防火墻的安裝和配置培訓資料

1、防火墻的安裝和配置8.1 防火墻安裝防火墻安裝8.1.1 PIX防火墻安裝定制防火墻安裝定制在開始考慮安裝在開始考慮安裝PIX之前，必須決定哪種之前，必須決定哪種PIX模式能夠滿足你模式能夠滿足你的業(yè)務需要。的業(yè)務需要。PIX系列產(chǎn)品中有許多相同的特征和功能；每系列產(chǎn)品中有許多相同的特征和功能；每個個PIX模式中接口和連接數(shù)量是不同的。下面的問題將幫助模式中接口和連接數(shù)量是不同的。下面的問題將幫助理解你的網(wǎng)絡需求，并把你的注意力集中到防火墻必須包含理解你的網(wǎng)絡需求，并把你的注意力集中到防火墻必須包含的服務和性能上。的服務和性能上。l有多少用戶（連接）將會通過防火墻？有多少用戶（連接）將會通過防

2、火墻？l防火墻支持語音和多媒體應用嗎？防火墻支持語音和多媒體應用嗎？l本單位需要多少接口？本單位需要多少接口？l本單位需要本單位需要VPN服務嗎？若需要，安全級別是什么：服務嗎？若需要，安全級別是什么：56位位DES、168位位3DES還是兩者都要？還是兩者都要？l防火墻需要如防火墻需要如VPN加速卡等附件設備嗎？加速卡等附件設備嗎？l本單位希望使用本單位希望使用PIX設備管理器嗎？設備管理器嗎？l本單位需要用容錯性嗎？本單位需要用容錯性嗎？回答這些問題不僅能幫助你為單位選擇適當?shù)幕卮疬@些問題不僅能幫助你為單位選擇適當?shù)腜IX模型，模型，還能幫助你購買正確的許可證。還能幫助你購買正確的許可證。

3、8.1.2 安裝前安裝前部署中的安裝前階段是確定部署中的安裝前階段是確定PIX型號、許可證、特性和型號、許可證、特性和物理位置的階段物理位置的階段。l 選擇許可證選擇許可證l 選擇選擇PIX型號型號1.選擇許可證選擇許可證l 無限制（無限制（Unrestricted） 當防火墻使用無限制（當防火墻使用無限制（UR）許可證時允許安裝和使用最大數(shù)量的接口和許可證時允許安裝和使用最大數(shù)量的接口和RAM。無。無限制許可證支持故障倒換功能。限制許可證支持故障倒換功能。 l 受限（受限（Restricted） 當防火墻使用受限制（當防火墻使用受限制（R）許可證）許可證時，其支持的接口數(shù)量受到限制，另外，系

4、統(tǒng)中的時，其支持的接口數(shù)量受到限制，另外，系統(tǒng)中的RAM的可用數(shù)量也受到限制。一個使用受限制許可證的可用數(shù)量也受到限制。一個使用受限制許可證的防火墻不能通過配置故障倒換功能來實現(xiàn)冗余。的防火墻不能通過配置故障倒換功能來實現(xiàn)冗余。 l 故障倒換（故障倒換（Failover） 當使用故障倒換（當使用故障倒換（FO）軟件許）軟件許可證的可證的PIX防火墻與使用無限制許可證的防火墻與使用無限制許可證的PIX防火墻協(xié)防火墻協(xié)同工作時，將被置于故障倒換模式。同工作時，將被置于故障倒換模式。 2選擇PIX型號防火墻型號許可證選項受限無限制故障倒換（Failover）加密PIX50110位用戶許可證50位用戶

5、許可證N/A56位DES和/或168位3DESPIX50656位DES168位3DESN/A56位DES和/或168位3DESPIX515515-R（5000條并發(fā)連接和2個接口）與515-R-BUN（10000條并發(fā)連接和3個接口）515-UR（10000條并發(fā)連接，F(xiàn)ailover功能和6個接口） 515-Failover束（提供備用Failover防火墻）56位DES和/或168位3DESPIX525525-R（6個接口，多達280，000條并發(fā)連接）525-UR（8個接口，F(xiàn)ailover支持，多達280，000條并發(fā)連接）525-Failover束（提供備用Failover防火墻）5

