日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

1．概述
    隨著Internet/Intranet的日益發(fā)展，幾乎每個(gè)公司都在建設(shè)自己的局域網(wǎng)，并且越來(lái)越多的公司連接到互聯(lián)網(wǎng)，從而網(wǎng)絡(luò)安全越來(lái)越被人們所重視。許多網(wǎng)絡(luò)廠商推出防火墻產(chǎn)品，用來(lái)保證網(wǎng)絡(luò)安全，包括抵抗惡意的攻擊；過(guò)濾互聯(lián)網(wǎng)上不安全的信息流；限制某些用戶或某些網(wǎng)絡(luò)應(yīng)用的使用等等。訪問(wèn)控制列表（ACL，Access Control List）同樣可以實(shí)現(xiàn)以上功能。它是基于包過(guò)濾的軟件防火墻，是一系列語(yǔ)句的有序集合，根據(jù)網(wǎng)絡(luò)中每個(gè)數(shù)據(jù)包所包含的信息的內(nèi)容，來(lái)決定允許還是拒絕報(bào)文通過(guò)某個(gè)接口。訪問(wèn)控制列表不僅可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能，而且還可以限制特定協(xié)議的流量，在該文中重點(diǎn)講述的是訪問(wèn)控制列表作為網(wǎng)路安全訪問(wèn)的基本手段如何實(shí)施。筆者將根據(jù)自己的從業(yè)經(jīng)驗(yàn)，基于Cisco路由器給出訪問(wèn)控制列表的具體實(shí)現(xiàn)過(guò)程。

2．訪問(wèn)控制列表的工作過(guò)程及其配置
    訪問(wèn)控制列表的主要作用是基于已經(jīng)建立的標(biāo)準(zhǔn)來(lái)允許或拒絕報(bào)文流，從而它可以實(shí)現(xiàn)對(duì)數(shù)據(jù)報(bào)文的訪問(wèn)控制。它是一組有permit（允許）和deny（拒絕）語(yǔ)句組成的條件列表, 可以讓管理員以基于數(shù)據(jù)報(bào)文的源IP地址、目的IP地址和協(xié)議類型的方式來(lái)控制網(wǎng)絡(luò)的數(shù)據(jù)流向，下面先看訪問(wèn)控制列表的工作過(guò)程。

    由圖1，我們看看一個(gè)數(shù)據(jù)包如何通過(guò)路由器。數(shù)據(jù)包由接口進(jìn)入路由器，進(jìn)入后，首先察看路由表，看數(shù)據(jù)包的目的地址是否在路由表?xiàng)l目中，如果存在，則根據(jù)路由表送至相應(yīng)的接口，否則數(shù)據(jù)包丟棄。到達(dá)相應(yīng)的接口后，看是否有訪問(wèn)控制列表配置在接口上，如果有，就根據(jù)訪問(wèn)列表的規(guī)則，判斷是不是允許該數(shù)據(jù)包通過(guò)；如果數(shù)據(jù)包不符合列表所有規(guī)則，那么就被拒絕丟棄，不能通過(guò)路由器。如果沒(méi)有訪問(wèn)列表，數(shù)據(jù)包順利通過(guò)。
 

圖1  數(shù)據(jù)包出口操作

    訪問(wèn)控制列表分為標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表，它們的基本語(yǔ)法如下：
        Router(config)#access-list  
        ACL_number  {permit|deny} protocol source 
        [source-wildcard] [source-port] [destination]
        [destination-wildcard] [destination-port] [log]

    例如，允許源ip地址在192.168.1.0網(wǎng)段內(nèi)的數(shù)據(jù)包通過(guò)路有器，標(biāo)準(zhǔn)訪問(wèn)列表配置如下：
       Router(config)#access-list 1 permit ip 192.168.1.0 0.0.0.255

    再如，拒絕源ip地址在192.168.1.0網(wǎng)段內(nèi)機(jī)器telnet服務(wù)器192.168.2.100，擴(kuò)展訪問(wèn)列表配置如下：
       Router(config)#access-list 101 deny tcp
       192.168.1.0 0.0.0.255 192.168.2.100 0.0.0.0 eq 23

    一個(gè)訪問(wèn)控制列表可以有多條語(yǔ)句。列表配置完畢，還要把它掛到接口上去。如果掛到E0口，而且是對(duì)出E0口的數(shù)據(jù)包做限制，則操作如下：
             Router(config)#interface e0
             Router(config-if)#ip access-group 1 out
    筆者曾經(jīng)給某證券公司做過(guò)一個(gè)小型網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)拓?fù)鋱D如圖2，要求如下：

    不允許網(wǎng)絡(luò)202.15.12.0內(nèi)的機(jī)器登錄172.16.8.20的Ftp（端口號(hào)21）服務(wù)，但可以獲取172.16.8.20的其他網(wǎng)絡(luò)服務(wù)；網(wǎng)絡(luò)202.15.12.0內(nèi)的機(jī)器能夠獲取172.16.8.10的Web服務(wù)（端口號(hào)80）；其它訪問(wèn)流量都被拒絕。配置如下：

