【文章內(nèi)容簡介】 ator port] destination destinationwildcard [ operator port ] [ established ] [log]表格 1 擴展ACL參數(shù)描述 參數(shù)參數(shù)描述accesslistnumber訪問控制列表表號permit|deny如果滿足條件，允許或拒絕后面指定特定地址的通信流量protocol用來指定協(xié)議類型，如IP、TCP、UDP、ICMP等Source and destination分別用來標識源地址和目的地址sourcemask通配符掩碼，跟源地址相對應destinationmask通配符掩碼，跟目的地址相對應operator lt,gt,eq,neq(小于，大于，等于，不等于) operand一個端口號established如果數(shù)據(jù)包使用一個已建立連接，便可允許TCP信息通過表格 2常見端口號端口號(Port Number )20文件傳輸協(xié)議（FTP）數(shù)據(jù)21文件傳輸協(xié)議（FTP）程序23遠程登錄（Telnet）25簡單郵件傳輸協(xié)議（SMTP）69普通文件傳送協(xié)議（TFTP）80超文本傳輸協(xié)議(HTTP)53域名服務系統(tǒng)（DNS）相比基本訪問控制列表，擴展訪問控制列表更加復雜，不僅需要讀取數(shù)據(jù)包的源地址，還有目的地址、源端口和目的端口。圖3–1擴展訪問控制列表的常見配置命令。(1) 配置路由器(config)accesslist 100 permit tcp host eq (2) 常用調(diào)試命令分別在訪問路由器的Telnet和WWW服務，然后查看訪問控制列表100：R1show ip accesslists 100Extended IP access list 100permit tcp host eq …… 命名ACL。命名ACL允許在標準ACL和擴展ACL中使用字符串代替前面所使用的數(shù)字來表示ACL，命名ACL還可以被用來從某一特定的ACL中刪除個別的控制條目，這樣可以讓網(wǎng)絡管理員方便地修改ACL[6]。它提供的兩個主要優(yōu)點是：解決ACL的號碼不足問題；可以自由的刪除ACL中的一條語句，而不必刪除整個ACL。命名ACL的主要不足之處在于無法實現(xiàn)在任意位置加入新的ACL條目。語法為：Router(config)ip accesslist { standard | extended } name名字字符串要唯一Router(config {std | ext}nacl){ permit | deny } { ip access list test conditions }{ permit | deny } { ip access list test conditions } no { permit | deny } { ip access list test conditions } 允許或拒絕陳述前沒有表號可以用“NO”命令去除特定的陳述Router(configif) ip accessgroup name { in | out } 在接口上激活命名ACL例如：ip accesslist extend server protectpermit tcp host eq 1521int vlan 2ip accessgroup server protect命名ACL還有一個很好的優(yōu)點就是可以為每個ACL取一個有意義的名字，便于日后的管理和維護。最后是命名ACL常用配置命令。(1) 在路由器上配置命名的標準ACLR1(config)ip accesslist standard standR1(configstdnacl)deny R1(configstdnacl)permit any創(chuàng)建名為stand的標準命名ACL(2) 在路由器上查看命名ACLR1show ip accesslists Standard IP access list 1 deny permit any (110 match(es))……(3) 在路由器配置命名的擴展ACL R1(config)ip accesslist extended ext1R1(configextnacl)permit tcp host eq 創(chuàng)建名為ext1的命名擴展訪問ACL(4) 在路由器上查看命名訪問ACLR1show accesslists Extended IP access list ext1 permit tcp host eq 基于時間段的ACL配置使用標準訪問控制列表和擴展訪問控制列表就可以應付大部分過濾網(wǎng)絡數(shù)據(jù)包的要求了。不過在實際的使用中總會有人提出一些較為苛刻的要求，這是就還需要掌握一些關于ACL的高級技巧[7]。基于時間的訪問控制類別就屬于高級技巧之一。