ACL訪問控制列表配置

1、ACL的使用ACL的處理過程：1.它是判斷語句，只有兩種結(jié)果，要么是拒絕（deny），要么是允許（permit）2.語句順序按照由上而下的順序處理列表中的語句3. 語句排序處理時，不匹配規(guī)則就一直向下查找，一旦某條語句匹配，后續(xù)語句不再處理。4.隱含拒絕如果所有語句執(zhí)行完畢沒有匹配條目默認丟棄數(shù)據(jù)包，在控制列表的末尾有一條默認拒絕所有的語句，是隱藏的（deny）要點：1.ACL能執(zhí)行兩個操作：允許或拒絕。語句自上而下執(zhí)行。一旦發(fā)現(xiàn)匹配，后續(xù)語句就不再進行處理-因此先后順序很重要。如果沒有找到匹配，ACL末尾不可見的隱含拒絕語句將丟棄分組。一個ACL應該至少有一條permit語句；否則所有流量都

2、會丟棄，因為每個ACL末尾都有隱藏的隱含拒絕語句。2.如果在語句結(jié)尾增加 deny any的話可以看到拒絕記錄3.Cisco ACL有兩種類型一種是標準另一種是擴展，使用方式習慣不同也有兩種方式一種是編號方式，另一種是命名方式。示例：編號方式標準的ACL使用 1 99 以及13001999之間的數(shù)字作為表號，擴展的ACL使用 100 199以及20002699之間的數(shù)字作為表號一、標準（標準ACL可以阻止來自某一網(wǎng)絡的所有通信流量，或者允許來自某一特定網(wǎng)絡的所有通信流量，或者拒絕某一協(xié)議簇（比如IP）的所有通信流量。）允許22通過，其他主機禁止Cisco-3750(con

3、fig)#access-list 1（策略編號）（1-99、1300-1999） permit host 22禁止22通過,其他主機允許Cisco-3750(config)#access-list 1 deny host 22Cisco-3750(config)#access-list 1 permit any允許/24通過,其他主機禁止Cisco-3750(config)#access-list 1 permit 54（反碼55減去子網(wǎng)掩碼，

4、如/24的55=55）禁止/24通過,其他主機允許Cisco-3750(config)#access-list 1 deny 54Cisco-3750(config)#access-list 1 permit any二、擴展（擴展ACL比標準ACL提供了更廣泛的控制范圍。例如，網(wǎng)絡管理員如果希望做到“允許外來的Web通信流量通過，拒絕外來的FTP和Telnet等通信流量”，那么，他可以使用擴展ACL來達到目的，標準ACL不能控制這么精確。）允許17

5、22訪問任何主機80端口，其他主機禁止Cisco-3750(config)#access-list 100 permit tcp host 22（源） any（目標） eq www允許所有主機訪問22主機telnet（23）端口其他禁止Cisco-3750(config)#access-list 100（100-199、2000-2699） permit tcp any host 22 eq 23接口應用（入方向）（所有ACL只有應用到接口上才能起作用）Cisco-3750(config)#int g1/0/1

6、Cisco-3750(config-if)#ip access-group 1 in（出方向out）命名方式一、 標準建立標準ACL命名為test、允許22通過，禁止23通過，其他主機禁止Cisco-3750(config)#ip access-list standard testCisco-3750(config-std-nacl)#permit host 22Cisco-3750(config-std-nacl)#deny host 23建立標準ACL命名為test、禁止23通過，

7、允許其他所有主機。Cisco-3750(config)#ip access-list standard testCisco-3750(config-std-nacl)#deny host 23Cisco-3750(config-std-nacl)#permit any二、擴展建立擴展ACL命名為test1，允許22訪問所有主機80端口，其他所有主機禁止Cisco-3750(config)#ip access-list extended test1Cisco-3750(config-ext-nacl)#permit tcp host 172.17.31

