巧设防火墙 封杀特定网址

核心提示： 地址进行访问的限制，为了稳妥起见，巧设防火墙 封杀特定网址(3)，我们要先清楚的了解访问列表的格式，如下：以下是引用片段：pixfirewall(config)#access-list?Usage:[no]access-listcompiled[no]access-listcompiled

地址进行访问的限制，为了稳妥起见，我们要先清楚的了解访问列表的格式，如下：

以下是引用片段：
　　pixfirewall(config)#access-list?
　　Usage:[no]access-listcompiled
　　[no]access-listcompiled
　　[no]access-listdeny|permit|object-group
　　
　　|object-group　
　　[[]|object-group]
　　|object-group　
　　[[]|object-group]
　　[no]access-listdeny|permiticmp
　　|object-group　
　　|object-group　
　　[|object-group]

从帮助信息中大致了解到应该先写源IP，后写目标IP，因此对于我们想限制对于某

个IP地址的访问就应该写成access-list acl_inside deny ip any host 58.61.155.44

三、具体的操作步骤

为了保障在添加一条对于某个IP地址限制的过程中PIX520的正常工作不受影响，我

们应该按照以下步骤来进行操作

1、在内外端口上停掉访问控制列表

以下是引用片段：
　　pixfirewall#conft
　　pixfirewall(config)#access-groupacl_insideininterfaceoutside
　　pixfirewall(config)#access-groupacl_insideininterfaceinside

2、去掉访问列表acl_inside

以下是引用片段：
　　pixfirewall#conft
　　pixfirewall(config)#noaccess-listacl-inside

3、重写access-list

以下是引用片段：
　　pixfirewall(config)#access-listacl_insidedenyudpanyanyeqtftp
　　pixfirewall(config)#access-listacl_insidedenytcpanyanyeq135
　　pixfirewall(config)#access-listacl_insidedenyudpanyanyeq135
　　pixfirewall(config)#access-listacl_insidedenytcpanyanyeq137
　　pixfirewall(config)#access-listacl_insidedenyudpanyanyeqnetbios
　　-ns
　　pixfirewall(config)#access-listacl_insidedenytcpanyanyeq138
　　pixfirewall(config)#access-listacl_insidedenyudpanyanyeqnetbios
　　-dgm
　　pixfirewall(config)#access-listacl_insidedenytcpanyanyeqnetbios
　　-ssn
　　pixfirewall(config)#access-listacl_insidedenyudpanyanyeq139
　　pixfirewall(config)#access-listacl_insidedenytcpanyanyeq445
　　pixfirewall(config)#access-listacl_insidedenytcpanyanyeq593
　　pixfirewall(config)#access-listacl_insidedenytcpanyanyeq4444
　　pixfirewall(config)#access-listacl_insidepermittcpanyanyeq1723
　　pixfirewall(config)#access-listacl_insidepermitgreanyany
　　pixfirewall(config)#access-listacl_insidedenyipanyhost
　　58.61.155.44
　　pixfirewall(config)#access-listacl_insidepermitipanyany

即保证permit ip any any这条命令是在最后面一行

4、在内外端口上应用访问列表

以下是引用片段：
　　pixfirewall(config)#access-gropuacl_insideininteroutside
　　pixfirewall(config)#access-gropuacl_insideininteroutside

四、验证是否真正的对某个IP地址进行了限制

1、 进行完配置后肯定要先看一下当前配置：show run

2、可以通过tracert命令来验证，如下所示：

以下是引用片段：
　　D:DocumentsandSettingsAdministrator>tracertwww.ttsou.cn
　　Tracingroutetowww.ttsou.cn[58.61.155.44]
　　overamaximumof30hops:
　　1<1ms<1ms<1ms10.75.0.1
　　2***Requesttimedout.
　　3***Requesttimedout.
　　4***Requesttimedout.
　　5***Requesttimedout.

从中可以看出，对于www.ttsou.cn这个网址从三层交换机往上就不通了，证明在PIX520防火墙上已经成功的阻止了对于该网址的访问。