6、6位DES和/或168位3DESPIX535535-R（6個接口，多達500，000條并發(fā)連接）535-UR（8個接口，F(xiàn)ailover支持，多達500，000條并發(fā)連接）535-Failover束（提供備用Failover防火墻）56位DES和/或168位3DES型號選擇主要基于兩個方面：性能和容錯性。型號選擇主要基于兩個方面：性能和容錯性。 l性能被分為兩類：吞吐量和并發(fā)連接。性能被分為兩類：吞吐量和并發(fā)連接。l容錯性是在容錯性是在PIX515平臺中第一次被引入。平臺中第一次被引入。8.1.3 安裝安裝接口配置接口配置電纜連接電纜連接1. 初始初始PIX輸入輸入1.接口配置在PIX上對安全

7、策略進行配置的第一步是確定要使用的接口并收集他的基本配置信息。每一個PIX都至少有兩個接口：內(nèi)部接口（較安全）和外部接口（較不安全）。使用表8-2可以幫組你簡化配置PIX接口的過程，記錄每個接口的基本信息是有用的。防火墻配置外部網(wǎng)內(nèi)部網(wǎng)接口1接口2接口3接口接口速度IP地址和掩碼接口名：HW接口名：SW安全級別MTU大小2.電纜連接電纜連接在啟動在啟動PIX之前，把控制端口（之前，把控制端口（Console）電纜連接到）電纜連接到PC機機（通常是便于移動的筆記本電腦）的（通常是便于移動的筆記本電腦）的COM端口，再通過端口，再通過Windows系統(tǒng)自帶的超級終端（系統(tǒng)自帶的超級終端（Hyper

8、Terminal）程序進）程序進行選項配置。防火墻的初始配置物理連接與前面介紹的交換行選項配置。防火墻的初始配置物理連接與前面介紹的交換機初始配置連接方法一樣，如圖機初始配置連接方法一樣，如圖8-1所示。所示。3.初始初始PIX輸入輸入當當PIX515通電后，會看到前置面板上的通電后，會看到前置面板上的3個個LED燈，如燈，如圖圖8-2所示，分別標有所示，分別標有POWER，NETWORK 和和ACT。當防火墻部件是活動的當防火墻部件是活動的failover時，時，ACT LED會亮。如會亮。如果沒有配置果沒有配置Failover，ACT LED將總是亮著。當至少將總是亮著。當至少一個接口通過

9、流量時，一個接口通過流量時，NETWORK LED會亮。會亮。當你第一次啟動當你第一次啟動PIX防火墻的時候，你應該看到如圖防火墻的時候，你應該看到如圖8-3所所示的以下輸出：示的以下輸出：8.2 防火墻配置防火墻配置 8.2.1 防火墻的基本配置原則防火墻的基本配置原則拒絕所有的流量，這需要在你的網(wǎng)絡中特殊指定能夠進入拒絕所有的流量，這需要在你的網(wǎng)絡中特殊指定能夠進入和出去的流量的一些類型。和出去的流量的一些類型。 允許所有的流量，這種情況需要你特殊指定要拒絕的流量允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。大多數(shù)防火墻默認都是拒絕所有的流量作為安全的類型。大多數(shù)防火墻默認都是

10、拒絕所有的流量作為安全選項。一旦你安裝防火墻后，你需要打開一些必要的端口選項。一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內(nèi)的用戶在通過驗證之后可以訪問系統(tǒng)。換句來使防火墻內(nèi)的用戶在通過驗證之后可以訪問系統(tǒng)。換句話說，如果你想讓你的員工們能夠發(fā)送和接收話說，如果你想讓你的員工們能夠發(fā)送和接收Email，你，你必須在防火墻上設置相應的規(guī)則或開啟允許必須在防火墻上設置相應的規(guī)則或開啟允許POP3和和SMTP的進程。的進程。在防火墻的配置中，我們首先要遵循的原則就是安全實用，在防火墻的配置中，我們首先要遵循的原則就是安全實用，從這個角度考慮，在防火墻的配置過程中需堅持以下三個基從這個角度考

11、慮，在防火墻的配置過程中需堅持以下三個基本原則：本原則：1簡單實用：簡單實用：2全面深入：全面深入： 3內(nèi)外兼顧：內(nèi)外兼顧：8.2.2 防火墻的初始配置防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此始配置。但因各種防火墻的初始配置基本類似，所以在此僅以僅以Cisco PIX防火墻為例進行介紹。防火墻為例進行介紹。防火墻與路由器一樣也有四種用戶配置模式，即：防火墻與路由器一樣也有四種用戶配置模式，即：非特權非特權模式（模式（Unprivileged mode）、特權模式（）、特