基于時間的訪問控制列表的用途：可能一些單位或者公司會遇到這樣的情況，要求上班時間不能使用或者瀏覽某些網(wǎng)站，或者不能在上班時間使用某些應用，只有在下班或者周末才可以。對于這種情況，僅僅通過發(fā)布通知不能徹底杜絕員工非法使用的問題，這時基于時間的訪問控制列表就應運而生了?；跁r間的訪問控制列表的格式。基于時間的訪問控制列表由兩部分組成，第一部分是定義時間段，第二部分是用擴展訪問控制列表定義規(guī)則。這里主要解釋下定義時間段，具體格式如下：timerange 時間段格式absolute start [小時：分鐘] [日 月 年] [end] [小時：分鐘] [日 月 年]例如：timerange softerabsolute start 0:00 1 may 2005 end 12:00 1 june 2005意思是定義了一個時間段，名稱為softer，并且設置了這個時間段的起始時間為2005年5月1日零點，結束時間為2005年6月1日中午12點。還可以定義工作日和周末，具體要使用periodic命令。將在下面的配置實例中詳細介紹?；跁r間的ACL配置常用命令R1(config)timerange time //定義時間范圍R1(configtimerange)periodic weekdays 8:00 to 18:00R1(config)accesslist 111 permit tcp host host eq telnet timerange time常用實驗調(diào)試命令用“clock set”命令將系統(tǒng)時間調(diào)整到周一至周五的8：0018：00范圍內(nèi)，然后在Telnet路由器R1，此時可以成功，然后查看訪問控制列表111：R1show accesslistsExtended IP access list 111 10 permit tcp host host eq telnet timerange time (active)用“clock set”命令將系統(tǒng)時間調(diào)整到8：0018：00范圍之外，然后Telnet路由器R1，此時不可以成功，然后查看訪問控制列表111：R1show accesslistsExtended IP access list 111 10 permit tcp host host eq telnet timerange time (inactive)show timerange：該命令用來查看定義的時間范圍。R1show timerangetimerange entry: time (inactive) periodic weekdays 8:00 to 18:00 used in: IP ACL entry以上輸出表示在3條ACL中調(diào)用了該timerange。 ACL的顯示調(diào)試和刪除訪問控制列表的現(xiàn)實和調(diào)試都在特權模式下執(zhí)行。使用“show accesslists ”可以顯示路由器上設置的所有ACL條目；使用“show accesslist acl number”則可以顯示特定ACL號的ACL條目；使用“show timerange”命令可以用來查看定義的時間范圍；使用“clear accesslist counters”命令可以將訪問控制列表的計數(shù)器清零[8]。刪除ACL的方法十分簡單，只需在ACL表號前加“NO”就可以了，例如：R2(config)no accesslist 1 輸入這個命令后，ACL表號為1和2的ACL內(nèi)所有的條目都會被刪除。標準和擴展的ACL只能刪除整個ACL條目，不能刪除個別條目。命名ACL與標準和擴展ACL不同，它可以刪除個別的控制條目。例如:no permit tcp host eq 1521在“permit tcp host eq 1521”前加“no”即可刪除這條ACL語句條目，之后可以重新寫入新的條目。4. 校園網(wǎng)ACL應用實例校園網(wǎng)建設的目標簡而言之是將校園內(nèi)各種不同應用的信息資源通過高性能的網(wǎng)絡設備相互連接起來，形成校園園區(qū)內(nèi)部的Intranet系統(tǒng)，對外通過路由設備接入廣域網(wǎng)。包過濾技術和代理服務技術是當今最廣泛采用的網(wǎng)絡安全技術，也就是我們通常稱的防火墻技術[9]。防火墻可以根據(jù)網(wǎng)絡安全的規(guī)則設置允許經(jīng)過授權的數(shù)據(jù)包進出內(nèi)部網(wǎng)絡，同時將非法數(shù)據(jù)包擋在防火墻內(nèi)外，最大限度地阻止黑客攻擊。包過濾技術以訪問控制列表的形式出現(xiàn)，一個設計良好的校園網(wǎng)絡訪問控制列表不僅可以起到控制網(wǎng)絡流量、流量的作用，還可以在不增加網(wǎng)絡系統(tǒng)軟、硬件投資的情況下完成一般軟、硬件防火墻產(chǎn)品的功能。針對校園網(wǎng)中各種網(wǎng)絡攻擊、網(wǎng)絡病毒對教學和管理