8、.222 any eq www建立擴展ACL命名為test1，禁止所有主機訪問22主機telnet（23）端口，但允許訪問其他端口Cisco-3750(config)#ip access-list extended test1Cisco-3750(config-ext-nacl)#deny tcp any host 22 eq 23Cisco-3750(config-ext-nacl)#permit tcp any any接口應用（入方向）（所有ACL只有應用到接口上才能起作用）Cisco-3750(config)#int g1/0/1Cisco-3

9、750(config-if)#ip access-group test in（出方向out）接口應用原則標準ACL，的應用靠近目標地址擴展ACL，的應用靠近源地址網(wǎng)上資料：Cisco ACL原理及配置詳解什么是ACL?訪問控制列表簡稱為ACL，訪問控制列表使用包過濾技術，在路由器上讀取第三層及第四層包頭中的信息如源地址，目的地址，源端口，目的端口等，根據(jù)預先定義好的規(guī)則對包進行過濾，從而達到訪問控制的目的。該技術初期僅在路由器上支持，近些年來已經(jīng)擴展到三層交換機，部分最新的二層交換機也開始提供ACL的支持了。訪問控制列表使用原則由于ACL涉及的配置命令很靈活，功能也很強大，所以我們不能只通過一

10、個小小的例子就完全掌握全部ACL的配置。在介紹例子前為大家將ACL設置原則羅列出來，方便各位讀者更好的消化ACL知識。、1.訪問控制列表的列表號指出了是那種協(xié)議的訪問控制列表，各種協(xié)議有自己的訪問控制列表，而每個協(xié)議的訪問控制列表又分為標準訪問控制列表和擴展訪問控制列表，通過訪問控制列表的列表號區(qū)別。2.訪問控制列表的語句順訊決定了對數(shù)據(jù)包的控制順序。3.限制性語句應該放在訪問控制列表的首行。把限制性語句放在訪問控制列表的首行或者語句中靠近前面的位置上，把“全部允許”或者“全部拒絕”這樣的語句放在末行或者接近末行，可以防止出現(xiàn)諸如本該拒絕的數(shù)據(jù)包卻被放過的情況。3.最小特權原則只給受控對象完成

11、任務所必須的最小的權限。也就是說被控制的總規(guī)則是各個規(guī)則的交集，只滿足部分條件的是不容許通過規(guī)則的。4.新的表項只能被添加到訪問控制列表的末尾，這意味著不可能改變已有訪問控制列表的功能。如果必須改變，只能先刪除原有訪問控制列表，再重新創(chuàng)建、應用。5.在訪問控制列表應用到接口之前，一定要先建立訪問控制列表。首先在全局模式下建立訪問控制列表，然后把它應用在接口的進口或者出口方向上。在接口上應用一個不存在的訪問控制列表是不可能的。6.訪問控制列表的語句不肯能被逐條的刪除，只能一次性刪除整個訪問控制列表。7.在訪問控制列表的最后有一條隱含的“全部拒絕”的命令，所以在訪問控制列表里一定要至少有一條“允許

12、”的語句。8.訪問控制列表智能過濾通過路由器的數(shù)據(jù)包，不能過濾從路由器本身發(fā)出的數(shù)據(jù)包。9.在路由選擇進行以前，應用在接口進入方向的訪問控制列表起作用。10.在路由選擇決定以后，應用在接口離開方向的訪問控制列表起作用11.最靠近受控對象原則所有的網(wǎng)絡層訪問權限控制。也就是說在檢查規(guī)則時是采用自上而下在ACL中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。12.默認丟棄原則在CISCO路由交換設備中默認最后一句為ACL中加入了DENY ANY ANY，也就是丟棄所有不符合條件的數(shù)據(jù)包。這一點要特別注意，雖然我們可以修改這個默認，但未改前一定要引起重視。由于ACL是使用

