“FTP 和 Telnet 访问控制项格式”帮助
控制项的一般格式是 'client_identifier'
或者 'client_identifier EXCEPT client_identifier'
。“FTP 和 Telnet 访问”页面允许您输入这两种格式中的任意一种格式。
如果您选择使用某一条目中的主机名,那么请使用全限定主机名。例如,请使用 foo.example.com,而不是 foo。
注意:如果您试图阻拦以主机名进行的访问,但设备未能解析出这些主机名,那么该设备将允许访问。只允许访问指定的主机比试图阻拦某些主机要更安全。
例如,规则 all except foo.example.com 允许访问大多数主机,但阻拦 foo.example.com 的主机。但若设备未能解析出 foo.example.com 的名称,则 foo.example.com 可以进行连接,因为设备无法识别该主机名。
另一方面,规则 .ibm.com 只允许连接 ibm.com 域的主机,而且如果设备未能解析 ibm.com,则无法连接任何主机。根据您对安全的不同需求,这或许是在安全性失效时的更保险的方法。
client_identifier
的格式为 pattern [, pattern [, pattern]]
(即,一种或多种模式的列表,中间用逗号或空格分开)。
每种模式的格式如下所示:
模式格式 | 模式类型 | 描述 | |
---|---|---|---|
'a.b.c.d' | IP 地址 | 指定主机的 IP 地址 ('a.b.c.d')。和具有这个 IP 地址的远程系统(主机)匹配。 | |
'a.' -或- 'a.b.' -或- 'a.b.c.' |
部分 IP 地址 | 和任何 IP 地址以指定的部分 IP 地址起始的主机匹配。部分 IP 地址可以是一个、两个或者三个字节(如 '192.168.' 匹配任何 IP 地址为 192.168.x.x 的系统)。部分 IP 地址模式必须以 '.' 结束。 . | |
'name' -或- 'name.domain' |
主机名 | 指定主机的主机名。匹配具有这个主机名的远程系统(主机)。 | |
'.domainname' | 域名 | 主机名中包含(结束于)指定域名的任何主机(例如,'.ibm.com' 和任何主机名以 '.ibm.com' 结尾的系统相匹配)。部分域名模式必须以 '.' 开始。 . | |
'a.b.c.d/w.x.y.z' | 网络地址 | 'a.b.c.d' 是网络地址,'w.x.y.z' 是网络掩码。这个条目和网络地址定义的子网中的任何主机匹配(即,子网是通过将指定的网络掩码叠加到发出请求的系统的 IP 地址上来计算的,如果结果等于指定的网络地址,则该系统和该条目匹配)。 | |
KNOWN | 已知的主机 | 一个和任何已知主机匹配的通配符(即,可以使用 DNS 进行解析)。 | |
UNKNOWN | 未知主机 | 一个和任何未知主机匹配的通配符(即,使用 DNS 无法解析)。 | |
LOCAL | 本地主机 | 一个和任何本地主机匹配的通配符(即,主机名中不包含点)。 | |
PARANOID | 受电子欺骗的主机 | 一个通配符,它和任何主机名与自身 IP 地址不匹配的主机匹配(即,该主机被欺骗)。 | |
ALL | 所有主机 | 一个和所有主机匹配的通配符。通常用于授权访问网络中的所有主机。 |
这里有一些示例:
.example.com EXCEPT a.example.com, b.example.com
9. 10. EXCEPT badhost.example.com 10.2.2.3
ALL EXCEPT PARANOID, badhost.example.com