防火墻的安裝和配置

第8章防火墻安裝與配置《網(wǎng)絡(luò)設(shè)備的安裝與管理》防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第1頁!本章內(nèi)容●防火墻安裝●防火墻配置●配置CiscoPIX防火墻●恢復(fù)PIX的口令●升級PIX版本防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第2頁!8.1防火墻安裝8.1.1PIX防火墻安裝定制在開始考慮安裝PIX之前，必須決定哪種PIX模式能夠滿足你的業(yè)務(wù)需要。PIX系列產(chǎn)品中有許多相同的特征和功能；每個(gè)PIX模式中接口和連接數(shù)量是不同的。下面的問題將幫助理解你的網(wǎng)絡(luò)需求，并把你的注意力集中到防火墻必須包含的服務(wù)和性能上。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第3頁!8.1.2安裝前 部署中的安裝前階段是確定PIX型號、許可證、特性和物理位置的階段。選擇許可證選擇PIX型號防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第4頁!2．選擇PIX型號防火墻型號許可證選項(xiàng)受限無限制故障倒換（Failover）加密PIX50110位用戶許可證50位用戶許可證N/A56位DES和/或168位3DESPIX50656位DES168位3DESN/A56位DES和/或168位3DESPIX515515-R（5000條并發(fā)連接和2個(gè)接口）與515-R-BUN（10000條并發(fā)連接和3個(gè)接口）515-UR（10000條并發(fā)連接，F(xiàn)ailover功能和6個(gè)接口）515-Failover束（提供備用Failover防火墻）56位DES和/或168位3DESPIX525525-R（6個(gè)接口，多達(dá)280，000條并發(fā)連接）525-UR（8個(gè)接口，F(xiàn)ailover支持，多達(dá)280，000條并發(fā)連接）525-Failover束（提供備用Failover防火墻）56位DES和/或168位3DESPIX535535-R（6個(gè)接口，多達(dá)500，000條并發(fā)連接）535-UR（8個(gè)接口，F(xiàn)ailover支持，多達(dá)500，000條并發(fā)連接）535-Failover束（提供備用Failover防火墻）56位DES和/或168位3DES防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第5頁!8.1.3安裝

接口配置電纜連接初始PIX輸入防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第6頁!2.電纜連接在啟動(dòng)PIX之前，把控制端口（Console）電纜連接到PC機(jī)（通常是便于移動(dòng)的筆記本電腦）的COM端口，再通過Windows系統(tǒng)自帶的超級終端（HyperTerminal）程序進(jìn)行選項(xiàng)配置。防火墻的初始配置物理連接與前面介紹的交換機(jī)初始配置連接方法一樣，如圖8-1所示。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第7頁!當(dāng)你次啟動(dòng)PIX防火墻的時(shí)候，你應(yīng)該看到如圖8-3所示的以下輸出：防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第8頁!8.2.1防火墻的基本配置原則拒絕所有的流量，這需要在你的網(wǎng)絡(luò)中特殊指定能夠進(jìn)入和出去的流量的一些類型。允許所有的流量，這種情況需要你特殊指定要拒絕的流量的類型。大多數(shù)防火墻默認(rèn)都是拒絕所有的流量作為安全選項(xiàng)。一旦你安裝防火墻后，你需要打開一些必要的端口來使防火墻內(nèi)的用戶在通過驗(yàn)證之后可以訪問系統(tǒng)。換句話說，如果你想讓你的員工們能夠發(fā)送和接收Email，你必須在防火墻上設(shè)置相應(yīng)的規(guī)則或開啟允許POP3和SMTP的進(jìn)程。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第9頁!8.2.2防火墻的初始配置像路由器一樣，在使用之前，防火墻也需要經(jīng)過基本的初始配置。但因各種防火墻的初始配置基本類似，所以在此僅以CiscoPIX防火墻為例進(jìn)行介紹。防火墻與路由器一樣也有四種用戶配置模式，即：非特權(quán)模式（Unprivilegedmode）、特權(quán)模式（PrivilegedMode）、配置模式（ConfigurationMode）和端口模式（InterfaceMode），進(jìn)入這四種用戶模式的命令也與路由器一樣：防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第10頁!

