防火墻與訪問(wèn)控制列表課件

防火墻與訪問(wèn)控制列表學(xué)習(xí)目標(biāo)理解ACL/包過(guò)濾防火墻的工作原理掌握防火墻的配置方法理解訪問(wèn)控制列表的基本原理掌握標(biāo)準(zhǔn)和擴(kuò)展訪問(wèn)控制列表的配置方法學(xué)習(xí)完本課程，您應(yīng)該能夠：ACL/包過(guò)濾防火墻簡(jiǎn)介ACL/包過(guò)濾概述ACL/包過(guò)濾應(yīng)用在路由器中，就為路由器增加了對(duì)數(shù)據(jù)包的過(guò)濾功能。ACL/包過(guò)濾實(shí)現(xiàn)對(duì)IP數(shù)據(jù)包的過(guò)濾，對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取數(shù)據(jù)包的包頭信息，包括IP層所承載的上層協(xié)議的協(xié)議號(hào)，數(shù)據(jù)包的源地址、目的地址、源端口和目的端口等，然后和設(shè)定的ACL規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果決定對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。防火墻示意圖Internet公司總部?jī)?nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處對(duì)路由器需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實(shí)現(xiàn)包過(guò)濾的核心技術(shù)是訪問(wèn)控制列表。路由器實(shí)現(xiàn)防火墻功能IP報(bào)文轉(zhuǎn)發(fā)機(jī)制IPPacketIPPacket網(wǎng)絡(luò)層數(shù)據(jù)鏈路層規(guī)則查找機(jī)制輸入報(bào)文規(guī)則庫(kù)手工配置規(guī)則生成機(jī)制手工配置規(guī)則生成機(jī)制規(guī)則查找機(jī)制輸出報(bào)文規(guī)則庫(kù)由規(guī)則決定報(bào)文轉(zhuǎn)發(fā)動(dòng)作:丟棄或轉(zhuǎn)發(fā)由規(guī)則決定報(bào)文轉(zhuǎn)發(fā)動(dòng)作:丟棄或轉(zhuǎn)發(fā)訪問(wèn)控制列表概述

路由器為了過(guò)濾數(shù)據(jù)包，需要配置一系列的規(guī)則，以決定什么樣的數(shù)據(jù)包能夠通過(guò)，這些規(guī)則就是通過(guò)訪問(wèn)控制列表ACL（AccessControlList）定義的。訪問(wèn)控制列表是由permit|deny語(yǔ)句組成的一系列有順序的規(guī)則，這些規(guī)則根據(jù)數(shù)據(jù)包的源地址、目的地址、端口號(hào)等來(lái)描述。ACL通過(guò)這些規(guī)則對(duì)數(shù)據(jù)包進(jìn)行分類(lèi)，這些規(guī)則應(yīng)用到路由器接口上，路由器根據(jù)這些規(guī)則判斷哪些數(shù)據(jù)包可以接收，哪些數(shù)據(jù)包需要拒絕。訪問(wèn)控制列表是什么？一個(gè)IP數(shù)據(jù)包如下圖所示（圖中IP所承載的上層協(xié)議為T(mén)CP/UDP）：IP報(bào)頭TCP/UDP報(bào)頭數(shù)據(jù)協(xié)議號(hào)源地址目的地址源端口目的端口對(duì)于TCP/UDP來(lái)說(shuō)，這5個(gè)元素組成了一個(gè)TCP/UDP相關(guān)，訪問(wèn)控制列表就是利用這些元素定義的規(guī)則訪問(wèn)控制列表的作用訪問(wèn)控制列表可以用于防火墻；訪問(wèn)控制列表可以用于Qos（QualityofService），對(duì)數(shù)據(jù)流量進(jìn)行控制；在DCC中，訪問(wèn)控制列表還可用來(lái)規(guī)定觸發(fā)撥號(hào)的條件；訪問(wèn)控制列表還可以用于地址轉(zhuǎn)換；在配置路由策略時(shí)，可以利用訪問(wèn)控制列表來(lái)作路由信息的過(guò)濾。訪問(wèn)控制列表的分類(lèi)

