【文章內(nèi)容簡(jiǎn)介】 ator port] destination destinationwildcard [ operator port ] [ established ] [log]表格 1 擴(kuò)展ACL參數(shù)描述 參數(shù)參數(shù)描述accesslistnumber訪問(wèn)控制列表表號(hào)permit|deny如果滿(mǎn)足條件，允許或拒絕后面指定特定地址的通信流量protocol用來(lái)指定協(xié)議類(lèi)型，如IP、TCP、UDP、ICMP等Source and destination分別用來(lái)標(biāo)識(shí)源地址和目的地址sourcemask通配符掩碼，跟源地址相對(duì)應(yīng)destinationmask通配符掩碼，跟目的地址相對(duì)應(yīng)operator lt,gt,eq,neq(小于，大于，等于，不等于) operand一個(gè)端口號(hào)established如果數(shù)據(jù)包使用一個(gè)已建立連接，便可允許TCP信息通過(guò)表格 2常見(jiàn)端口號(hào)端口號(hào)(Port Number )20文件傳輸協(xié)議（FTP）數(shù)據(jù)21文件傳輸協(xié)議（FTP）程序23遠(yuǎn)程登錄（Telnet）25簡(jiǎn)單郵件傳輸協(xié)議（SMTP）69普通文件傳送協(xié)議（TFTP）80超文本傳輸協(xié)議(HTTP)53域名服務(wù)系統(tǒng)（DNS）相比基本訪問(wèn)控制列表，擴(kuò)展訪問(wèn)控制列表更加復(fù)雜，不僅需要讀取數(shù)據(jù)包的源地址，還有目的地址、源端口和目的端口。圖3–1擴(kuò)展訪問(wèn)控制列表的常見(jiàn)配置命令。(1) 配置路由器(config)accesslist 100 permit tcp host eq (2) 常用調(diào)試命令分別在訪問(wèn)路由器的Telnet和WWW服務(wù)，然后查看訪問(wèn)控制列表100：R1show ip accesslists 100Extended IP access list 100permit tcp host eq …… 命名ACL。命名ACL允許在標(biāo)準(zhǔn)ACL和擴(kuò)展ACL中使用字符串代替前面所使用的數(shù)字來(lái)表示ACL，命名ACL還可以被用來(lái)從某一特定的ACL中刪除個(gè)別的控制條目，這樣可以讓網(wǎng)絡(luò)管理員方便地修改ACL[6]。它提供的兩個(gè)主要優(yōu)點(diǎn)是：解決ACL的號(hào)碼不足問(wèn)題；可以自由的刪除ACL中的一條語(yǔ)句，而不必刪除整個(gè)ACL。命名ACL的主要不足之處在于無(wú)法實(shí)現(xiàn)在任意位置加入新的ACL條目。語(yǔ)法為：Router(config)ip accesslist { standard | extended } name名字字符串要唯一Router(config {std | ext}nacl){ permit | deny } { ip access list test conditions }{ permit | deny } { ip access list test conditions } no { permit | deny } { ip access list test conditions } 允許或拒絕陳述前沒(méi)有表號(hào)可以用“NO”命令去除特定的陳述Router(configif) ip accessgroup name { in | out } 在接口上激活命名ACL例如：ip accesslist extend server protectpermit tcp host eq 1521int vlan 2ip accessgroup server protect命名ACL還有一個(gè)很好的優(yōu)點(diǎn)就是可以為每個(gè)ACL取一個(gè)有意義的名字，便于日后的管理和維護(hù)。最后是命名ACL常用配置命令。(1) 在路由器上配置命名的標(biāo)準(zhǔn)ACLR1(config)ip accesslist standard standR1(configstdnacl)deny R1(configstdnacl)permit any創(chuàng)建名為stand的標(biāo)準(zhǔn)命名ACL(2) 在路由器上查看命名ACLR1show ip accesslists Standard IP access list 1 deny permit any (110 match(es))……(3) 在路由器配置命名的擴(kuò)展ACL R1(config)ip accesslist extended ext1R1(configextnacl)permit tcp host eq 創(chuàng)建名為ext1的命名擴(kuò)展訪問(wèn)ACL(4) 在路由器上查看命名訪問(wèn)ACLR1show accesslists Extended IP access list ext1 permit tcp host eq 基于時(shí)間段的ACL配置使用標(biāo)準(zhǔn)訪問(wèn)控制列表和擴(kuò)展訪問(wèn)控制列表就可以應(yīng)付大部分過(guò)濾網(wǎng)絡(luò)數(shù)據(jù)包的要求了。不過(guò)在實(shí)際的使用中總會(huì)有人提出一些較為苛刻的要求，這是就還需要掌握一些關(guān)于ACL的高級(jí)技巧[7]。基于時(shí)間的訪問(wèn)控制類(lèi)別就屬于高級(jí)技巧之一?；跁r(shí)間的訪問(wèn)控制列表的用途：可能一些單位或者公司會(huì)遇到這樣的情況，要求上班時(shí)間不能使用或者瀏覽某些網(wǎng)站，或者不能在上班時(shí)間使用某些應(yīng)用，只有在下班或者周末才可以。