8.3配置CiscoPIX防火墻防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第11頁!缺省情況下，enable命令假定用戶嘗試接入的特權(quán)級別是15（最高特權(quán)級別）。在配置PIX的基本網(wǎng)絡(luò)接入的時(shí)候，有一些必須實(shí)施；為防火墻接口分配IP地址；配置防火墻名稱、域名和密碼；設(shè)置防火墻路由；配置防火墻的遠(yuǎn)程管理接入功能；為出站流量設(shè)置地址轉(zhuǎn)換；配置ACL；配置防火墻日志。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第12頁!在PIX的6.x版本中分配IP地址firewall#configureterminalfirewall(config)#firewall(config)#interfaceethernet0autofirewall(config)#interfaceethernet1autofirewall(config)#nameifethernet0outsidesecurity0firewall(config)#nameifethernet1insidesecurity100firewall(config)#ipaddressoutsidefirewall(config)#ipaddressinside防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第13頁!8.3.2配置防火墻名稱、域名和密碼firewall(config)#hostnamepixpix(config)#domain-namepix.labpix(config)#passwdciscopix(config)#enablepasswordcisco防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第14頁!8.3.4配置防火墻管理遠(yuǎn)程接入PIX防火墻支持三種主要的遠(yuǎn)程管理接入方式：Telnet;SSH;ASDM/PDM。 其中Telnet和SSH都是用來提供對防火墻的命令行界面（CLI）方式接入，而ASDM/PDM提供的則是一種基于HTTPS的圖形化界面（GUI）管理控制臺。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第15頁!3.配置ASDM/PDM接入 除了使用CLI的管理方式之外，PIX防火墻還支持一種GUI遠(yuǎn)程管理方式。在PIX6.x中，這種管理接口被稱為PIX設(shè)備管理器（PDM）。而在PIX的7.x，該管理接口被稱為自適應(yīng)安全設(shè)備管理器（ASDM）。pix(config)#httpserverenablepix(config)#httpinside防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第16頁!

CiscoASDM簡介作為自適應(yīng)安全設(shè)備管理器，CiscoASDM以圖形界面方式，配置和管理CiscoPIX和CiscoASA安全設(shè)備。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第17頁!

CiscoASDM主頁防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第18頁!高級OSPF配置防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第19頁!1.運(yùn)行ASDMCiscoASDM主窗口

防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第20頁!（2）為外部端口指定IP地址池防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第21頁!5.為Web服務(wù)器配置外部ID4.配置內(nèi)部客戶端訪問Internet防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第22頁!8.3.5對出站實(shí)施NAT

1．在PIX6.x中配置NATnat[（local-interface）]idlocal-ip[mask[dns][outside|[norandomseq][max_conns[emb_limit]]]pix（config）#nat（insids）1global[（if-name）]nat-id{global-ip[-global-ip][netmaskglobal-mask]}|interface

pix（config）#global（outside）10-5netmask40pix（config）#global（outside）1interfaceoutsideinterfaceaddressaddedtoPATpoolpix（config）#防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第23頁!8.3.6配置ACLs

配置和實(shí)施ACL分兩步完成：定義ACL以及實(shí)施ACE；將ACL應(yīng)用于某接口。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第24頁!創(chuàng)建一組ACL的過程非常簡單直接，通常需要定義如下的參數(shù)。流量需要通過什么樣的方式去匹配ACL中的ACE？需要使用什么樣的協(xié)議？流量的源是什么？流量的目的是什么？使用了哪個(gè)/哪些應(yīng)用端口？防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第25頁!擴(kuò)展ACL的命令語法及其參數(shù)如下所示：access-listid[lineline-number][extended]{deny|permit}

{protocol|object-groupprotocol_obj_grp_id}

{src_ipmask|interfaceifc_name|object-groupnetwork_obj_grp_id}

[operatorport|object-groupservice_obj_grp_id]{dest_ipmask|interfaceifc_name|object-groupnetwork_obj_grp_id}[operatorport|object-groupservice_obj_grp_id|object-groupicmp_type_obj_grp_id]

[log[[level][intervalsecs]|disable|default]]

[inactive|time-rangetime_range_name]