13、包過濾技術來實現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法識別到應用內(nèi)部的權限級別等。因此，要達到端到端的權限控制目的，需要和系統(tǒng)級及應用級的訪問權限控制結(jié)合使用。一標準訪問列表：訪問控制列表ACL分很多種，不同場合應用不同種類的ACL。其中最簡單的就是標準訪問控制列表，標準訪問控制列表是通過使用IP包中的源網(wǎng)絡、子網(wǎng)或主機的IP地址進行過濾，使用的訪問控制列表號1到99來創(chuàng)建相應的ACL標準訪問控制列表只能檢查數(shù)據(jù)包的原地址，使用的局限性大，但是配置簡單，是最簡單的ACL。它的具體格式如下：access-list ACL號

14、 permit|deny host ip地址例如：access-list 10 deny host 這句命令是將所有來自地址的數(shù)據(jù)包丟棄。當然我們也可以用網(wǎng)段來表示，對某個網(wǎng)段進行過濾。命令如下：access-list 10 deny 55通過上面的配置將來自/24的所有計算機數(shù)據(jù)包進行過濾丟棄。為什么后頭的子網(wǎng)掩碼表示的是55呢?這是因為CISCO規(guī)定在ACL中用反向掩瑪表示子網(wǎng)掩碼，反向掩碼為55的代表他的子網(wǎng)掩碼為。（1）通配符 a

15、ny為表示任何IP地址通過，網(wǎng)絡管理員輸入；然后，還要指出訪問控制列表將要忽略的任何值，相應的通配符掩碼位是“1“（55）.此時，網(wǎng)絡管理員可以使用縮寫字“any”代替 55例如：Router(config)#access-list 1 permit 55等于Router(config)#access-list 1 permit any（2）通配符 host若網(wǎng)絡管理員想要與整個IP主機地址的所有位相匹配，可以使用縮寫字 “host”。在訪問控制列表拒絕一個特定的主機地址時

16、，為了表示這個主機IP地址，網(wǎng)絡管理員要輸入全部的地址，相應的通配符掩碼全為0.例如：Router(config)#access-list 1 deny 9 等于 Router(config)#access-list 1 deny host 9小提示：對于標準訪問控制列表來說，默認的命令是HOST，也就是說access-list 10 deny 表示的是拒絕這臺主機數(shù)據(jù)包通訊，可以省去我們輸入host命令。標準訪問控制列表實例一（只允許某個IP地址，否定其它的）我們采用如圖所示的網(wǎng)絡結(jié)構。

17、路由器連接了二個網(wǎng)段，分別為/24，/24。在/24網(wǎng)段中有一臺服務器提供WWW服務，IP地址為3。實例1：禁止/24網(wǎng)段中除3這臺計算機訪問/24的計算機。3可以正常訪問/24。路由器配置命令:Router（config）#access-list 1 permit host 3 /設置ACL，容許3的數(shù)據(jù)包通過( 定義訪問控制列表命令：Router（config）#acces

18、s-list access-list-number permit|deny test-condition)Router（config）#access-list 1 deny any /設置ACL，阻止其他一切IP地址進行通訊傳輸。Router（config）#interface e 1 /進入E1端口。Router（config）#ip access-group 1 in /將ACL 1宣告(訪問控制列表應用到某一端口上的命令：Router（config）#ip access-group access-list-number in|out經(jīng)過設置后E1端口就只容許來自3這個

19、IP地址的數(shù)據(jù)包傳輸出去了。來自其他IP地址的數(shù)據(jù)包都無法通過E1傳輸。小提示：由于CISCO默認添加了DENY ANY的語句在每個ACL中，所以上面的access-list 1 deny any這句命令可以省略。另外在路由器連接網(wǎng)絡不多的情況下也可以在E0端口使用ip access-group 1 out命令來宣告，宣告結(jié)果和上面最后兩句命令效果一樣。 通常ACL被應用在出站接口比應用在入站接口效率要高，因此大多把它應用在出站接口。標準訪問控制列表實例二（否定其中一個IP地址，其它的都允許訪問）配置任務：禁止3這個計算機對/24網(wǎng)段的訪問，而172.1

