幻灯片 22
在防火墙的应用中,如果仅使用上面提到的三类访问控制列表是不能满足实际需求的,在USG系列防火墙中对三类访问控制类别进行了补充,定义了基于地址集访问控制列表,基于端口集访问控制列表,基于时间段访问控制列表。 地址集访问控制列表
在访问控制列表分类介绍中我们可以看到,无论是标准访问控制列表还是扩展访问控制列表,在定义源和目的时都是使用反掩码的方式,这样用来定义一个网段就十分方便,但是在实际业务应用中,IP地址的规划一般不是连续的。
在USG5000系列防火墙中,首先定义一个地址集,然后将若干个不冲突的地址元素加入一个地址集中,通过引用该地址集的方式来简化配置。
幻灯片 23
在扩展访问控制列表中,可以明确源或目的IP的端口号,在扩展访问控制列表中,如果需要对多个不连续端口号进行定义就显得过于繁琐,在这种情况下,端口集就显得不可或缺了。
在USG5000系列防火墙中,首先定义一个端口集,每个定义的端口集只能针对某一种协议,然后将若干个端口号加入一个地址集中,通过引用该端口集的方式来简化配置。
幻灯片 24
在网络应用中,比较常见的应用是按照时间段开放某些网络应用,例如:上班时间不开放服务器某些端口,上班时间局域网的某些用户不能访问Internet等。这种特殊的应用前面所介绍的各种访问控制列表类型都无法满足要求,时间段访问控制列表可以精确的限定某个访问控制列表的生效时间,解决了访问控制列表在时间上一刀切的问题。
在定义时间段访问控制列表前,在USG5000系列防火墙中,首先要在防火墙上定义一个时间段。
相关推荐:
loading