盡管參數(shù)信息看上去非常多，但是在大多數(shù)情況下很多參數(shù)值都是可選的，甚至是不需要使用的。大多數(shù)時(shí)候?qū)ccess-list命令的使用都是按照下面這種簡化方式：access-listid{deny|permit}protocolsourcedestinationoperatorport防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第26頁!2．將ACL指定于某接口無論防火墻上運(yùn)行的是哪種版本的軟件，ACL都是通過access-group命令來應(yīng)用于接口的。在6.x和7.x版本中的惟一的真正區(qū)別是7.x可以在其語法中指定in或是out，如下所示：access-groupaccess-list{in|out}interfaceinterface-name[per-user-override]

舉例來說，如果想要應(yīng)用前面定義好的ACL（ACLout_in_01）到防火墻的外部接口，可以運(yùn)行下面的命令：pix(config)#access-groupout_in_01ininterfaceoutside到這里，假設(shè)你己經(jīng)相應(yīng)地配置了地址轉(zhuǎn)換規(guī)則，那么在外部接口就會按照ACLout_in_01的規(guī)則相應(yīng)地允許或者拒絕流最了。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第27頁!

8.4恢復(fù)PIX的口令防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第28頁!有多少用戶（連接）將會通過防火墻？防火墻支持語音和多媒體應(yīng)用嗎？本單位需要多少接口？本單位需要VPN服務(wù)嗎？若需要，安全級別是什么：56位DES、168位3DES還是兩者都要？防火墻需要如VPN加速卡等附件設(shè)備嗎？本單位希望使用PIX設(shè)備管理器嗎？本單位需要用容錯(cuò)性嗎？回答這些問題不僅能幫助你為單位選擇適當(dāng)?shù)腜IX模型，還能幫助你購買正確的許可證。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第29頁!1.選擇許可證無限制（Unrestricted）當(dāng)防火墻使用無限制（UR）許可證時(shí)允許安裝和使用最大數(shù)量的接口和RAM。無限制許可證支持故障倒換功能。受限（Restricted）當(dāng)防火墻使用受限制（R）許可證時(shí)，其支持的接口數(shù)量受到限制，另外，系統(tǒng)中的RAM的可用數(shù)量也受到限制。一個(gè)使用受限制許可證的防火墻不能通過配置故障倒換功能來實(shí)現(xiàn)冗余。故障倒換（Failover）當(dāng)使用故障倒換（FO）軟件許可證的PIX防火墻與使用無限制許可證的PIX防火墻協(xié)同工作時(shí)，將被置于故障倒換模式。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第30頁!型號選擇主要基于兩個(gè)方面：性能和容錯(cuò)性。性能被分為兩類：吞吐量和并發(fā)連接。容錯(cuò)性是在PIX515平臺中次被引入。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第31頁!1.接口配置在PIX上對安全策略進(jìn)行配置的步是確定要使用的接口并收集他的基本配置信息。每一個(gè)PIX都至少有兩個(gè)接口：內(nèi)部接口（較安全）和外部接口（較不安全）。使用表8-2可以幫組你簡化配置PIX接口的過程，記錄每個(gè)接口的基本信息是有用的。防火墻配置外部網(wǎng)內(nèi)部網(wǎng)接口1接口2接口3接口接口速度IP地址和掩碼接口名：HW接口名：SW安全級別MTU大小防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第32頁!3.初始PIX輸入 當(dāng)PIX515通電后，會看到前置面板上的3個(gè)LED燈，如圖8-2所示，分別標(biāo)有POWER，NETWORK和ACT。當(dāng)防火墻部件是活動(dòng)的failover時(shí)，ACTLED會亮。如果沒有配置Failover，ACTLED將總是亮著。當(dāng)至少一個(gè)接口通過流量時(shí)，NETWORKLED會亮。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第33頁!