12、權模式（Privileged Mode）、配置模式（）、配置模式（Configuration Mode）和端口模式）和端口模式（Interface Mode），），進入這四種用戶模式的命令也與路進入這四種用戶模式的命令也與路由器一樣：由器一樣：防火墻的具體配置步驟如下：防火墻的具體配置步驟如下：1將防火墻的將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個空余串口上，如圖余串口上，如圖8-1。2打開打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機。防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主

13、機。 3運行筆記本電腦運行筆記本電腦Windows系統(tǒng)中的超級終端（系統(tǒng)中的超級終端（HyperTerminal）程序（通常在）程序（通常在“附附件件”程序組中）。對超級終端的配置與交換機或路由器的配置一樣，參見本教程前面有程序組中）。對超級終端的配置與交換機或路由器的配置一樣，參見本教程前面有關介紹。關介紹。 4當當PIX防火墻進入系統(tǒng)后即顯示防火墻進入系統(tǒng)后即顯示“pixfirewall”的提示符，這就證明防火墻已啟動的提示符，這就證明防火墻已啟動成功，所進入的是防火墻用戶模式?？梢赃M行進一步的配置了。成功，所進入的是防火墻用戶模式?？梢赃M行進一步的配置了。 5輸入命令：輸入命令：enab

14、le，進入特權用戶模式，此時系統(tǒng)提示為：，進入特權用戶模式，此時系統(tǒng)提示為：pixfirewall#。 6輸入命令：輸入命令：configure terminal，進入全局配置模式，對系統(tǒng)進行初始化設置。，進入全局配置模式，對系統(tǒng)進行初始化設置。 7. 配置保存：配置保存：write memory8. 退出當前模式：退出當前模式：exit9. 查看當前用戶模式下的所有可用命令：查看當前用戶模式下的所有可用命令：show，在相應用戶模式下鍵入這個命令后，在相應用戶模式下鍵入這個命令后，即顯示出當前所有可用的命令及簡單功能描述。即顯示出當前所有可用的命令及簡單功能描述。10. 查看端口狀態(tài)：查看端

15、口狀態(tài)：show interface，這個命令需在特權用戶模式下執(zhí)行，執(zhí)行后即顯，這個命令需在特權用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。示出防火墻所有接口配置情況。 11. 查看靜態(tài)地址映射：查看靜態(tài)地址映射：show static，這個命令也須在特權用戶模式下執(zhí)行，執(zhí)行后顯，這個命令也須在特權用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當前靜態(tài)地址映射情況。示防火墻的當前靜態(tài)地址映射情況。8.3 配置配置Cisco PIX防火墻防火墻這里我們選用第三種方式配置這里我們選用第三種方式配置Cisco PIX 525防火墻。防火墻。1同樣是用一條串行電纜從電腦的同樣是用一條串行電纜從電腦的C

16、OM口連到口連到Cisco PIX 525防火墻的防火墻的console口；口；2開啟所連電腦和防火墻的電源，進入開啟所連電腦和防火墻的電源，進入Windows系系統(tǒng)自帶的統(tǒng)自帶的“超級終端超級終端”，通訊參數(shù)可按系統(tǒng)默然。進入防，通訊參數(shù)可按系統(tǒng)默然。進入防火墻初始化配置，在其中主要設置有：火墻初始化配置，在其中主要設置有：Date(日期日期)、time(時間時間)、hostname(主機名稱主機名稱)、inside ip address(內(nèi)部網(wǎng)內(nèi)部網(wǎng)卡卡IP地址地址)、domain(主域主域)等，完成后也就建立了一個初等，完成后也就建立了一個初始化設置了。此時的提示符為：始化設置了。此時的

17、提示符為：pixfirewall。 3輸入輸入enable命令，進入命令，進入Pix 525特權用戶模式，默特權用戶模式，默然密碼為空。然密碼為空。缺省情況下，缺省情況下，enable命令假定用戶嘗試接入的特權級別是命令假定用戶嘗試接入的特權級別是15（最高特權級別）。在配置（最高特權級別）。在配置PIX的基本網(wǎng)絡接入的時候，的基本網(wǎng)絡接入的時候，有一些必須實施；有一些必須實施；l為防火墻接口分配為防火墻接口分配IP地址；地址；l配置防火墻名稱、域名和密碼；配置防火墻名稱、域名和密碼；l設置防火墻路由；設置防火墻路由；l配置防火墻的遠程管理接入功能；配置防火墻的遠程管理接入功能；l為出站流量設