按照訪問(wèn)控制列表的用途，可以分為四類(lèi)：基本的訪問(wèn)控制列表（basicacl）高級(jí)的訪問(wèn)控制列表（advancedacl）基于接口的訪問(wèn)控制列表（interface-basedacl）基于MAC的訪問(wèn)控制列表（mac-basedacl）訪問(wèn)控制列表的使用用途是依靠數(shù)字的范圍來(lái)指定的，1000～1999是基于接口的訪問(wèn)控制列表，2000～2999范圍的數(shù)字型訪問(wèn)控制列表是基本的訪問(wèn)控制列表，3000～3999范圍的數(shù)字型訪問(wèn)控制列表是高級(jí)的訪問(wèn)控制列表，4000～4999范圍的數(shù)字型訪問(wèn)控制列表是基于MAC地址訪問(wèn)控制列表。訪問(wèn)控制列表的匹配順序

一個(gè)訪問(wèn)控制列表可以由多條“permit|deny”語(yǔ)句組成，每一條語(yǔ)句描述的規(guī)則是不相同，這些規(guī)則可能存在重復(fù)或矛盾的地方，在將一個(gè)數(shù)據(jù)包和訪問(wèn)控制列表的規(guī)則進(jìn)行匹配的時(shí)候，到底采用哪些規(guī)則呢？就需要確定規(guī)則的匹配順序。有兩種匹配順序：配置順序自動(dòng)排序配置順序，是指按照用戶配置ACL的規(guī)則的先后進(jìn)行匹配。自動(dòng)排序使用“深度優(yōu)先”的原則?！吧疃葍?yōu)先”規(guī)則

“深度優(yōu)先”規(guī)則是把指定數(shù)據(jù)包范圍最小的語(yǔ)句排在最前面?？梢酝ㄟ^(guò)比較地址的通配符來(lái)實(shí)現(xiàn)，通配符越小，指定的主機(jī)的范圍就越小。例：

指定了一臺(tái)主機(jī)：，而55指定了網(wǎng)段：～55，顯然前者在訪問(wèn)控制規(guī)則中排在前面。具體標(biāo)準(zhǔn)：對(duì)于基本訪問(wèn)控制規(guī)則的語(yǔ)句，直接比較源地址通配符，通配符相同的則按配置順序；對(duì)于基于接口的訪問(wèn)控制規(guī)則，配置了“any”的規(guī)則排在后面，其它按配置順序；對(duì)于高級(jí)訪問(wèn)控制規(guī)則，首先比較源地址通配符，相同的再比較目的地址通配符，仍相同的則比較端口號(hào)的范圍，范圍小的排在前面，如果端口號(hào)范圍也相同則按配置順序。使用displayacl命令就可以看出是哪條規(guī)則首先生效。顯示時(shí)，列在前面的規(guī)則首先生效。訪問(wèn)控制列表的組合一條訪問(wèn)列表可以由多條規(guī)則組成,對(duì)于這些規(guī)則，有兩種匹配順序：auto和config。規(guī)則沖突時(shí)，若匹配順序?yàn)閍uto（深度優(yōu)先），描述的地址范圍越小的規(guī)則，將會(huì)優(yōu)先考慮。深度的判斷要依靠通配比較位和IP地址結(jié)合比較ruledeny55rulepermit55兩條規(guī)則結(jié)合則表示禁止一個(gè)大網(wǎng)段（）上的主機(jī)但允許其中的一小部分主機(jī)（）的訪問(wèn)。規(guī)則沖突時(shí)，若匹配順序?yàn)閏onfig，先配置的規(guī)則會(huì)被優(yōu)先考慮。訪問(wèn)控制列表的創(chuàng)建