對(duì)于這種情況，僅僅通過(guò)發(fā)布通知不能徹底杜絕員工非法使用的問(wèn)題，這時(shí)基于時(shí)間的訪問(wèn)控制列表就應(yīng)運(yùn)而生了?；跁r(shí)間的訪問(wèn)控制列表的格式。基于時(shí)間的訪問(wèn)控制列表由兩部分組成，第一部分是定義時(shí)間段，第二部分是用擴(kuò)展訪問(wèn)控制列表定義規(guī)則。這里主要解釋下定義時(shí)間段，具體格式如下：timerange 時(shí)間段格式absolute start [小時(shí)：分鐘] [日 月 年] [end] [小時(shí)：分鐘] [日 月 年]例如：timerange softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005意思是定義了一個(gè)時(shí)間段，名稱(chēng)為softer，并且設(shè)置了這個(gè)時(shí)間段的起始時(shí)間為2005年5月1日零點(diǎn)，結(jié)束時(shí)間為2005年6月1日中午12點(diǎn)。還可以定義工作日和周末，具體要使用periodic命令。將在下面的配置實(shí)例中詳細(xì)介紹?；跁r(shí)間的ACL配置常用命令R1(config)timerange time //定義時(shí)間范圍R1(configtimerange)periodic weekdays 8:00 to 18:00R1(config)accesslist 111 permit tcp host host eq telnet timerange time常用實(shí)驗(yàn)調(diào)試命令用“clock set”命令將系統(tǒng)時(shí)間調(diào)整到周一至周五的8：0018：00范圍內(nèi)，然后在Telnet路由器R1，此時(shí)可以成功，然后查看訪問(wèn)控制列表111：R1show accesslistsExtended IP access list 111 10 permit tcp host host eq telnet timerange time (active)用“clock set”命令將系統(tǒng)時(shí)間調(diào)整到8：0018：00范圍之外，然后Telnet路由器R1，此時(shí)不可以成功，然后查看訪問(wèn)控制列表111：R1show accesslistsExtended IP access list 111 10 permit tcp host host eq telnet timerange time (inactive)show timerange：該命令用來(lái)查看定義的時(shí)間范圍。R1show timerangetimerange entry: time (inactive) periodic weekdays 8:00 to 18:00 used in: IP ACL entry以上輸出表示在3條ACL中調(diào)用了該timerange。 ACL的顯示調(diào)試和刪除訪問(wèn)控制列表的現(xiàn)實(shí)和調(diào)試都在特權(quán)模式下執(zhí)行。使用“show accesslists ”可以顯示路由器上設(shè)置的所有ACL條目；使用“show accesslist acl number”則可以顯示特定ACL號(hào)的ACL條目；使用“show timerange”命令可以用來(lái)查看定義的時(shí)間范圍；使用“clear accesslist counters”命令可以將訪問(wèn)控制列表的計(jì)數(shù)器清零[8]。刪除ACL的方法十分簡(jiǎn)單，只需在ACL表號(hào)前加“NO”就可以了，例如：R2(config)no accesslist 1 輸入這個(gè)命令后，ACL表號(hào)為1和2的ACL內(nèi)所有的條目都會(huì)被刪除。標(biāo)準(zhǔn)和擴(kuò)展的ACL只能刪除整個(gè)ACL條目，不能刪除個(gè)別條目。命名ACL與標(biāo)準(zhǔn)和擴(kuò)展ACL不同，它可以刪除個(gè)別的控制條目。例如:no permit tcp host eq 1521在“permit tcp host eq 1521”前加“no”即可刪除這條ACL語(yǔ)句條目，之后可以重新寫(xiě)入新的條目。4. 校園網(wǎng)ACL應(yīng)用實(shí)例校園網(wǎng)建設(shè)的目標(biāo)簡(jiǎn)而言之是將校園內(nèi)各種不同應(yīng)用的信息資源通過(guò)高性能的網(wǎng)絡(luò)設(shè)備相互連接起來(lái)，形成校園園區(qū)內(nèi)部的Intranet系統(tǒng)，對(duì)外通過(guò)路由設(shè)備接入廣域網(wǎng)。包過(guò)濾技術(shù)和代理服務(wù)技術(shù)是當(dāng)今最廣泛采用的網(wǎng)絡(luò)安全技術(shù)，也就是我們通常稱(chēng)的防火墻技術(shù)[9]。防火墻可以根據(jù)網(wǎng)絡(luò)安全的規(guī)則設(shè)置允許經(jīng)過(guò)授權(quán)的數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)，同時(shí)將非法數(shù)據(jù)包擋在防火墻內(nèi)外，最大限度地阻止黑客攻擊。包過(guò)濾技術(shù)以訪問(wèn)控制列表的形式出現(xiàn)，一個(gè)設(shè)計(jì)良好的校園網(wǎng)絡(luò)訪問(wèn)控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流量的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。針對(duì)校園網(wǎng)中各種網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒對(duì)教學(xué)和管理