硬件防火墙的配置过程讲解(2)

　　（2）创建扩展访问列表

　　命令格式：access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ]

　　（3）删除访问列表

　　命令格式：no access-list { normal | special } { all | listnumber [ subitem ] }

　　上述命令参数说明如下：

• normal：指定规则加入普通时间段。
• special：指定规则加入特殊时间段。
• listnumber1：是1到99之间的一个数值，表示规则是标准访问列表规则。
• listnumber2：是100到199之间的一个数值，表示规则是扩展访问列表规则。
• permit：表明允许满足条件的报文通过。
• deny：表明禁止满足条件的报文通过。
• protocol：为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。
• source-addr：为源IP地址。
• source-mask：为源IP地址的子网掩码，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。
• dest-addr：为目的IP地址。
• dest-mask：为目的地址的子网掩码。
• operator：端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。
  port1 在协议类型为TCP或UDP时出现，可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。port2 在协议类型为TCP或UDP且操作类型为range时出现；可以为关键字所设定的预设值（如telnet）或0~65535之间的一个数值。
• icmp-type：在协议为ICMP时出现，代表ICMP报文类型；可以是关键字所设定的预设值（如echo-reply）或者是0~255之间的一个数值。
• icmp-code：在协议为ICMP，且没有选择所设定的预设值时出现；代表ICMP码，是0~255之间的一个数值。
• log：表示如果报文符合条件，需要做日志。
• listnumber：为删除的规则序号，是1~199之间的一个数值。
• subitem：指定删除序号为listnumber的访问列表中规则的序号。

　　例如，现要在华为的一款防火墙上配置一个"允许源地址为10.20.10.0 网络、目的地址为10.20.30.0网络的WWW访问，但不允许使用FTP"的访问规则。相应配置语句只需两行即可，如下：
Quidway (config)#access-list 100 permit tcp 10.20.10.0　255.0.0.0　10.20.30.0　255.0.0.0　eq www
Quidway (config)#access-list 100 deny tcp 10.20.10.0　255.0.0.0　10.20.30.0　255.0.0.0　eq ftp