8.2防火墻配置防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第34頁!在防火墻的配置中，我們首先要遵循的原則就是安全實(shí)用，從這個(gè)角度考慮，在防火墻的配置過程中需堅(jiān)持以下三個(gè)基本原則：

1．簡單實(shí)用：

2．全面深入：3．內(nèi)外兼顧：防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第35頁!防火墻的具體配置步驟如下：1．將防火墻的Console端口用一條防火墻自帶的串行電纜連接到筆記本電腦的一個(gè)空余串口上，如圖8-1。2．打開PIX防火電源，讓系統(tǒng)加電初始化，然后開啟與防火墻連接的主機(jī)。3．運(yùn)行筆記本電腦Windows系統(tǒng)中的超級終端（HyperTerminal）程序（通常在“附件”程序組中）。對超級終端的配置與交換機(jī)或路由器的配置一樣，參見本教程前面有關(guān)介紹。4．當(dāng)PIX防火墻進(jìn)入系統(tǒng)后即顯示“pixfirewall>”的提示符，這就證明防火墻已啟動(dòng)成功，所進(jìn)入的是防火墻用戶模式。可以進(jìn)行進(jìn)一步的配置了。5．輸入命令：enable，進(jìn)入特權(quán)用戶模式，此時(shí)系統(tǒng)提示為：pixfirewall#。6．輸入命令：configureterminal，進(jìn)入全局配置模式，對系統(tǒng)進(jìn)行初始化設(shè)置。7.配置保存：writememory8.退出當(dāng)前模式：exit9.查看當(dāng)前用戶模式下的所有可用命令：show，在相應(yīng)用戶模式下鍵入這個(gè)命令后，即顯示出當(dāng)前所有可用的命令及簡單功能描述。10.查看端口狀態(tài)：showinterface，這個(gè)命令需在特權(quán)用戶模式下執(zhí)行，執(zhí)行后即顯示出防火墻所有接口配置情況。11.查看靜態(tài)地址映射：showstatic，這個(gè)命令也須在特權(quán)用戶模式下執(zhí)行，執(zhí)行后顯示防火墻的當(dāng)前靜態(tài)地址映射情況。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第36頁!這里我們選用第三種方式配置CiscoPIX525防火墻。

1．同樣是用一條串行電纜從電腦的COM口連到CiscoPIX525防火墻的console口；

2．開啟所連電腦和防火墻的電源，進(jìn)入Windows系統(tǒng)自帶的“超級終端”，通訊參數(shù)可按系統(tǒng)默然。進(jìn)入防火墻初始化配置，在其中主要設(shè)置有：Date(日期)、time(時(shí)間)、hostname(主機(jī)名稱)、insideipaddress(內(nèi)部網(wǎng)卡IP地址)、domain(主域)等，完成后也就建立了一個(gè)初始化設(shè)置了。此時(shí)的提示符為：pixfirewall>。

3．輸入enable命令，進(jìn)入Pix525特權(quán)用戶模式，默然密碼為空。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第37頁!8.3.1在防火墻接口上分配IP地址要在網(wǎng)絡(luò)中通信，防火墻需要在其接口上指定IP地址。這項(xiàng)工作在PIX的6.x和7.x版本中的實(shí)施有區(qū)別，但是基本步驟是一樣的：啟用接口、配置接口參數(shù)、為該接口指定IP地址。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第38頁!在PIX的7.x版本中分配IP地址firewall(config)#interfaceethernet2firewall(config-if)#firewall(config-if)#noshutdownfirewall(config-if)#nameifdmz01firewall(config-if)#security-level50firewall(config-if)#speedautofirewall(config-if)#duplexautofirewall(config-if)#ipaddress740防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第39頁!8.3.3配置防火墻路由設(shè)置pix(config)#routeoutside1該route命令中末尾的1指明了下一跳的度量值，這是可選的。通常缺省路由將會指向防火墻連接到Internet的下一跳路由，如Internet服務(wù)商網(wǎng)絡(luò)中的路由器。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第40頁!1.配置Telnet接入pix(config)#telnet555inside2.配置SSH接入步驟1給防火墻分配一個(gè)主機(jī)名和域名；步驟2生產(chǎn)并保存RSA密鑰對；步驟3配置防火墻允許SSH接入。pix(config)#cageneratersakey1024pix(config)#casaveallpix(config)#cryptokeygeneratersamodulus1024pix(config)#ssh555inside

