网站首页 | 操作系统 | 程序设
计 | 网络技术 | 软件工程 | 数据库 | 软件应用 | 认证考试 | 网站建设
平面设计 | 三维动画 | 软件下载 | 源码下载 | 网管技术 | 电子书 | 社区论坛 | 网络安全 | 查询工具
视频教程
协议
Cisco IOS
路由器
输入您的搜索字词
提
设置
路由技术
更多分
您现在的位置: IT学习在线 >> 网络技术 >> 路由技术 >> 设置 >> 正文
反向访问控制列表配置实例
作者:佚名 来源:不详 发布时间:2008年10月28日 收藏本页
减小字体 增大字体
视频教程
172.16.3.0172.16.4.0 | | | | | E0 E1|
|-------------Route---------------| 172.16.4.16 A------| |-------B | <-------- |
我们采用如图所示的网络结构。路由器连接了二个网段,分别为172.16.4.0/24,172.16.3.0/24。在172.16.4.0/24网段中的计算机都是服务器,
我们通过反向ACL设置保护这些服务器免受来自172.16.3.0这个网段的病毒攻击。
配置实例:禁止病毒从172.16.3.0/24这个网段传播到172.16.4.0/24这个服务器网段。
路由器配置命令:
access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.0 0.0.0.255 established 定义ACL101,容许所有来自172.16.3.0网段的计算机访问
172.16.4.0网段中的计算机,前提是TCP连接已经建立了的。当TCP连接没有建立的话是不容许172.16.3.0访问172.16.4.0的。 int e 1 进入E1端口
ip access-group 101 out 将ACL101宣告出去
设置完毕后病毒就不会轻易的从172.16.3.0传播到172.16.4.0的服务器区了。因为病毒要想传播都是主动进行TCP连接的,由于路由器上采用反向ACL禁止了172.16.3.0网段的TCP主动连接,因此病毒无法顺利传播。
小提示:检验反向ACL是否顺利配置的一个简单方法就是拿172.16.4.0里的一台服务器PING在172.16.3.0中的计算机,如果可以PING通的话再用172.16.3.0那台计算机PING172.16.4.0的服务器,PING不通则说明ACL配置成功。
通过上文配置的反向ACL会出现一个问题,那就是172.16.3.0的计算机不能访问服务器的服务了,假如图中172.16.4.13提供了WWW服务的话也不能正常访问。解决的方法是在ESTABLISHED那句前头再添加一个扩展ACL规则,例如:access-list 101 permit tcp 172.16.3.0 0.0.0.255 172.16.4.13 0.0.0.0 eq www
这样根据“最靠近受控对象原则”即在检查ACL规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。172.16.3.0的计算机就可以正常访问该服务器的WWW服务了,而下面的ESTABLISHED防病毒命令还可以正常生效。
笔者所在公司就使用的这种反向ACL的方式进行防病毒的,运行了一年多效果很不错,也非常稳定。
视频教程
[
本日:1 本周:1 本月:3 总数:35 ]【责编:佚名】
上一篇:文章:思科路由器--基于时间的访问列表控制
下一篇:文章:网管支招:从路由下手与内网服务抢带宽 热门文章
· 使无线路由器上网的家庭局域网实现共享 · 无线家庭生活 教你如何设置无线路由器 · 怎么设置上海贝尔500路由器共享上网? · 详解无线路由器安全设置
· 贝尔阿尔卡特Home plusplus500 MODEM路由设 · 无线路由器的桥接和覆盖图文教程 · 新型网吧路由器如何实现带宽管理 · 路由器初始配置完全攻略
· CISCO 3750不同VLAN间访问故障 · IP PHONE及路由器上的CallManager · Cisco路由器带端口映射的NAT配置
· 网管学习:PIX525透明模式详细配置过程 相关文章
· CISCO 6509配置实例
· PVLAN技术对比VLAN技术的优势及配置实例 · [图文]华为路由器交换VLAN配置实例 · [图文]BGP基础配置实例 · OSPF身份验证配置实例
· [组图]OSPF虚链路(virtual-link)配置实例 + · 反向访问控制列表配置实例 · Cisco防火墙pix515配置实例
· [图文]思科PIX防火墙VPN的配置实例 · 交换机高级应用 三层交换机组播配置实例 · 6509为主网络配置实例
· [图文]基于时间的访问控制列表配置实例
文章评论 评论内容只代表网友观点,与本站立场无关! 推荐文章
该分类还没有添加任何内容!
今日更新
· 路由器初始配置完全攻略
· 不掉线的路由器 网吧路由器特殊技术 · 网管学习:PIX525透明模式详细配置 · 怎么设置上海贝尔500路由器共享上网 · 贝尔阿尔卡特Home plusplus500 MOD · 专家称网真应用需要升级路由器和交 · 路由配置实战:专线路由的详细配置 · 无线路由器的桥接和覆盖图文教程 · 第三层交换和交换式路由器 · 小技巧升级路由器
· 如何利用两个路由连接3个网段? · 网工:Cisco路由器配置语句全攻略一
赞助商广告
| 关于我们 | 版权申明 | 联系我们 | 网站招聘 | 广告服务 | 免责条款 | 友情链接 | 网站地图 |
站长统计 |
网站统计
公司地址:西安市文艺北路59号新艺城大厦B0401
E-Mail:mydns@126.com | QQ:793 | 本站法律顾问:沈东伟律师 电话:(029) 83176198 831762978 83176055 传 真:(029) 83176055 西安38互联科技有限公司版权所有| 2003-2008 | 网站备案:陕ICP备
09000920号