一個(gè)訪問(wèn)控制列表是由permit|deny語(yǔ)句組成的一系列的規(guī)則列表，若干個(gè)規(guī)則列表構(gòu)成一個(gè)訪問(wèn)控制列表。在配置訪問(wèn)控制列表的規(guī)則之前，首先需要?jiǎng)?chuàng)建一個(gè)訪問(wèn)控制列表?？梢允褂萌缦旅顒?chuàng)建一個(gè)訪問(wèn)控制列表：aclnumberacl-number[match-order{config|auto}]使用如下的命令刪除一個(gè)或所有的訪問(wèn)控制列表：undoacl{numberacl-number|all}訪問(wèn)控制列表的創(chuàng)建參數(shù)說(shuō)明：numberacl-number：定義一個(gè)數(shù)字型的ACL。acl-number：訪問(wèn)控制規(guī)則序號(hào)。1000～1999是基于接口的訪問(wèn)控制列表，2000～2999范圍的數(shù)字型訪問(wèn)控制列表是基本的訪問(wèn)控制列表，3000～3999范圍的數(shù)字型訪問(wèn)控制列表是高級(jí)的訪問(wèn)控制列表，4000～4999是基于MAC地址的訪問(wèn)控制列表。match-orderconfig：指定匹配該規(guī)則時(shí)按用戶的配置順序。match-orderauto：指定匹配該規(guī)則時(shí)系統(tǒng)自動(dòng)排序，即按“深度優(yōu)先”的順序。all：刪除所有配置的ACL。訪問(wèn)控制列表的創(chuàng)建

缺省情況下匹配順序?yàn)榘从脩舻呐渲门判颍础癱onfig”。用戶一旦指定某一條訪問(wèn)控制列表的匹配順序，就不能再更改該順序，除非把該ACL的內(nèi)容全部刪除，再重新指定其匹配順序。創(chuàng)建了一個(gè)訪問(wèn)控制列表之后，將進(jìn)入ACL視圖，ACL視圖是按照訪問(wèn)控制列表的用途來(lái)分類(lèi)的，例如創(chuàng)建了一個(gè)數(shù)字編號(hào)為3000的數(shù)字型ACL，將進(jìn)入高級(jí)ACL視圖，路由器的提示符如下所示：[Quidway-acl-adv-3000]進(jìn)入了ACL視圖之后，就可以配置ACL的規(guī)則了。對(duì)于不同的ACL，其規(guī)則是不一樣的，具體的各種ACL的規(guī)則的配置方法將在后面小節(jié)分別介紹?；驹L問(wèn)控制列表

基本訪問(wèn)控制列表只能使用源地址信息，做為定義訪問(wèn)控制列表的規(guī)則的元素。通過(guò)上面小節(jié)介紹的acl命令，可以創(chuàng)建一個(gè)基本的訪問(wèn)控制列表，同時(shí)進(jìn)入基本訪問(wèn)控制列表視圖，在基本訪問(wèn)控制列表視圖下，可以創(chuàng)建基本訪問(wèn)控制列表的規(guī)則?？梢允褂萌缦碌拿疃x一個(gè)基本訪問(wèn)控制列表的規(guī)則：rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging][fragment][vpn-instancevpn-instance-name]基本訪問(wèn)控制列表參數(shù)說(shuō)明：rule-id：可選參數(shù)，ACL規(guī)則編號(hào)，范圍為0～65534。當(dāng)指定了編號(hào)，如果與編號(hào)對(duì)應(yīng)的ACL規(guī)則已經(jīng)存在，則會(huì)使用新定義的規(guī)則覆蓋舊的定義，相當(dāng)于編輯一個(gè)已經(jīng)存在的ACL的規(guī)則。如果與編號(hào)對(duì)應(yīng)的ACL規(guī)則不存在，則使用指定的編號(hào)創(chuàng)建一個(gè)新的規(guī)則。如果不指定編號(hào)，表示增加一個(gè)新規(guī)則，系統(tǒng)自動(dòng)會(huì)為這個(gè)ACL規(guī)則分配一個(gè)編號(hào)，并增加新規(guī)則。permit：通過(guò)符合條件的數(shù)據(jù)包。deny：丟棄符合條件的數(shù)據(jù)包。source：可選參數(shù)，指定ACL規(guī)則的源地址信息。如果不指定，表示報(bào)文的任何源地址都匹配。sour-addr：數(shù)據(jù)包的源地址，點(diǎn)分十進(jìn)制表示；或用“any”代表源地址，通配符55。sour-wildcard：源地址通配符，點(diǎn)分十進(jìn)制表示。如何使用反掩碼反掩碼和子網(wǎng)掩碼相似，但寫(xiě)法不同：0表示需要比較1表示忽略比較反掩碼和IP地址結(jié)合使用，可以描述一個(gè)地址范圍。000255只比較前24位003255只比較前22位0255255255只比較前8位基本訪問(wèn)控制列表