防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第41頁!ASDM/PDM的接入是通過Web瀏覽器連接到Web服務(wù)器的方式來實(shí)現(xiàn)的。ASDM還可以通過一種基于java的應(yīng)用來使用ASDM，而不用代開Web瀏覽器，如圖8-4所示：防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第42頁!CiscoASDM具有如下特點(diǎn)：1.集成化管理提高管理效率2.啟動(dòng)向?qū)Ъ铀侔踩O(shè)備的部署3.儀表盤提供重要實(shí)時(shí)系統(tǒng)狀態(tài)信息4.安全策略管理降低運(yùn)營成本5.安全服務(wù)實(shí)現(xiàn)基于角色的、安全的管理訪問6.VPN管理將安全連接擴(kuò)展到遠(yuǎn)程站點(diǎn)7.管理服務(wù)與應(yīng)用檢測相互協(xié)作8.智能用戶界面簡化網(wǎng)絡(luò)集成9.安全管理界面提供一致的管理服務(wù)10.監(jiān)控和報(bào)告工具實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)分析防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第43頁!

VPN配置

防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第44頁!監(jiān)控和報(bào)告工具實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)分析（1）監(jiān)控工具（2）系統(tǒng)圖（3）連接圖（4）攻擊保護(hù)系統(tǒng)圖（5）接口圖（6）VPN統(tǒng)計(jì)和連接圖防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第45頁!2.為NAT創(chuàng)建IP地址池（1）指定DMZ的IP地址范圍防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第46頁!3.配置內(nèi)部客戶端訪問DMZ區(qū)的Web服務(wù)器防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第47頁!6.允許Internet用戶訪問DMZ的Web服務(wù)防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第48頁!2．在PIX7.x中配置NATnat(real-ifc)nat-idreal-ip[mask[dns][outside][[tcp]tcp-max-conns[emb-limit]][udpudp-max-conns][norandomseq]]global(mapped-ifc)nat-id{mapped-ip[-mapped-ip][netmaskmask]|interface}pix(config)#nat-controlpix(config)#nat(inside)1pix(config)#global(outside)10-4netmask40pix(config)#global(outside)1interface INFO:outsideinterfaceaddressaddedtoPATpoolpix(config)#