20、6.4.0/24中的其他計算機可以正常訪問。路由器配置命令：Router（config）#access-list 1 deny host 3 /設置ACL，禁止3的數(shù)據(jù)包通過Router（config）#access-list 1 permit any /設置ACL ，容許其他地址的計算機進行通訊Router（config）#interface e 1 /進入E1端口Router（config）#ip access-group 1 in /將ACL1宣告(同理可以進入E0端口后使用ip access-group 1 out來完成宣告。)配置完畢后除了17

21、3其他IP地址都可以通過路由器正常通訊，傳輸數(shù)據(jù)包。標準訪問控制列表實例三（允許一個網(wǎng)絡范圍內(nèi)的IP地址訪問）配置允許源地址為/子網(wǎng)上的主機登陸路由器Router(config)#access-list 1 permit 55 /訪問控制列表允許 網(wǎng)段的主機訪問(55是采用子網(wǎng)掩碼的反碼)Router(config)#_ /路由器處于全局配置模式配置應用接口：Router(config)#line vty 0 5 /是最大允許5個人同時telnet Route

22、r登陸(vty是虛擬終端的意思，參見：VTY)Router(config-line)#access-class 1 in / 將條件施加在虛擬終端線路上，配置在路由器的進口處，將ACL1宣告(用access-class將訪問控制列表施加于VTY線路，或WEB接口，access-group則施加到接口)在特權模式下，查看訪問控制列表配置信息：Router #show configuration!Access-list 1 permit 55!line vty 0 5access-class 1 in!標準訪問控制列表實例四（允許幾個IP地址訪問）配置只允許

23、源地址為和的兩臺主機登陸路由器Router(config)#access-list 10 permit /訪問控制列表允許IP地址為的主機訪問Router(config)#access-list 10 permit /訪問控制列表允許IP地址為的主機訪問Router(config)#_ access-list 10 deny any /其它主機都不允許訪問 配置應用接口：Router(config)#line vty 0 5 /是最大允許5個人同時tel

24、net Router登陸(vty是虛擬終端的意思，參見：VTY)Router(config-line)#access-class 10 in / 將條件施加在虛擬終端線路上，配置在路由器的進口處，將ACL10宣告(用access-class將訪問控制列表施加于VTY線路，或WEB接口，access-group則施加到接口)在特權模式下，查看訪問控制列表配置信息：Router #show configuration!Access-list 10 permit Access-list 10 permit !line vty 0 5access-clas

25、s 10 in!在特權模式下查看訪問控制列表：Router #show access-listsStandard IP access list 10Permit Permit Deny any標準訪問控制列表實例五禁止源地址為非法地址的數(shù)據(jù)包進入路由器或從路由器輸出在全局配置模式下：Router(config)#access-list 30 deny 55 log /30號 ACL不允許10打頭的所有地址訪問，并且記錄下每次訪問的情況）(log會把每次10地址訪問的記錄下來，用命令可以查看。沒有l(wèi)og，只能在

26、access-list里看統(tǒng)計總數(shù)。)Router(config)#access-list 30 deny 3 55 /30號ACL不允許203.105.1打頭的所有IP訪問Router(config)#access-list 30 deny 55 / 30號ACL不允許192.168打頭的所有IP訪問Router(config)#access-list permit deny /ACL允許其它任何的IP訪問配置應用接口：Router(config)#interface g0/1 /進入吉比特以太網(wǎng)配置模式，端口為0

27、/1Router(config-if)#access-group 30 in /將30號控制列表配置在路由器進口處在特權用戶模式下，查看訪問控制列表信息：Router#show configuration在特權用戶模式下，查看訪問控制列表：Router#show access-lists標準訪問控制列表實例六刪除該訪問控制列表中的所有條件判斷，然后再重新建立Router(config)#no access-list 30（刪除訪問控制列表命令：no access-list list-number）總結(jié)：標準ACL占用路由器資源很少，是一種最基本最簡單的訪問控制列表格式。應用比較廣泛，經(jīng)常在要求