time-range：可選參數(shù)，指定訪問(wèn)控制列表的生效時(shí)間。time-name：訪問(wèn)控制列表生效的時(shí)間段名字。logging：可選參數(shù)，是否對(duì)符合條件的數(shù)據(jù)包做日志。日志內(nèi)容包括訪問(wèn)控制規(guī)則的序號(hào)，數(shù)據(jù)包通過(guò)或被丟棄，數(shù)據(jù)包的數(shù)目。fragment：可選參數(shù)，指定該規(guī)則是否僅對(duì)非首片分片報(bào)文有效。當(dāng)包含此參數(shù)時(shí)表示該規(guī)則僅對(duì)非首片分片報(bào)文有效。vpn-instance：可選參數(shù)，指定報(bào)文是屬于哪個(gè)VPN實(shí)例的。如果沒(méi)有指定，該規(guī)則對(duì)所有VPN實(shí)例中的報(bào)文都有效；如果指定了，則表示該規(guī)則僅僅對(duì)指定的VPN實(shí)例中的報(bào)文有效?；驹L問(wèn)控制列表可以使用如下命令刪除一個(gè)基本訪問(wèn)控制列表的規(guī)則：undorulerule-id[source][time-range][logging][fragment][vpn-instancevpn-instance-name]rule-id：ACL規(guī)則編號(hào)，必須是一個(gè)已經(jīng)存在的ACL規(guī)則編號(hào)。如果后面不指定參數(shù)，則將這個(gè)ACL規(guī)則完全刪除。否則只是刪除對(duì)應(yīng)ACL規(guī)則的部分信息。高級(jí)訪問(wèn)控制列表

高級(jí)訪問(wèn)控制列表可以使用數(shù)據(jù)包的源地址信息、目的地址信息、IP承載的協(xié)議類(lèi)型、針對(duì)協(xié)議的特性，例如TCP的源端口、目的端口，ICMP協(xié)議的類(lèi)型、代碼等內(nèi)容定義規(guī)則?？梢岳酶呒?jí)訪問(wèn)控制列表定義比基本訪問(wèn)控制列表更準(zhǔn)確、更豐富、更靈活的規(guī)則。通過(guò)前面小節(jié)介紹的acl命令，可以創(chuàng)建一個(gè)高級(jí)的訪問(wèn)控制列表，同時(shí)進(jìn)入高級(jí)訪問(wèn)控制列表視圖，在高級(jí)訪問(wèn)控制列表視圖下，可以創(chuàng)建高級(jí)訪問(wèn)控制列表的規(guī)則。可以使用如下的命令定義一個(gè)高級(jí)訪問(wèn)控制列表規(guī)則：高級(jí)訪問(wèn)控制列表rule[rule-id]{permit|deny}protocol[sourcesour-addrsour-wildcard|any][destinationdest-addrdest-mask|any][soucre-portoperatorport1[port2]][destination-portoperatorport1[port2]][icmp-type{icmp-message|icmp-typeicmp-code}][dscpdscp][precedenceprecedence][tostos][time-rangetime-name][logging][fragment][vpn-instance]protocol：用名字或數(shù)字表示的IP承載的協(xié)議類(lèi)型。數(shù)字為1～255；名字取值：gre、icmp、igmp、ip、ipinip、ospf、tcp、udp。

destination：可選參數(shù)，指定ACL規(guī)則的目的地址信息。如果不配置，表示報(bào)文的任何目的地址都匹配。dest-addr：數(shù)據(jù)包的目的地址，點(diǎn)分十進(jìn)制表示；或用“any”代表目的地址

