【正文】 的訪問(wèn)控制列表來(lái)解決這個(gè)問(wèn)題。不過(guò)即使再科學(xué)的訪問(wèn)控制列表規(guī)則也可能會(huì)因?yàn)槲粗《镜膫鞑ザ鵁o(wú)效，畢竟未知病毒使用的端口是我們無(wú)法估計(jì)的，而且隨著防范病毒數(shù)量的增多會(huì)造成訪問(wèn)控制列表規(guī)則過(guò)多，在一定程度上影響了網(wǎng)絡(luò)訪問(wèn)的速度。通過(guò)配置反向ACL可以保證AB兩個(gè)網(wǎng)段的計(jì)算機(jī)互相PING，A可以PING通B而B不能PING通A。我們還是通過(guò)實(shí)例為大家講解。路由器配置命令： 筆者所在公司就使用的這種反向ACL的方式進(jìn)行防病毒的，運(yùn)行了一年多效果很不錯(cuò)，也非常穩(wěn)定。配置實(shí)例：設(shè)置ACL?；跁r(shí)間的ACL比較適合于時(shí)間段的管理，平時(shí)無(wú)法訪問(wèn)。也就是說(shuō)，A可以訪問(wèn)B的時(shí)候，B也能訪問(wèn)A。accesslist 101 deny tcp any eq ftp timerange softer路由器連接了二個(gè)網(wǎng)段，,。這樣根據(jù)“最靠近受控對(duì)象原則”即在檢查ACL規(guī)則時(shí)是采用自上而下在ACL中一條條檢測(cè)的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測(cè)下面的ACL語(yǔ)句。正是因?yàn)槭褂昧嘶诿Q的訪問(wèn)控制列表，我們使用no permit 。擴(kuò)展ACL有一個(gè)最大的好處就是可以保護(hù)服務(wù)器，例如很多服務(wù)器為了更好的提供服務(wù)都是暴露在公網(wǎng)上的，這時(shí)為了保證服務(wù)正常提供所有端口都對(duì)外界開放，很容易招來(lái)黑客和病毒的攻擊，通過(guò)擴(kuò)展ACL可以將除了服務(wù)端口以外的其他端口都封鎖掉，降低了被攻擊的機(jī)率。進(jìn)入E1端口這時(shí)候就需要使用擴(kuò)展訪問(wèn)控制列表了。另外在路由器連接網(wǎng)絡(luò)不多的情況下也可以在E0端口使用ip accessgroup 1 out命令來(lái)宣告，宣告結(jié)果和上面最后兩句命令效果一樣。訪問(wèn)控制列表ACL分很多種，不同場(chǎng)合應(yīng)用不同種類的ACL。由于ACL涉及的配置命令很靈活，功能也很強(qiáng)大，所以我們不能只通過(guò)一個(gè)小小的例子就完全掌握全部ACL的配置。所有的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制。由于ACL是使用包過(guò)濾技術(shù)來(lái)實(shí)現(xiàn)的，過(guò)濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無(wú)法識(shí)別到具體的人，無(wú)法識(shí)別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等。實(shí)例1：。擴(kuò)展訪問(wèn)控制列表：基于名稱的訪問(wèn)控制列表ip accesslist [standard|extended] [ACL名稱]將ACL101宣告出去上面我們介紹了標(biāo)準(zhǔn)ACL與擴(kuò)展ACL，實(shí)際上我們數(shù)量掌握了這兩種訪問(wèn)控制列表就可以應(yīng)付大部分過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)包的要求了。設(shè)置ACL，容許其他時(shí)間段和其他條件下的正常訪問(wèn)。網(wǎng)絡(luò)管理員就是要能夠合理的管理公司的網(wǎng)絡(luò)，俗話說(shuō)知己知彼方能百戰(zhàn)百勝，所以有效的記錄ACL流量信息可以第一時(shí)間的了解網(wǎng)絡(luò)流量和病毒的傳播方式。A用TCP訪問(wèn)B時(shí)，所有B到A的數(shù)據(jù)都會(huì)有ACK（回應(yīng)）。log permit 不過(guò)他存在一個(gè)缺點(diǎn)，那就是在沒有硬件ACL加速的情況下，擴(kuò)展ACL會(huì)消耗大量的路由