18、置地址轉(zhuǎn)換；為出站流量設置地址轉(zhuǎn)換；l配置配置ACL；l配置防火墻日志。配置防火墻日志。8.3.1 在防火墻接口上分配在防火墻接口上分配IP地址地址要在網(wǎng)絡中通信，防火墻需要在其接口上指定要在網(wǎng)絡中通信，防火墻需要在其接口上指定IP地址。這地址。這項工作在項工作在PIX的的6.x和和7.x版本中的實施有區(qū)別，但是基本步版本中的實施有區(qū)別，但是基本步驟是一樣的：驟是一樣的：啟用接口、配置接口參數(shù)、為該接口指定啟用接口、配置接口參數(shù)、為該接口指定IP地址。地址。在在PIX的的6.x版本中分配版本中分配IP地址地址firewall# configure terminalfirewall(config

19、)#firewall(config)# interface ethernet0 autofirewall(config)# interface ethernet1 autofirewall(config)# nameif ethernet0 outside security0firewall(config)# nameif ethernet1 inside security100firewall(config)# ip address outside firewall(config)# ip address inside 192.168.122.

20、1 在在PIX的的7.x版本中分配版本中分配IP地址地址firewall(config)# interface ethernet 2firewall(config-if)#firewall(config-if)# no shutdownfirewall(config-if)# nameif dmz01firewall(config-if)# security-level 50firewall(config-if)# speed autofirewall(config-if)# duplex autofirewall(config-if)# ip address 10.

21、21.67.17 408.3.2 配置防火墻名稱、域名和密碼配置防火墻名稱、域名和密碼firewall(config)# hostname pixpix(config)# domain-name pix.labpix(config)# passwd ciscopix(config)# enable password cisco8.3.3 配置防火墻路由設置配置防火墻路由設置pix(config)# route outside 1該該route命令中末尾的命令中末尾的1指明了下一跳的度量值指明了下一跳的度量值，這是可

22、選，這是可選的。通常缺省路由將會指向防火墻連接到的。通常缺省路由將會指向防火墻連接到Internet的下一的下一跳路由，如跳路由，如Internet服務商網(wǎng)絡中的路由器。服務商網(wǎng)絡中的路由器。8.3.4 配置防火墻管理遠程接入配置防火墻管理遠程接入PIX防火墻支持三種主要的遠程管理接入方式：防火墻支持三種主要的遠程管理接入方式：Telnet;SSH;ASDM/PDM。1.其中其中Telnet和和SSH都是用來提供對防火墻的命令行都是用來提供對防火墻的命令行界面（界面（CLI）方式接入，而）方式接入，而ASDM/PDM提供的則是一提供的則是一種基于種基于HTTPS的圖形化界面（的圖形化界面（GU

23、I）管理控制臺。）管理控制臺。1.配置配置Telnet接入接入pix (config)# telnet 5 55 inside2.配置配置SSH接入接入步驟步驟1 給防火墻分配一個主機名和域名；給防火墻分配一個主機名和域名；步驟步驟2 生產(chǎn)并保存生產(chǎn)并保存RSA密鑰對；密鑰對；步驟步驟3 配置防火墻允許配置防火墻允許SSH接入。接入。pix(config)# ca generate rsa key 1024pix(config)# ca save allpix(config)# crypto key generate rsa modulus 10

24、24pix(config)# ssh 5 55 inside 3.配置配置ASDM/PDM接入接入除了使用除了使用CLI的管理方式之外，的管理方式之外，PIX防火墻還支持一種防火墻還支持一種GUI遠程管理方式。在遠程管理方式。在PIX6.x中，這種管理接口被稱為中，這種管理接口被稱為PIX設備管理器（設備管理器（PDM）。而在）。而在PIX的的7.x，該管理接口，該管理接口被稱為自適應安全設備管理器（被稱為自適應安全設備管理器（ASDM）。）。 pix(config)# http server enablepix(config)# http 10

