萬盛學電腦網

 萬盛學電腦網 >> 網絡應用技術 >> 應用教程 >> 思科路由器反向訪問控制列表配置

思科路由器反向訪問控制列表配置

  在172.16.4.0/24網段中的計算機都是服務器,我們通過反向ACL設置保護這些服務器免受來自172.16.3.0這個網段的病毒攻擊。

配置實例:禁止病毒從172.16.3.0/24這個網段傳播到172.16.4.0/24這個服務器網段。

access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established Cisco 模擬器 定義ACL101,容許所有來自172.16.3.0網段的計算機訪問172.16.4.0網段中的計算機,前提是TCP連接已經建立了的。當TCP連接沒有建立的話是不容許172.16.3.0訪問172.16.4.0的。

設置完畢後病毒就不會輕易的從172.16.3.0傳播到172.16.4.0的服務器區了。因為病毒要想傳播都是主動進行TCP連接的,由於路由器上采用反向ACL禁止了172.16.3.0網段的TCP主動連接,因此病毒無法順利傳播。

檢驗反向ACL是否順利配置的一個簡單方法就是拿172.16.4.0裡的一台服務器PING在172.16.3.0中的計算機,如果可以PING通的話再用172.16.3.0那台計算機PING172.16.4.0的服務器,PING不通則說明ACL配置成功。

通過上文配置的反向ACL會出現一個問題,那就是172.16.3.0的計算機不能訪問服務器的服務了,假如圖中172.16.4.13提供了WWW服務的話也不能正常訪問。解決的方法是在ESTABLISHED那句前頭再添加一個擴展ACL規則,例如:access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www這樣根據“最靠近受控對象原則”即在檢查ACL規則時是采用自上而下在ACL中一條條檢測的,只要發現符合條件了就立刻轉發,而不繼續檢測下面的 ACL語句。172.16.3.0的計算機就可以正常訪問該服務器的WWW服務了,而下面的ESTABLISHED防病毒命令還可以正常生效。

copyright © 萬盛學電腦網 all rights reserved