反向访问控制列表的用途及格式.docVIP

  1. 1、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
 反向访问控制列表的用途及格式   一、反向访问控制列表的用途   反向访问控制列表属于ACL的一种高级应用。他可以有效的防范病毒。通过配置反向ACL可以保证AB两个网段的计算机互相PING,A可以PING通B而B不能PING通A。   说得通俗些的话就是传输数据可以分为两个过程,首先是源主机向目的主机发送连接请求和数据,然后是目的主机在双方建立好连接后发送数据给源主机。反向ACL控制的就是上面提到的连接请求。   二、反向访问控制列表的格式   反向访问控制列表格式非常简单,只要在配置好的扩展访问列表最后加上established即可。我们还是通过实例为大家讲解。   我们采用如图所示的网络结构。路由器连接了二个网段,分别为/24,/24。在/24网段中的计算机都是服务器,我们通过反向ACL设置保护这些服务器免受来自这个网段的病毒攻击。   配置实例:禁止病毒从/24这个网段传播到/24这个服务器网段。   路由器配置命令:   access-list 101 permit tcp 55 55 established 定义ACL101,容许所有来自网段的计算机访问网段中的计算机,前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许访问的。   int e 1 进入E1端口   ip access-group 101 out 将ACL101宣告出去   设置完毕后病毒就不会轻易的从传播到的服务器区了。因为病毒要想传播都是主动进行TCP连接的,由于路由器上采用反向ACL禁止了网段的TCP主动连接,因此病毒无法顺利传播。   小提示:检验反向ACL是否顺利配置的一个简单方法就是拿里的一台服务器PING在中的计算机,如果可以PING通的话再用那台计算机PING的服务器,PING不通则说明ACL配置成功。   通过上文配置的反向ACL会出现一个问题,那就是的计算机不能访问服务器的服务了,假如图中3提供了WWW服务的话也不能正常访问。解决的方法是在ESTABLISHED那句前头再添加一个扩展ACL规则,例如:access-list 101 permit tcp 55 3 eq www   这样根据“最靠近受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。的计算机就可以正常访问该服务器的WWW服务了,而下面的ESTABLISHED防病毒命令还可以正常生效。   笔者所在公司就使用的这种反向ACL的方式进行防病毒的,运行了一年多效果很不错,也非常稳定。   基于时间的访问控制列表:   上面我们介绍了标准ACL与扩展ACL,实际上我们数量掌握了这两种访问控制列表就可以应付大部分过滤网络数据包的要求了。不过实际工作中总会有人提出这样或那样的苛刻要求,这时我们还需要掌握一些关于ACL的高级技巧。基于时间的访问控制列表就属于高级技巧之一。   配置实例:   要想使基于时间的ACL生效需要我们配置两方面的命令:   1、定义时间段及时间范围。   2、ACL自身的配置,即将详细的规则添加到ACL中。   3、宣告ACL,将设置好的ACL添加到相应的端口中。   网络环境介绍:   我们采用如图所示的网络结构。路由器连接了二个网段,分别为/24,/24。在/24网段中有一台服务器提供FTP服务,IP地址为3。   配置任务:只容许网段的用户在周末访问3上的FTP资源,工作时间不能下载该FTP资源。   路由器配置命令:   time-range softer 定义时间段名称为softer   periodic weekend 00:00 to 23:59 定义具体时间范围,为每周周末(6,日)的0点到23点59分。当然可以使用periodic weekdays定义工作日或跟星期几定义具体的周几。   access-list 101 deny tcp any 3 eq ftp time-range softer 设置ACL,禁止在时间段softer范围内访问3的FTP服务。   access-list 101 permit ip any any 设置ACL,容许其他时间段和其他条件下的正常访问。   int e 1 进入E1端口。   ip access-group 101 out 宣告ACL101。   基于时间的ACL比较适合于时间段的管理,通过上面的设置的用户就只能在周末访问服务器提供的FTP资源了,平时无法访问。   访问控制列表流量记录   网络管理员就是要能够合理的管理公司的网络,俗话说知己知彼方能百战百胜,所以有效的记录ACL流量信息可以第一时间的了解网络流量和病毒的传播方式。下面这篇文章就为大家简单介绍下如何保存访问控制列表的流量信息

文档评论(0)

fengbaozheng + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档