信息安全工程師綜合知識真題考點：包過濾型防火墻擴展IP訪問控制規(guī)則格式

包過濾技術(shù)經(jīng)常用來進(jìn)行網(wǎng)絡(luò)訪問控制，一般有兩種訪問規(guī)則形式，即標(biāo)準(zhǔn)IP訪問表和擴展IP訪問表。

其中擴展IP訪問控制規(guī)則格式為：

access-list list-number {deny|permit}protocol

source source-wildcard source-qualifiers

destination destination-wildcard destination-qualifiers[log|log-input]

其中：

(1)list-number規(guī)定為100～199;

(2)deny表示若經(jīng)過過濾器的包條件不匹配，則禁止該包通過;

(3)permit表示若經(jīng)過過濾器的包條件匹配，則允許該包通過;

(4)source表示來源的IP地址;

(5)source-wildcard表示發(fā)送數(shù)據(jù)包的主機IP地址的通配符掩碼，其中1代表“忽略”，0代表“需要匹配”，any代表任何來源的IP包;

(6)destination表示目的IP地址;

(7)destination-wildcard表示接收數(shù)據(jù)包的主機IP地址的通配符掩碼;

(8)protocol表示協(xié)議選項，如IP、ICMP、UDP、TCP等;

(9)log表示記錄符合規(guī)則條件的網(wǎng)絡(luò)包。

注：詳見《信息安全工程師教程》(第2版)163頁

考點相關(guān)真題