安易硬件抗DDOS防火墙

核心提示：ACL设置规则编辑页面规则编辑页面用于编辑或添加某个用户定义规则，页面如下图所示：安易防火墙ACL规则编辑页面各个参数简述如下：1) 规则号描述规则号是按照从小到大方式处理，安易硬件抗DDOS防火墙，规则号越小，优先处理的级别越高2) 源地址设置选项“srcip”，一共是14字节，IP是封装在E

ACL设置

规则编辑页面

规则编辑页面用于编辑或添加某个用户定义规则。页面如下图所示：

安易防火墙ACL规则编辑页面

各个参数简述如下：

1) 规则号描述

规则号是按照从小到大方式处理，规则号越小，优先处理的级别越高

2) 源地址设置

选项“srcip”，表明此规则匹配指定的一个来源IP地址；

3) 目标地址设置

选项“dstip”，表明此规则匹配指定的一个目标IP地址；

4) 协议选项设置

选项“proto”，表明此规则匹配指定的协议范围；“协议范围”指示规则匹配的报文的协议类型，分为IP，TCP，UDP，ICMP，IGMP等几种。其中，TCP、UDP及ICMP是最常用的互联网通讯协议；

源埠设置

源埠（Sport）是指一个发送出去的分组的 TCP/UDP 埠。

目的埠设置

目的埠（Dport）是指一个接收分组的 TCP/UDP 埠。例如：WWW-HTTP PORT 80, FTP PORT 21, MSTSC PORT 3389.

Tcpflags标志位

TCP协议设置的特定域，指示规则匹配报文的TCP标志位

常见的Tcp标志位有：

ECE ECN-Echo

CWR Congestion window reduction　　因堵塞减少活动窗口

URG Urgent pointer　　　　　　　　 紧急指针

ACK Acknowledment number　　　　 确认序列号

PSH Push　　　　　　　　　　　　 转交上层

RST Reset connection　　　　　　　 释放等待重新建立连接

SYN Synchronize sequence numbers　 同步连接序号

FIN End of data　　　　　　　　　　数据传送完毕

Content

指示规则匹配IP报文中的出现特定的、未加密的关键词。关键词一定要使用16进制表示。

Icmptype代码

ICMP协议设置的特定域，指示规则匹配报文的ICMP数值；

例如：发送ping请求的ICMPTYPE　是　　8

回应ping请求的ICMPTYPE　是　　0

traceroute　　 的ICMPTYPE　是　 11

Iplen设置

指示该规则匹配IP报文的长度；

例如，某个服务器收到一些TCP数据包，size 是73，怎么得知它的ip包大小呢？

我们知道Ethernet II的头部是由源MAC（48比特，6个位元组）+目的MAC+类型字段元（16比特，2个字节）组成，一共是14字节。

IP是封装在Ethernet II里的，我们把包总字节数减去Ethernet II头部的14字节就是这个TCP数据包的IP长度大小；即是73-14=59。

Smac

源网络接口MAC地址；

Dmac

目标网络接口MAC地址；