28、控制級別較低的情況下使用。如果要更加復雜的控制數(shù)據(jù)包的傳輸就需要使用擴展訪問控制列表了，他可以滿足我們到端口級的要求。二擴展訪問列表：上面我們提到的標準訪問控制列表是基于IP地址進行過濾的，是最簡單的ACL。那么如果我們希望將過濾細到端口怎么辦呢?或者希望對數(shù)據(jù)包的目的地址進行過濾。這時候就需要使用擴展訪問控制列表了。使用擴展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他使用某個特定服務(例如WWW，F(xiàn)TP等)。擴展訪問控制列表使用的ACL號為100到199。ACL：限制源地址、目標地址擴展ACL：限制源地址、目標地址、協(xié)議、端口號擴展訪問控制列表的格式剛剛我們提到了標準訪問控制列表

29、，他是基于IP地址進行過濾的，是最簡單的ACL。那么如果我們希望將過濾細到端口怎么辦呢?或者希望對數(shù)據(jù)包的目的地址進行過濾。這時候就需要使用擴展訪問控制列表了。使用擴展IP訪問列表可以有效的容許用戶訪問物理LAN而并不容許他使用某個特定服務(例如WWW，F(xiàn)TP等)。擴展訪問控制列表使用的ACL號為100到199。擴展訪問控制列表的格式：擴展訪問控制列表是一種高級的ACL，配置命令的具體格式如下：(1)定義擴展訪問控制列表access-list ACL號 permit|deny 協(xié)議 定義過濾源主機范圍 定義過濾源端口 定義過濾目的主機訪問 定義過濾目的端口access-list access-

30、list-number permit|deny protocol source wildcard-mask destination wildcard-mask operatoroperandoperator(操作)有It（小于）、gt（等于）、eq（等于）、neq（不等于）幾種；operand指的是端口號。例如：access-list 101 deny tcp any host eq www這句命令是將所有主機訪問這個地址網(wǎng)頁服務(WWW)TCP連接的數(shù)據(jù)包丟棄。（2）應用到接口Ip access-group access-list-number

31、in|out注意：如果in和out都沒有指定，那么默認地認為是out。小提示：同樣在擴展訪問控制列表中也可以定義過濾某個網(wǎng)段，當然和標準訪問控制列表一樣需要我們使用反向掩碼定義IP地址后的子網(wǎng)掩碼。擴展訪問控制列表實例一(拒絕轉(zhuǎn)發(fā)符合協(xié)議和端口號條件的IP地址)拒絕轉(zhuǎn)發(fā)所有IP地址進出的端口號為1433的UDP協(xié)議數(shù)據(jù)包在全局配置模式下：Router(config)#access-list 130 deny udp any eq 1433 /創(chuàng)建130號ACL，拒絕轉(zhuǎn)發(fā)所有進出1433端口UDP包的IP地址Router(config)#access-list 130 permit ip any

32、 any /允許其它任何IP地址訪問服務器Router(config)#_ /路由器正處于全局配置模式配置應用接口：Router(config)#interface g0/1 / 進入吉比特以太網(wǎng)配置模式，端口為0/1Router(config-if)#ip access-group 130 in / 將設置好條件的130號ACL配置在路由器進口Router(config-if)#ip access-group 130 out /將設置好條件的130號ACL配置在路由器出口Router(config-if)#_ /路由器正處于端口配置模式特權用戶模式下，查看訪問控制列表：Router #sho

33、w access-listsExtended IP access list 130Deny udp any any eq 1433Permit ip any any擴展訪問控制列表實例二禁封一臺主機：在全局模式下：Router（config）#access-list 112 deny ip host 30 any log /ACL不允許IP地址為30的主機訪問服務器，提供任何（ 55）IP地址訪問記錄(以上命令的host 30，等價于30 后面的

34、表示ACL要的條件要與IP地址 30中的每一位匹配，才能拒絕，很明顯，換句話說ACL要拒絕的就是IP地址為30的主機)Router（config）#access-list 112 deny ip any host 30 log /允許任何IP地址but 30Router（config）#access-list permit any any /允許任何其它IP地址訪問Router(config)#interface g0/1 / 進入吉比特以太網(wǎng)配置模式，端口為0/1Router(con

