访问控制列表（防火墙过滤器）

匹配 IPv4 目标地址字段。您可以提供带有可选子网掩码的前缀。

匹配 UDP 或 TCP 目标端口字段。

配置基于端口的匹配时，还必须在同一筛选条件词中配置 protocol udp or protocol tcp match 语句。仅对端口值进行匹配可能会导致意外匹配。

要代替数值，可以指定以下文本同义词之一（端口号也会列出）： afs （1483）， bgp （179）， biff （512）， bootpc （68）， bootps （67）， cmd （514）， cvspserver （2401）， dhcp （67）， domain （53）， eklogin （2105）， ekshell （2106）， exec （512）， finger （79）， ftp （21）， ftp-data （20）， http （80）， https （443）， ident （113）， imap （143）， kerberos-sec （88）， klogin （543）， kpasswd （761）， krb-prop （754）， krbupdate （760）， kshell （544）， ldap （389）， ldp （646）， （513）， login （513）， mobileip-agent （434）、 mobilip-mn （435）、 msdp （639）、 netbios-dgm （138）、 netbios-ns （137）、 netbios-ssn （139）、 nfsd （2049）、 nntp （119）、 ntalk （518）、 ntp （123）、 pop3 （110）、 pptp （1723）、 printer （515）、 radacct （1813）、 radius （1812）、 rip （520）、 rkinit （2108）、 smtp （25）、 snmp （161）、 snmptrap （162）、 snpp （444）、 socks （1080）、 ssh （22）、 sunrpc （111）、 syslog （514）、 tacacs （49）、 tacacs-ds （65）、 talk （517）、 telnet （23）、 tftp （69）、 timed （525）、 who （513）或 xdmcp （177）。

匹配发送数据包的源节点的 IPv4 地址。您可以提供带有可选子网掩码的前缀。

匹配 UDP 或 TCP 源端口字段。

配置基于端口的匹配时，还必须在同一筛选条件词中配置 protocol udp or protocol tcp match 语句。仅对端口值进行匹配可能会导致意外匹配。

要代替数值，可以指定与匹配条件一起 destination-port number 列出的文本同义词之一。

匹配 IP 协议类型字段。要代替数值，可以指定以下文本同义词之一（也会列出字段值）： ah （51）、 dstopts （60）、 egp （8）、 esp （50）、（44）、 fragment gre （47）、 hop-by-hop （0）、 icmp （1）、 icmp6 （58）、（58）、 icmpv6 igmp （2）、 ipip （4）、 ipv6 （41）、 ospf （89）、 pim （103）、 rsvp （46）、 sctp （132）、 tcp （6）、 udp （17） 或 vrrp （112）。

匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。

若要指定各个位字段，可以指定以下文本同义词或十六进制值：

• fin （0x01）

• syn （0x02）

• rst （0x04）

• push （0x08）

• ack （0x10）

• urgent （0x20）

在 TCP 会话中，SYN 标志仅在发送的初始数据包中设置，而 ACK 标志在初始数据包之后发送的所有数据包中设置。

您可以使用位字段逻辑运算符将多个标志串在一起。

如果配置此匹配条件，建议同时使用同一术语配置 protocol tcp match 语句，以指定端口上是否使用了 TCP 协议。

匹配 IPv6 目标地址字段。您可以提供带有可选子网掩码的前缀。

匹配 UDP 或 TCP 目标端口字段。

配置基于端口的匹配时，还必须在同一筛选条件词中配置 protocol udp or protocol tcp match 语句。仅对端口值进行匹配可能会导致意外匹配。

要代替数值，可以指定以下文本同义词之一（端口号也会列出）： afs （1483）， bgp （179）， biff （512）， bootpc （68）， bootps （67）， cmd （514）， cvspserver （2401）， dhcp （67）， domain （53）， eklogin （2105）， ekshell （2106）， exec （512）， finger （79）， ftp （21）， ftp-data （20）， http （80）， https （443）， ident （113）， imap （143）， kerberos-sec （88）， klogin （543）， kpasswd （761）， krb-prop （754）， krbupdate （760）， kshell （544）， ldap （389）， ldp （646）， （513）， login （513）， mobileip-agent （434）、 mobilip-mn （435）、 msdp （639）、 netbios-dgm （138）、 netbios-ns （137）、 netbios-ssn （139）、 nfsd （2049）、 nntp （119）、 ntalk （518）、 ntp （123）、 pop3 （110）、 pptp （1723）、 printer （515）、 radacct （1813）、 radius （1812）、 rip （520）、 rkinit （2108）、 smtp （25）、 snmp （161）、 snmptrap （162）、 snpp （444）、 socks （1080）、 ssh （22）、 sunrpc （111）、 syslog （514）、 tacacs （49）、 tacacs-ds （65）、 talk （517）、 telnet （23）、 tftp （69）、 timed （525）、 who （513）或 xdmcp （177）。

匹配发送数据包的源节点的 IPv6 地址。您可以提供带有可选子网掩码的前缀。

匹配 UDP 或 TCP 源端口字段。

配置基于端口的匹配时，还必须在同一筛选条件词中配置 protocol udp or protocol tcp match 语句。仅对端口值进行匹配可能会导致意外匹配。

要代替数值，可以指定与匹配条件一起 destination-port number 列出的文本同义词之一。

匹配 TCP 报头的 8 位 TCP 标志字段中的一个或多个低阶 6 位。

若要指定各个位字段，可以指定以下文本同义词或十六进制值：

• fin （0x01）

• syn （0x02）

• rst （0x04）

• push （0x08）

• ack （0x10）

• urgent （0x20）

在 TCP 会话中，SYN 标志仅在发送的初始数据包中设置，而 ACK 标志在初始数据包之后发送的所有数据包中设置。

您可以使用位字段逻辑运算符将多个标志串在一起。

accept —接受数据包

discard —以静默方式丢弃数据包，而不发送互联网控制消息协议 （ICMP） 消息。丢弃的数据包可用于记录和采样。