防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第49頁!1．定義ACL和實(shí)施ACEPIX支持多種不同類型的ACL：EtherType訪問列表——這種ACL根據(jù)EtherType值來過濾流量；擴(kuò)展訪問列表——這是最常用的ACL實(shí)施類型，它用來對基于TCP/IP的流最進(jìn)行通用目的的過濾；標(biāo)準(zhǔn)訪問列表——該ACL用來指定目的IP地址，它可以用來在路由映射表（routemap）中進(jìn)行OSPF路由重分布；WebType訪問列表——該ACL用來進(jìn)行WebVPN的過濾，只在PIX7.1或者更新版本中才被支持。防火墻的安裝和配置共54頁，您現(xiàn)在瀏覽的是第50頁!參數(shù)描述default（可選項(xiàng)）使用缺省的日志方式，即為每個(gè)被拒絕的報(bào)文發(fā)送同步日志消息106023deny拒絕條件配置報(bào)文。在網(wǎng)絡(luò)訪問的環(huán)境中（access-group命令），該關(guān)鍵字阻止報(bào)文穿越安全工具。在類映射（class-map和inspect命令）中進(jìn)行應(yīng)用檢查的環(huán)境中，該關(guān)鍵字將使得報(bào)文免受檢查。一些特性并不允許使用拒絕ACE，比如說NAT。查閱各種特性的命令文檔以獲得更多關(guān)于ACL的信息dest_ip指定報(bào)文發(fā)往的網(wǎng)絡(luò)或者主機(jī)的IP地址。在IP地址之前輸入host關(guān)鍵字來指定一個(gè)單一的地址。在這種情況下，不需要輸入掩碼。輸入any關(guān)鍵字以代替地址和掩碼，用來指定所有地址disable(可選項(xiàng))禁用針對該條ACE的日志icmp_type(可選項(xiàng))如果協(xié)議是ICMP，指定ICMP類型id指定ACL-ID號,可以是字符串，也可以是最長241個(gè)字符的整數(shù)。該ID是區(qū)分大小寫的。提示:使用大寫字母會使你在配置中看到的ACL-ID更直觀inactive(可選項(xiàng))禁用一條ACE。要重新啟用，輸入整條ACE而不帶inactive關(guān)健字。該特性能夠維持一條inactive的ACE的記錄，以便可以更方便地重新啟用interfaceifc_name指定接口地址，或者是源地址，或者是目的地址intervalsecs（可選項(xiàng)）指定日志區(qū)間上產(chǎn)生106100系統(tǒng)日志信息。有效值是從1到600秒。默認(rèn)值是300level(可選項(xiàng))設(shè)定106100系統(tǒng)日志消息級別，從0到7，缺省級別是6lineline-num(可選項(xiàng))指定在插入ACE的行號。如果你沒有指定行號的話，ACE將會添加到ACL的未尾。該行號不會保存在配置中；它僅僅用來指定在哪兒插入ACElog(可選項(xiàng))當(dāng)有從網(wǎng)絡(luò)中接入的報(bào)文被一條ACE匹配到，并且般終被拒絕的時(shí)候，設(shè)置該選頂可以提供日志(通過access-group應(yīng)用ACL)。如果沒有任何的修改而僅僅輸入log關(guān)健字的話，將啟用系統(tǒng)日志消息106100，并且使用默認(rèn)的等級(6)和默認(rèn)周期(300秒)。如果不輸入log關(guān)鍵字，設(shè)備將使用缺省的日志方式，即使用系統(tǒng)日志消息106023maskIP地址的子網(wǎng)掩碼。在輸入指定網(wǎng)絡(luò)掩碼的時(shí)候，其方式和在Cisco的IOS中的access-list命令不一樣。安全工具使用網(wǎng)絡(luò)掩碼(如C類地址是)。而Cisco的IOS是用通配符(如55)object-groupicmp_type_obj_grp_id(可選項(xiàng))如果協(xié)議是ICMP，該參數(shù)用來指定ICMP類型目標(biāo)組的標(biāo)識符。要添加一個(gè)目標(biāo)組，請參考o(jì)bject-groupicmp-type命令object-groupnetwork_obj_grp_id為一個(gè)網(wǎng)絡(luò)目標(biāo)組指定標(biāo)識符。要添加目標(biāo)組，請參考o(jì)bject-groupnetwork命令object-groupprotocol_obj_grp_id為協(xié)議目標(biāo)組指定標(biāo)識符。要添加目標(biāo)組.請參考o(jì)bject-groupprotocol命令object-groupservice_obj_grp_id(可選項(xiàng))如果設(shè)置的協(xié)議是TCP或者UDP，該參數(shù)為服務(wù)目標(biāo)組指定標(biāo)識符。要添加目標(biāo)組，請參考o(jì)bject-groupservice命令operator(可選項(xiàng))該參數(shù)被源或者目的用來匹配端口號。其允許的操作如下:It(小于)；gt(大于)；eq(等于)；neq(不等于)；range(包含一系列的值，當(dāng)使用這種操作時(shí)，需要指定兩個(gè)端口號，如range100200)permit允許條件匹配的報(bào)文。在網(wǎng)絡(luò)訪問的環(huán)境中(acccss-group命令)，該關(guān)鍵字允許報(bào)文穿越安全工具。在類映射(class-map和inspect命令)中進(jìn)行應(yīng)用檢查的環(huán)境中，該關(guān)鍵字將使得報(bào)文接受檢查port(可選項(xiàng))如果設(shè)置的協(xié)議是TCP或者UDP，為TCP或者UDP端口指定一個(gè)整數(shù)或者名稱。DNS,Discard,Echo,Ident,NTP,RPC,SUNRPC和Talk這樣的協(xié)議需要在TCP和UDP中各自定義一個(gè)。TACACS+這樣的協(xié)議只需要在TCP中定義一個(gè)端口號49protocol指定IP協(xié)議的名稱和號碼。比如說，UDP是17，TCP是6，EGP是47src_ip指定報(bào)文發(fā)送方的網(wǎng)絡(luò)或者主機(jī)的IP地址。在IP地址之前輸入host關(guān)鍵字，可以用來指定一個(gè)單一的地址。這種情況下，不用輸入掩碼。輸入any關(guān)鍵字來代替地址和掩碼，用來表示所有地址time-rangetime_range_name(可選項(xiàng))在某天或者某周的指定時(shí)間激活A(yù)CE，這為ACE應(yīng)用了時(shí)間范圍。查閱time-range命令，以獲得關(guān)于定義時(shí)間范圍的信息防火墻的安裝