35、fig-if)#ip access-group 122 in / 將設置好條件的122號ACL配置在路由器進口Router(config-if)#ip access-group 122 out /將設置好條件的122號ACL配置在路由器出口Router(config-if)#_ /路由器正處于端口配置模式特權用戶模式下，查看訪問控制列表：Router #show access-listsExtended IP access list 122deny ip host 30 anydeny ip any host 30Permit ip any an

36、y擴展訪問控制列表實例采用如圖所示的網(wǎng)絡結(jié)構。路由器連接了二個網(wǎng)段，分別為/24,/24。在/24網(wǎng)段中有一臺服務器提供WWW服務，IP地址為3。配置任務：禁止的計算機訪問的計算機，包括那臺服務器，不過惟獨可以訪問3上的WWW服務，而其他服務不能訪問。路由器配置命令：(應用到接口)access-list 101 permit tcp any 3 eq www 設置ACL101，容許源地址為任意IP，目的地址為172.16

37、.4.13主機的80端口即WWW服務。由于CISCO默認添加DENY ANY的命令，所以ACL只寫此一句即可。int e 1 進入E1端口ip access-group 101 out 將ACL101宣告出去設置完畢后的計算機就無法訪問的計算機了，就算是服務器3開啟了FTP服務也無法訪問，惟獨可以訪問的就是3的WWW服務了。而的計算機訪問的計算機沒有任何問題。擴展ACL有一個最大的好處就是可以保護服務器，例如很多服務器為了更好的提供服務都是暴露在公網(wǎng)上的，這時為了保證服務正常

38、提供所有端口都對外界開放，很容易招來黑客和病毒的攻擊，通過擴展ACL可以將除了服務端口以外的其他端口都封鎖掉，降低了被攻擊的機率。如本例就是僅僅將80端口對外界開放?？偨Y(jié)：擴展ACL功能很強大，他可以控制源IP，目的IP，源端口，目的端口等，能實現(xiàn)相當精細的控制，擴展ACL不僅讀取IP包頭的源地址/目的地址，還要讀取第四層包頭中的源端口和目的端口的IP。不過他存在一個缺點，那就是在沒有硬件ACL加速的情況下，擴展ACL會消耗大量的路由器CPU資源。所以當使用中低檔路由器時應盡量減少擴展ACL的條目數(shù)，將其簡化為標準ACL或?qū)⒍鄺l擴展ACL合一是最有效的方法?；诿Q的訪問控制列表不管是標準訪問

39、控制列表還是擴展訪問控制列表都有一個弊端，那就是當設置好ACL的規(guī)則后發(fā)現(xiàn)其中的某條有問題，希望進行修改或刪除的話只能將全部ACL信息都刪除。也就是說修改一條或刪除一條都會影響到整個ACL列表。這一個缺點影響了我們的工作，為我們帶來了繁重的負擔。不過我們可以用基于名稱的訪問控制列表來解決這個問題。一、基于名稱的訪問控制列表的格式：ip access-list standard|extended ACL名稱例如：ip access-list standard softer就建立了一個名為softer的標準訪問控制列表。二、基于名稱的訪問控制列表的使用方法：當我們建立了一個基于名稱的訪問列表后就可

40、以進入到這個ACL中進行配置了。例如我們添加三條ACL規(guī)則permit permit permit 如果我們發(fā)現(xiàn)第二條命令應該是而不是，如果使用不是基于名稱的訪問控制列表的話，使用no permit 后整個ACL信息都會被刪除掉。正是因為使用了基于名稱的訪問控制列表，我們使用no permit 后第一條和第三條指令依然存在?？偨Y(jié)：如果設置ACL的規(guī)則比較多的話，應該使用基于名稱的訪問控制列表進行管理，這樣可以減輕很多后