25、.0.0.0 insideASDM/PDM的接入是通過的接入是通過Web瀏覽器連接到瀏覽器連接到Web服務器服務器的方式來實現(xiàn)的。的方式來實現(xiàn)的。ASDM還可以通過一種基于還可以通過一種基于java的應用的應用來使用來使用ASDM，而不用代開，而不用代開Web瀏覽器，如圖瀏覽器，如圖8-4所示：所示： Cisco ASDM簡介 作為自適應安全設備管理器，Cisco ASDM以圖形界面方式，配置和管理Cisco PIX和Cisco ASA安全設備。Cisco ASDM具有如下特點：1. 集成化管理提高管理效率2. 啟動向?qū)Ъ铀侔踩O備的部署3. 儀表盤提供重要實時系統(tǒng)狀態(tài)信息

26、4. 安全策略管理降低運營成本5. 安全服務實現(xiàn)基于角色的、安全的管理訪問6. VPN管理將安全連接擴展到遠程站點7. 管理服務與應用檢測相互協(xié)作8. 智能用戶界面簡化網(wǎng)絡集成9. 安全管理界面提供一致的管理服務10. 監(jiān)控和報告工具實現(xiàn)關鍵業(yè)務數(shù)據(jù)分析 Cisco ASDM主頁 VPN配置 高級OSPF配置 監(jiān)控和報告工具實現(xiàn)關鍵業(yè)務數(shù)據(jù)分析（1）監(jiān)控工具（2）系統(tǒng)圖（3）連接圖（4）攻擊保護系統(tǒng)圖（5）接口圖（6）VPN統(tǒng)計和連接圖1. 運行ASDMCisco ASDM主窗口 2. 為NAT創(chuàng)建IP地址池（1）指定DMZ的IP地址范圍（2）為外部端口指定IP地址池3. 配置內(nèi)部客戶端訪問D

27、MZ區(qū)的Web服務器5. 為Web服務器配置外部ID4. 配置內(nèi)部客戶端訪問Internet6. 允許Internet用戶訪問DMZ的Web服務8.3.5 對出站實施對出站實施NAT 1在在PIX 6.x中配置中配置NATnat （local-interface） id local-ip mask dns outside | norandomseq max_conns emb_limit pix（config）# nat （insids）1 global （if-name） nat-id global-ip -global-ip netmask global-ma

28、sk | interface pix（config）# global （outside）1 0-5 netmask 40pix（config）# global （outside） 1 interfaceoutside interface address added to PAT poolpix（config）#2在在PIX 7.x中配置中配置NATnat (real-ifc) nat-id real-ip mask dns outside tcp tcp-max-conns emb-limit udp udp-max-conns

29、 norandomseqglobal (mapped-ifc) nat-id mapped-ip -mapped-ip netmask mask | interfacepix(config)# nat-controlpix(config)# nat (inside)1 pix(config)# global (outside)1 0-4 netmask 40pix(config)# global (outside)1 interface INFO: outside interface address

30、 added to PAT poolpix(config)# 8.3.6 配置配置ACLs 配置和實施配置和實施ACL分兩步完成：分兩步完成：定義定義ACL以及實施以及實施ACE；1. 將將ACL應用于某接口。應用于某接口。1定義定義ACL和實施和實施ACEPIX支持多種不同類型的支持多種不同類型的ACL：lEtherType訪問列表訪問列表這種這種ACL根據(jù)根據(jù)EtherType值來過濾值來過濾流量；流量；l擴展訪問列表擴展訪問列表這是最常用的這是最常用的ACL實施類型，它用來對基實施類型，它用來對基于于TCP/IP的流最進行通用目的的過濾；的流最進行通用目的的過濾；l標準訪問列表標準訪問列

31、表該該ACL用來指定目的用來指定目的IP地址，它可以用來地址，它可以用來在路由映射表（在路由映射表（routemap）中進行）中進行OSPF路由重分布；路由重分布；lWebType訪問列表訪問列表該該ACL用來進行用來進行WebVPN的過濾，只的過濾，只在在PIX 7.1或者更新版本中才被支持?；蛘吒掳姹局胁疟恢С?。創(chuàng)建一組創(chuàng)建一組ACL的過程非常簡單直接，通常需要定義如下的的過程非常簡單直接，通常需要定義如下的參數(shù)。參數(shù)。l流量需要通過什么樣的方式去匹配流量需要通過什么樣的方式去匹配ACL中的中的ACE？l需要使用什么樣的協(xié)議？需要使用什么樣的協(xié)議？l流量的源是什么？流量的源是什么？l流量