，通配符55。dest-wildcard：目的地址通配符，點(diǎn)分十進(jìn)制表示；或用“any”代表目的地址，通配符55。高級(jí)訪問(wèn)控制列表

icmp-type：可選參數(shù)，指定ICMP報(bào)文的類(lèi)型和消息碼信息，僅僅在報(bào)文協(xié)議是ICMP的情況下有效。如果不配置，表示任何ICMP類(lèi)型的報(bào)文都匹配。icmp-type：ICMP包可以依據(jù)ICMP的消息類(lèi)型進(jìn)行過(guò)濾。取值為0～255的數(shù)字。icmp-code：依據(jù)ICMP的消息類(lèi)型進(jìn)行過(guò)濾的ICMP包也可以依據(jù)消息碼進(jìn)行過(guò)濾。取值為0～255的數(shù)字。icmp-message：ICMP包可以依據(jù)ICMP消息類(lèi)型名字或ICMP消息類(lèi)型和碼的名字進(jìn)行過(guò)濾。

source-port：可選參數(shù)，指定UDP或者TCP報(bào)文的源端口信息，僅僅在規(guī)則指定的協(xié)議號(hào)是TCP或者UDP有效。如果不指定，表示TCP/UDP報(bào)文的任何源端口信息都匹配。高級(jí)訪問(wèn)控制列表

destination-port：可選參數(shù)，指定UDP或者TCP報(bào)文的目的端口信息，僅僅在規(guī)則指定的協(xié)議號(hào)是TCP或者UDP有效。如果不指定，表示TCP/UDP報(bào)文的任何目的端口信息都匹配。operator：可選參數(shù)。比較源或者目的地址的端口號(hào)的操作符，名字及意義如下：lt（小于），gt（大于），eq（等于），neq（不等于），range（在范圍內(nèi)）。只有range需要兩個(gè)端口號(hào)做操作數(shù)，其他的只需要一個(gè)端口號(hào)做操作數(shù)。port1，port2：可選參數(shù)。TCP或UDP的端口號(hào)，用名字或數(shù)字表示，數(shù)字的取值范圍為0～65535。time-rangetime-name：配置這條訪問(wèn)控制規(guī)則生效的時(shí)間段。高級(jí)訪問(wèn)控制列表

只有TCP和UDP協(xié)議需要指定端口范圍。在指定portnumber時(shí)，對(duì)于部分常見(jiàn)的端口號(hào)，可以用相應(yīng)的助記符來(lái)代替其實(shí)際數(shù)字，支持的助記符如下表。tcp高級(jí)訪問(wèn)控制列表高級(jí)訪問(wèn)控制列表對(duì)于ICMP協(xié)議可以指定ICMP報(bào)文類(lèi)型，缺省為全部ICMP報(bào)文。指定ICMP報(bào)文類(lèi)型時(shí)，可用數(shù)字（0～255），也可用助記符。高級(jí)訪問(wèn)控制列表

可以使用如下命令刪除一個(gè)高級(jí)訪問(wèn)控制列表的規(guī)則：undorulerule-id[source][destination][source-port][destination-port][icmp-type][dscp][precedence][tos][time-range][logging][fragment][vpn-instancevpn-instance-name]rule-id：ACL規(guī)則編號(hào)，必須是一個(gè)已經(jīng)存在的ACL規(guī)則編號(hào)。如果后面不指定參數(shù)，則將這個(gè)ACL規(guī)則完全刪除。否則只是刪除對(duì)應(yīng)ACL規(guī)則的部分信息。高級(jí)訪問(wèn)控制列表舉例/16ICMP主機(jī)重定向報(bào)文ruledenyicmpsource55destinationanyicmp-type51ruledenytcpsource55destination55

equalwwwlog/16TCP報(bào)文/24WWW端口問(wèn)題:下面這條訪問(wèn)控制列表表示什么意思?ruledenyudpsource55destination55greater-than128如何使用訪問(wèn)控制列表防火墻配置常見(jiàn)步驟：?jiǎn)⒂梅阑饓Χx訪問(wèn)控制列表將訪問(wèn)控制列表應(yīng)用到接口上Internet公司總部網(wǎng)絡(luò)啟用防火墻將訪問(wèn)控制列表應(yīng)用到接口上配置基本訪問(wèn)控制列表配置高級(jí)訪問(wèn)控制列表刪除訪問(wèn)控制列表請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。創(chuàng)建/刪除一個(gè)時(shí)間段在同一個(gè)名字下可以配置多個(gè)時(shí)間段，這些時(shí)間段是“或”關(guān)系。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。訪問(wèn)控制列表的顯示與調(diào)試