41、期維護的工作，方便我們隨時進行調(diào)整ACL規(guī)則。反向訪問控制列表：我們使用訪問控制列表除了合理管理網(wǎng)絡訪問以外還有一個更重要的方面，那就是防范病毒，我們可以將平時常見病毒傳播使用的端口進行過濾，將使用這些端口的數(shù)據(jù)包丟棄。這樣就可以有效的防范病毒的攻擊。不過即使再科學的訪問控制列表規(guī)則也可能會因為未知病毒的傳播而無效，畢竟未知病毒使用的端口是我們無法估計的，而且隨著防范病毒數(shù)量的增多會造成訪問控制列表規(guī)則過多，在一定程度上影響了網(wǎng)絡訪問的速度。這時我們可以使用反向控制列表來解決以上的問題。反向訪問控制列表的用途及格式一、反向訪問控制列表的用途反向訪問控制列表屬于ACL的一種高級應用。他可以有效的

42、防范病毒。通過配置反向ACL可以保證AB兩個網(wǎng)段的計算機互相PING，A可以PING通B而B不能PING通A。說得通俗些的話就是傳輸數(shù)據(jù)可以分為兩個過程，首先是源主機向目的主機發(fā)送連接請求和數(shù)據(jù)，然后是目的主機在雙方建立好連接后發(fā)送數(shù)據(jù)給源主機。反向ACL控制的就是上面提到的連接請求。二、反向訪問控制列表的格式反向訪問控制列表格式非常簡單，只要在配置好的擴展訪問列表最后加上established即可。我們還是通過實例為大家講解。采用如圖所示的網(wǎng)絡結(jié)構。路由器連接了二個網(wǎng)段，分別為/24,/24。在/24網(wǎng)段中的計算機都是服務器，我們通

43、過反向ACL設置保護這些服務器免受來自這個網(wǎng)段的病毒攻擊。配置實例：禁止病毒從/24這個網(wǎng)段傳播到/24這個服務器網(wǎng)段。路由器配置命令：access-list 101 permit tcp 55 55 established 定義ACL101，容許所有來自網(wǎng)段的計算機訪問網(wǎng)段中的計算機，前提是TCP連接已經(jīng)建立了的。當TCP連接沒有建立的話是不容許訪問的。int e 1 進入E1端口i

44、p access-group 101 out 將ACL101宣告出去設置完畢后病毒就不會輕易的從傳播到的服務器區(qū)了。因為病毒要想傳播都是主動進行TCP連接的，由于路由器上采用反向ACL禁止了網(wǎng)段的TCP主動連接，因此病毒無法順利傳播。小提示：檢驗反向ACL是否順利配置的一個簡單方法就是拿里的一臺服務器PING在中的計算機，如果可以PING通的話再用那臺計算機PING的服務器，PING不通則說明ACL配置成功。通過上文配置的反向ACL會出現(xiàn)一個問題，那就是1

45、的計算機不能訪問服務器的服務了，假如圖中3提供了WWW服務的話也不能正常訪問。解決的方法是在ESTABLISHED那句前頭再添加一個擴展ACL規(guī)則，例如：access-list 101 permit tcp 55 3 eq www這樣根據(jù)“最靠近受控對象原則”即在檢查ACL規(guī)則時是采用自上而下在ACL中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。的計算機就可以正常訪問該服務器的WWW服務了，而下面的ESTABLISHED防病毒命令還可以

46、正常生效。筆者所在公司就使用的這種反向ACL的方式進行防病毒的，運行了一年多效果很不錯，也非常穩(wěn)定?；跁r間的訪問控制列表：上面我們介紹了標準ACL與擴展ACL，實際上我們數(shù)量掌握了這兩種訪問控制列表就可以應付大部分過濾網(wǎng)絡數(shù)據(jù)包的要求了。不過實際工作中總會有人提出這樣或那樣的苛刻要求，這時我們還需要掌握一些關于ACL的高級技巧?；跁r間的訪問控制列表就屬于高級技巧之一。一、基于時間的訪問控制列表用途： 可能公司會遇到這樣的情況，要求上班時間不能上QQ，下班可以上或者平時不能訪問某網(wǎng)站只有到了周末可以。對于這種情況僅僅通過發(fā)布通知規(guī)定是不能徹底杜絕員工非法使用的問題的，這時基于時間的訪問控制列表應運而生。二