32、的目的是什么？流量的目的是什么？l使用了哪個使用了哪個/哪些應用端口？哪些應用端口？參數(shù)描述default（可選項）使用缺省的日志方式，即為每個被拒絕的報文發(fā)送同步日志消息106023deny拒絕條件配置報文。在網(wǎng)絡訪問的環(huán)境中（access-group命令），該關鍵字阻止報文穿越安全工具。在類映射（class-map和inspect命令）中進行應用檢查的環(huán)境中，該關鍵字將使得報文免受檢查。一些特性并不允許使用拒絕ACE，比如說NAT。查閱各種特性的命令文檔以獲得更多關于ACL的信息dest_ip指定報文發(fā)往的網(wǎng)絡或者主機的IP地址。在IP地址之前輸入host關鍵字來指定一個單一的地址。在這種

33、情況下，不需要輸入掩碼。輸入any關鍵字以代替地址和掩碼，用來指定所有地址disable(可選項)禁用針對該條ACE的日志icmp_type(可選項)如果協(xié)議是ICMP，指定ICMP類型id指定ACL-ID號,可以是字符串，也可以是最長241個字符的整數(shù)。該ID是區(qū)分大小寫的。提示:使用大寫字母會使你在配置中看到的ACL-ID更直觀inactive(可選項)禁用一條ACE。要重新啟用，輸入整條ACE而不帶inactive關健字。該特性能夠維持一條inactive的ACE的記錄，以便可以更方便地重新啟用擴展擴展ACL的命令語法及其參數(shù)如下所示：的命令語法及其參數(shù)如下所示：access-list

34、id line line-number extended deny | permit protocol | object-group protocol_obj_grp_id src_ip mask | interface ifc_name | object-group network_obj_grp_id operator port | object-group service_obj_grp_id dest_ip mask | interface ifc_name | object-group network_obj_grp_id operator port | object-group s

35、ervice_obj_grp_id | object-group icmp_type_obj_grp_id log level interval secs | disable | default inactive | time-range time_range_name 盡管參數(shù)信息看上去非常多，但是在大多數(shù)情況下很多參數(shù)值盡管參數(shù)信息看上去非常多，但是在大多數(shù)情況下很多參數(shù)值都是可選的，甚至是不需要使用的。大多數(shù)時候?qū)Χ际强蛇x的，甚至是不需要使用的。大多數(shù)時候?qū)ccess-list命令的使用都是按照下面這種簡化方式：命令的使用都是按照下面這種簡化方式：access-list id deny

36、 | permit protocol source destination operator port 舉例來說，如果想要定義一條舉例來說，如果想要定義一條ACL，用來允許從任何主機到一臺，用來允許從任何主機到一臺Web服務服務器的器的HTTP流量的話，需要運行下面的命令：流量的話，需要運行下面的命令：pix(config)# access-list out_in_01 permit tcp any host eq http 在上述例子中，我們定義的在上述例子中，我們定義的ACL名稱是名稱是“out-in-01”，并且將其配置成允，并且將其配置成允許許TCP的的80端口（

37、端口（HTTP）流量可以從任何源訪問目的地）流量可以從任何源訪問目的地。如果想。如果想使用同樣的使用同樣的ACL來允許來允許SMTP流量到另一臺服務器，執(zhí)行下面的命令：流量到另一臺服務器，執(zhí)行下面的命令：pix(config)# access-list out_in_01 permit tcp any host eq smtp通過下面的命令，可以顯示出這兩行通過下面的命令，可以顯示出這兩行ACL條目己經(jīng)被添加到了同一個條目己經(jīng)被添加到了同一個ACL中中（在所有（在所有ACL的末尾都有一條隱藏的的末尾都有一條隱藏的deny ip any any規(guī)則，所以最好還是規(guī)則，所以最好還是將這條規(guī)則顯式地添加到所有將這條規(guī)則顯式地添加到所有ACL中去）。中去）。pix(config)# show access-list out_in_01access-list out_in_01; 2 elementsaccess-list out_in_01 line 1 extended permit tcp any host eq www (hitcnt=0)access-list out_in_01 line 2 extended permit tcp any host eq smtp (hitcnt=0) 2將將