在完成上述配置后，在所有視圖下執(zhí)行display命令可以顯示配置后ACL和時(shí)間段的運(yùn)行情況，通過(guò)查看顯示信息確認(rèn)配置的效果。在用戶視圖下執(zhí)行reset命令可以清除訪問(wèn)規(guī)則計(jì)數(shù)器。包過(guò)濾防火墻的配置包括：允許或禁止防火墻設(shè)置防火墻缺省過(guò)濾方式在接口上應(yīng)用訪問(wèn)控制列表允許或禁止防火墻請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。系統(tǒng)缺省情況下禁止防火墻。包過(guò)濾防火墻的基本配置包過(guò)濾防火墻的基本配置設(shè)置防火墻缺省過(guò)濾方式設(shè)置防火墻的缺省過(guò)濾方式，即在沒(méi)有一個(gè)合適的規(guī)則去判定用戶數(shù)據(jù)包是否可以通過(guò)的時(shí)候，防火墻采取的策略是允許還是禁止該數(shù)據(jù)包通過(guò)。請(qǐng)?jiān)谙到y(tǒng)視圖下進(jìn)行下列配置。在防火墻開(kāi)啟時(shí)，系統(tǒng)缺省為允許。包過(guò)濾防火墻的基本配置在接口上應(yīng)用訪問(wèn)控制列表將訪問(wèn)規(guī)則應(yīng)用到接口時(shí)，同時(shí)會(huì)遵循時(shí)間段過(guò)濾原則，另外可以對(duì)接口的收發(fā)報(bào)文分別指定訪問(wèn)規(guī)則。請(qǐng)?jiān)诮涌谝晥D下進(jìn)行下列配置。包過(guò)濾防火墻的基本配置

基于接口的訪問(wèn)控制列表（即序號(hào)為1000到1999的ACL）只能用參數(shù)outbound。高級(jí)訪問(wèn)控制列表提供標(biāo)準(zhǔn)匹配和精確匹配兩種匹配方式。標(biāo)準(zhǔn)匹配即三層信息的匹配，匹配將忽略三層以外的信息；精確匹配則對(duì)所有的高級(jí)ACL的過(guò)濾規(guī)則進(jìn)行匹配，這就要求防火墻必須記錄首片分片報(bào)文的狀態(tài)以獲得完整的后續(xù)分片的匹配信息。缺省的模式為標(biāo)準(zhǔn)匹配方式。match-fragments參數(shù)僅能應(yīng)用于高級(jí)訪問(wèn)控制列表。包過(guò)濾防火墻典型配置舉例1.組網(wǎng)需求以下通過(guò)一個(gè)公司配置防火墻的實(shí)例來(lái)說(shuō)明防火墻的配置。該公司通過(guò)一臺(tái)Quidway路由器的接口Serial1/0/0訪問(wèn)Internet，路由器與內(nèi)部網(wǎng)通過(guò)以太網(wǎng)接口Ethernet0/0/0連接。公司內(nèi)部對(duì)外提供WWW、FTP和Telnet服務(wù)，公司內(nèi)部子網(wǎng)為，其中，內(nèi)部FTP服務(wù)器地址為，內(nèi)部Telnet服務(wù)器地址為，內(nèi)部WWW服務(wù)器地址為，公司對(duì)外地址為。在路由器上配置了地址轉(zhuǎn)換，這樣內(nèi)部PC機(jī)可以訪問(wèn)Internet，外部PC可以訪問(wèn)內(nèi)部服務(wù)器。通過(guò)配置防火墻，希望實(shí)現(xiàn)以下要求：外部網(wǎng)絡(luò)只有特定用戶可以訪問(wèn)內(nèi)部服務(wù)器。內(nèi)部網(wǎng)絡(luò)只有特定主機(jī)可以訪問(wèn)外部網(wǎng)絡(luò)。假定外部特定用戶的IP地址為。