> deny|permit <protocol>|object-group

<protocol_obj_grp_id>
　　<sip> <smask> | object-group <network_obj_grp_id>
　　[<operator> <port> [<port>] | object-group <service_obj_grp_id>]
　　<dip> <dmask> | object-group <network_obj_grp_id>
　　[<operator> <port> [<port>] | object-group <service_obj_grp_id>]
　　[no] access-list <id> deny|permit icmp
　　<sip> <smask> | object-group <network_obj_grp_id>
　　<dip> <dmask> | object-group <network_obj_grp_id>
　　[<icmp_type> | object-group <icmp_type_obj_grp_id>]

　　从帮助信息中大致了解到应该先写源IP，后写目标IP，因此对于我们想限制对于某

个IP地址的访问就应该写成access-list acl_inside deny ip any host 58.61.155.44

第1页：一、得到某网址与IP地址的对应关系第2页：　　二、在PIX520防火墙上了解当前访问列表的使用情况。第3页：　　三、具体的操作步骤第4页：　　四、验证是否真正的对某个IP地址进行了限制

关注我们

巧设防火墙 封杀特定网址

巧设防火墙封杀特定网址