           Router(config)#access-list 111 deny tcp
           202.15.12.0 0.0.0.255 172.16.8.20 0.0.0.0 eq 21
           Router(config)#access-list 111 permit ip
           202.15.12.0 0.0.0.255 172.16.8.20 0.0.0.0
           Router(config)#access-list 111 permit tcp
           202.15.12.0 0.0.0.255 172.16.8.10 0.0.0.0 eq 80
           Router(config)#interface e0
           Router(config-if)#ip access-group 111 out
 

                 圖2  網(wǎng)絡(luò)拓?fù)鋱D（路由器一側(cè)為證券公司網(wǎng)絡(luò)）

 3．訪問(wèn)控制列表的在過(guò)濾病毒中的應(yīng)用
    相信不少用戶的電腦都或多或少遭到病毒的侵犯，而病毒中最為流行又最讓人頭疼的當(dāng)屬蠕蟲（Worm）病毒了。蠕蟲是通過(guò)分布式網(wǎng)絡(luò)來(lái)擴(kuò)散傳播特定的信息或錯(cuò)誤，進(jìn)而造成網(wǎng)絡(luò)服務(wù)遭到拒絕并發(fā)生死鎖。它們生存在網(wǎng)絡(luò)的節(jié)點(diǎn)之中，依靠系統(tǒng)的漏洞在網(wǎng)上大量繁殖，造成網(wǎng)絡(luò)阻塞之類的破壞。可以依靠殺毒軟件來(lái)對(duì)付它們，也可以通過(guò)訪問(wèn)控制列表，封鎖蠕蟲病毒傳播、掃描、攻擊用到的端口，事前就把蠕蟲病毒拒之門外。我們針對(duì)前一段時(shí)間鬧的沸沸揚(yáng)揚(yáng)沖擊波（Worm.Blaster）病毒，在路由器上作下面的配置。

    首先控制Blaster蠕蟲的傳播，封鎖tcp的4444端口和udp的69端口。

       Router(config)#access-list 110 deny tcp any any eq 4444
       Router(config)#access-list 110 deny udp any any eq 69

    然后控制Blaster蠕蟲的掃描和攻擊，封鎖tcp和udp的135、139、445、593等端口。

      Router(config)#access-list 110 deny tcp any any eq 135
      Router(config)#access-list 110 deny udp any any eq 135
      Router(config)#access-list 110 deny tcp any any eq 139
      Router(config)#access-list 110 deny udp any any eq 139
      Router(config)#access-list 110 deny tcp any any eq 445
      Router(config)#access-list 110 deny udp any any eq 445
      Router(config)#access-list 110 deny tcp any any eq 593
      Router(config)#access-list 110 deny udp any any eq 593
      Router(config)#access-list 110 permit ip any any

    該訪問(wèn)控制列表的最后一條一定要加上，因?yàn)槊總€(gè)訪問(wèn)控制列表都暗含著拒絕所有數(shù)據(jù)包，而且列表110前面都是deny語(yǔ)句，如果沒(méi)有最后這一條允許其它所有數(shù)據(jù)包，那么無(wú)論什么樣的數(shù)據(jù)包都不能通過(guò)路由器進(jìn)入公司局域網(wǎng)，同樣公司局域網(wǎng)也不能訪問(wèn)外網(wǎng)。

    列表創(chuàng)建完畢，可以掛到接口上了。

      Router(config)#interface s0
      Router(config-if)#ip access-group 110 in

    這樣訪問(wèn)控制列表就可以阻止外來(lái)蠕蟲病毒的惡意掃描和攻擊了，一定程度上提高了網(wǎng)絡(luò)抵抗病毒的能力，保證了網(wǎng)絡(luò)的安全。

4．基于時(shí)間的訪問(wèn)控制列表的應(yīng)用
    從IOS12.0開始，Cisco路由器新增加了一種基于時(shí)間的訪問(wèn)列表。它首先要定義一個(gè)時(shí)間范圍，然后在原來(lái)的訪問(wèn)列表的基礎(chǔ)上應(yīng)用它。通過(guò)它，可以根據(jù)一天中的不同時(shí)間或者根據(jù)一星期中的不同日期控制網(wǎng)絡(luò)數(shù)據(jù)包的轉(zhuǎn)發(fā)。

    先看一下它的基本語(yǔ)法：

      Router(config)# time-range time-range-name 

    該命令表示進(jìn)入time-range模式，并給該時(shí)間范圍起個(gè)名字。
      Router(config-time-range)# absolute [start time date] [end time date]
      Router(config-time-range)# periodic days-of-the-week hh:mm to [days-of-the-week] hh:mm

    上面這兩條命令限制訪問(wèn)控制列表的生效時(shí)間。另外，periodic語(yǔ)句可以有多條，但是absolute語(yǔ)句只能有一條。

    再回到文中提到的證券公司，該公司要求員工在2004年4月1日到2004年6月1日的周一到周五上班時(shí)間（9:00-17:00）不能瀏覽Web站點(diǎn)，禁止使用QQ和MSN。我們分析如下：Web瀏覽通常使用HTTP或者HTTPS進(jìn)行訪問(wèn)，端口號(hào)是80（TCP）和443（TCP），MSN使用1863端口（TCP），QQ登錄使用8000端口（TCP/UDP），還有可能用到4000（UDP）進(jìn)行通訊。另外這些軟件都支持代理服務(wù)器，目前代理服務(wù)器主要部署在TCP8080，TCP3128和TCP1080這三個(gè)端口上。所以有如下配置：