【正文】 的訪問控制列表來解決這個問題。不過即使再科學的訪問控制列表規(guī)則也可能會因為未知病毒的傳播而無效，畢竟未知病毒使用的端口是我們無法估計的，而且隨著防范病毒數(shù)量的增多會造成訪問控制列表規(guī)則過多，在一定程度上影響了網(wǎng)絡訪問的速度。通過配置反向ACL可以保證AB兩個網(wǎng)段的計算機互相PING，A可以PING通B而B不能PING通A。我們還是通過實例為大家講解。路由器配置命令： 筆者所在公司就使用的這種反向ACL的方式進行防病毒的，運行了一年多效果很不錯，也非常穩(wěn)定。配置實例：設置ACL?；跁r間的ACL比較適合于時間段的管理，平時無法訪問。也就是說，A可以訪問B的時候，B也能訪問A。accesslist 101 deny tcp any eq ftp timerange softer路由器連接了二個網(wǎng)段，,。這樣根據(jù)“最靠近受控對象原則”即在檢查ACL規(guī)則時是采用自上而下在ACL中一條條檢測的，只要發(fā)現(xiàn)符合條件了就立刻轉(zhuǎn)發(fā)，而不繼續(xù)檢測下面的ACL語句。正是因為使用了基于名稱的訪問控制列表，我們使用no permit 。擴展ACL有一個最大的好處就是可以保護服務器，例如很多服務器為了更好的提供服務都是暴露在公網(wǎng)上的，這時為了保證服務正常提供所有端口都對外界開放，很容易招來黑客和病毒的攻擊，通過擴展ACL可以將除了服務端口以外的其他端口都封鎖掉，降低了被攻擊的機率。進入E1端口這時候就需要使用擴展訪問控制列表了。另外在路由器連接網(wǎng)絡不多的情況下也可以在E0端口使用ip accessgroup 1 out命令來宣告，宣告結果和上面最后兩句命令效果一樣。訪問控制列表ACL分很多種，不同場合應用不同種類的ACL。由于ACL涉及的配置命令很靈活，功能也很強大，所以我們不能只通過一個小小的例子就完全掌握全部ACL的配置。所有的網(wǎng)絡層訪問權限控制。由于ACL是使用包過濾技術來實現(xiàn)的，過濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術具有一些固有的局限性，如無法識別到具體的人，無法識別到應用內(nèi)部的權限級別等。實例1：。擴展訪問控制列表：基于名稱的訪問控制列表ip accesslist [standard|extended] [ACL名稱]將ACL101宣告出去上面我們介紹了標準ACL與擴展ACL，實際上我們數(shù)量掌握了這兩種訪問控制列表就可以應付大部分過濾網(wǎng)絡數(shù)據(jù)包的要求了。設置ACL，容許其他時間段和其他條件下的正常訪問。網(wǎng)絡管理員就是要能夠合理的管理公司的網(wǎng)絡，俗話說知己知彼方能百戰(zhàn)百勝，所以有效的記錄ACL流量信息可以第一時間的了解網(wǎng)絡流量和病毒的傳播方式。A用TCP訪問B時，所有B到A的數(shù)據(jù)都會有ACK（回應）。log permit 不過他存在一個缺點，那就是在沒有硬件ACL加速的情況下，擴展ACL會消耗大量的路由