防火墻的配置

1、標準標準ACL和擴展和擴展ACL的區(qū)別的區(qū)別ACL的分類目前有兩種主要的ACL:標準ACL和擴展ACL。這兩種ACL的區(qū)別是，標準ACL只檢查數據包的源地址擴展ACL既檢查數據包的源地址，也檢查數據包的目的地址，同時還可以檢查數據包的特定協議類型、端口號等。網絡管理員可以使用標準ACL阻止來自某一網絡的所有通信流量，或者允許來自某一特定網絡的所有通信流量，或者拒絕某一協議簇（比如IP）的所有通信流量。擴展ACL比標準ACL提供了更廣泛的

2、控制范圍。例如，網絡管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Tel等通信流量”，那么，他可以使用擴展ACL來達到目的，標準ACL不能控制這么精確。在路由器配置中，標準ACL和擴展ACL的區(qū)別是由ACL的表號來體現的，上表指出了每種協議所允許的合法表號的取值范圍。反掩碼反掩碼[編輯本段]通配符掩碼(wildcardmask)路由器使用的通配符掩碼(或反掩碼)與源或目標地址一起來分辨匹配的地址范圍，它跟子網掩碼剛

3、好相反。它像子網掩碼告訴路由器IP地址的哪一位屬于網絡號一樣，通配符掩碼告訴路由器為了判斷出匹配，它需要檢查IP地址中的多少位。這個地址掩碼對使我們可以只使用兩個32位的號碼來確定IP地址的范圍。這是十分方便的，因為如果沒有掩碼的話，你不得不對每個匹配的IP客戶地址加入一個單獨的訪問列表語句。這將造成很多額外的輸入和路由器大量額外的處理過程。所以地址掩碼對相當有用。在子網掩碼中，將掩碼的一位設成1表示IP地址對應的位屬于網絡地址部分。相

4、反，在訪問列表中將通配符掩碼中的一位設成1表示IP地址中對應的位既可以是1又可以是0。有時，可將其稱作“無關”位，因為路由器在判斷是否匹配時并不關心它們。掩碼位設成0則表示IP地址中相對應的位必須精確匹配。[編輯本段]通配符掩碼值為：廣播全1(二進制)地址減去子網掩碼二制制值，即：11111111.11111111.11111111.1111111111111111.11111111.11111111.11111000得到結果為：000

5、00000.00000000.00000000.00000111轉換為十進制：0.0.0.7(2)、通配符掩碼=255掩碼.255掩碼.255掩碼.255掩碼，即：255255.255255.255255.255248=0.0.0.7二、求子網掩碼255.255.128.0通配符掩碼(反掩碼)(1)、把子網掩碼255.255.128.0轉換成二進制為：11111111.11111111.10000000.0000000通配符掩碼值為：廣

6、播全1(二進制)地址減去子網掩碼二制制值，即：11111111.11111111.11111111.1111111111111111.11111111.10000000.0000000得到結果為：00000000.00000000.01111111.11111111轉換為十進制：0.0.127.255(2)、通配符掩碼=255掩碼.255掩碼.255掩碼.255掩碼，即：255255.255255.255128.2550=0.0.127