访问 控制 列表 是为了对路由器处理的流量进行过滤而在路由器上建立的规则,它在改善网络性能和加强网络安全等方面已经发挥出越来越重要的作用。本文列举几个在CISCO路由器上设置 访问 控制 列表 的 应用 实例 ,希望对各位同仁充分掌握和 恰当 应用 访问 控
访问 控制 列表 是为了对路由器处理的流量进行过滤而在路由器上建立的规则,它在改善网络性能和加强网络安全等方面已经发挥出越来越重要的作用。本文列举几个在CISCO路由器上设置 访问 控制 列表 的 应用 实例 ,希望对各位同仁充分掌握和 恰当 应用 访问 控制 列表 有所帮助。
单向屏蔽ICMP ECHO报文
1.设置如下的 访问 控制 列表
access-list 100 permit icmp any 本地路由器广域地址 echo access-list 100 deny icmp any any echo access-list 100 permit ip any any
2.在路由器相应端口上 应用
interface {外部网络接口} {网络接口号}
ip access-group 100 in
列表 第一行,是允许外网主机可以PING通我方路由器广域口地址,便于外网进行网络测试。 列表 第二行,系禁止外网主机发起的任何ICMP ECHO 报文到达我方网络主机,杜绝了外网主机发起的“端口扫描器Nmap ping操作”。 列表 第三行允许所有的IP协议数据包通过,是保证不影响其他各种 应用 。端口 应用 上设置在入方向进行 应用 ,保证了我方网络主机可PING通外网任意主机,便于我方进行网络连通性测试。
防止病毒传播和黑客攻击
针对微软操作系统的漏洞,一些病毒程序和漏洞扫描软件通过UDP端口135、137、138、1434和TCP端口135、137、139、445、4444、5554、9995、9996等进行病毒传播和攻击,可如下设置 访问 控制 列表 阻止病毒传播和黑客攻击。
1.设置如下的 访问 控制 列表
access-list 101 deny udp any any eq 135 access-list 101 deny udp any any eq 137 access-list 101 deny udp any any eq 138 access-list 101 deny udp any any eq 1434 access-list 101 deny tcp any any eq 135 access-list 101 deny tcp any any eq 137 access-list 101 deny tcp any any eq 139 access-list 101 deny tcp any any eq 445 access-list 101 deny tcp any any eq 4444 access-list 101 deny tcp any any eq 5554 access-list 101 deny tcp any any eq 9995 access-list 101 deny tcp any any eq 9996 access-list 101 permit ip any any
2.在路由器相应端口上 应用
interface {外部网络接口} {网络接口号}
ip access-group 101 in
说明:在同一端口上 应用 访问 控制 列表 的IN语句或OUT语句只能有一条,如需将两组 访问 列表 应用 到同一端口上的同一方向,需将两组 访问 控制 列表 进行合并处理,方能 应用 。
查看更多关于实例讲解:如何恰当应用ACL访问控制列表的详细内容...